docCharismathics Smart Security Interface™ V4.8.1 Manual
download 
Denúncia Transcrição
Charismathics Smart Security Interface™ V4.8.1 Manual
Charismathics Smart Security Interface™ V4.8.1 Manual Conteúdo 1 2 3 4 Prefácio Sobre este Manual Instalação 3.1 Instalação no Ambiente Windows 3.1.1 Componentes instalados 3.1.2 Requerimentos de Instalação 3.1.3 Instalação Desacompanhada 3.2 Instalação no Ambiente Linux 3.2.1 Componentes Instalados 3.2.2 Configurando a biblioteca Charismathics PKCS#11 3.3 Cartões Inteligentes suportados 3.4 Leitores de Cartões testados 3.5 PIN de Entrada Seguro Ferramenta de administração Charismathics Security Token configurator 4.1 Interface do Usuário 4.1.1 Menu Gerenciador 4.1.2 Considerações específicas para o Ambiente Linux 4.1.3 Menu Editar / Menu de Contexto 4.1.4 Menu Token 4.1.5 Menu Par de Chaves 4.1.6 Menu Certificado 4.1.7 Menu Sobre 4.2 Modificando os PIN’s 4.2.1 PIN do Usuário Timeout – Versão Windows 4.2.2 PIN do Usuário Timeout - Versão Linux 4.3 Desbloqueando Tokens 4.4 Gerando e Importando Chaves 4.4.1 Gerando um Par de Chaves 4.4.2 Importar Par de Chaves 4.4.3 Geração de uma Chave Secreta 4.4.4 Importando uma Chave Secreta 4.5 Gerando e Importando Certificados 4.5.1 Gerando Certificados com assinatura própria e Certificado requisitado 4.5.2 Importação de Certificados 4.6 Criando Perfis 4.6.1 … no caso de um smart card com perfil 4.6.2 … no caso de um smart card vazio 4.7 Preparando um Token (Inicialização e Personalização) 4.7.1 Primeiro Passo: Criando um Perfil (Inicialização) 4.7.2 Segundo Passo: Criando Chaves e Certificados (Personalização) 4.8 Funções adicionais 4.8.1 Diretório “Certificados” 4.8.2 Diretório “Dados” 4.8.3 Função "Abrir Token" 4.8.4 Função "Apagar Tudo" e "Apagar Objeto" 4.8.5 Função Configure Container (recipiente) Padrão 4.8.6 Função “Trocando Label do Container” 4.8.7 Função "Mostrar Certificado" 4.8.8 Função "Exportar Certificado" 2 5 7 8 8 8 9 10 10 10 11 13 13 13 14 14 15 17 18 18 23 25 31 34 35 36 37 37 38 39 40 41 41 42 45 45 46 46 47 47 47 47 47 48 49 49 51 51 52 53 4.8.9 Função "Registrar Certificado" 4.8.10 Função "Verifique Chave Privada" 4.8.11 Função "Verificar Chave Secreta" 4.9 Menu Sobre 4.10 Menu Sair 5 Charismathics Extension Tool 6 CSP da Charismathics Smart Security Interface 6.1 Procedimentos Gerais 6.2 Smart Card Login para um Domínio Windows 2000 6.3 SSL- Autenticação com Smart Card no Internet Explorer 6.4 Outlook Express com Assinatura Eletrônica e Encriptação via Smart Card 6.5 Windows VPN-Login com Smart Card 7 PKCS#11 - Módulo da Charismathics Smart Security Interface 7.1 Metodologia Geral 7.2 Smart Card Login para o Novell eDirectory 7.3 SSL- Autenticação com Smart card no Netscape 7.4 Segurança de e-mail através de Cartões Inteligentes com o Netscape’s Messenger 8 Referências Apêndice A: Referência para Desenvolvedores Funções de acordo com Padrão PKCS#11 Sinopse de funções específicas C_Finalize C_GetObjectSize C_GetSlotList C_GetTokenInfo C_Initialize C_InitToken C_OpenSession C_WaitForSlotEvent Objetos Mecanismos Assinatura (RSA): Verificação (RSA): Encriptação (RSA): Decriptação(RSA): Digest (funções Hash SHA1, MD2, MD5): Apendice B: Funções não padrão para o PKCS#11 DLL Apendice C: Informação de LOG Apêndice D: Arquivos de Conveniência Apêndice E: Configurações do Registro Apendice F: Atributos de Certificado (Uso da Chave) Apendice G: Configurando o Firefox para utilizar a biblioteca Charismathics PKCS#11 3 53 54 55 56 57 58 59 59 59 60 60 60 61 61 61 61 62 63 64 64 65 65 65 65 66 66 66 67 67 68 70 70 71 71 71 72 73 75 76 77 78 79 4 1 Prefácio Obrigado por comprar nosso midleware Charismathics Smart Security Interface (CSSI) Charismathics Smart Security Interface provê os módulos que você precisa para integrar diferentes smart cards, tokens USB e chips TPM dentro de suas aplicações. A funcionalidade de nosso midleware começa com funções para a administração do smart card, incluindo módulos que apóiam o sistema operacional para utilizar tokens. As seguintes estruturas de arquivo (perfis) são suportadas: Charismathics corporate profile: Principal perfil. Similar ao perfil PKCS#15, mas que possibilita a alteração de algumas estruturas não permitidas no perfil PKCS#15. PKCS#15 profile: Perfil padrão PKCS#15. IAS profile: Perfil padrão utilizado na França. FINEID: Perfil criado para a identificação na Finlândia. Charismathics Smart Security Interface é compreendido dos seguintes módulos: A ferramenta de administração Charismathics Smart Security Interface Manager. A ferramenta de usuário Charismathics Smart Security Interface Utility. A ferramenta de registro para o registro automático dos certificados. A CSSI Extension Tool para adicionar novas associações ATR/OS (CSSI Extension Tool). O CSP, sigla em inglês para provedor de serviços criptográficos. Módulo PKCS#11. Módulo TSS para TPM chips (opcional). Módulos de segurança presentes em computadores para login e criptografia (utilizados principalmente na Europa). Módulo BIO, que provê a identificação biométrica, através da impressão digital (opcional) Com a ferramenta de usuário Charismathics Smart Security Interface Utility, você pode mudar seu PIN de usuário e pode registrar seu smart card ou USB Token. Você pode administrar suas chaves e certificados do smart card/token usando a ferramenta de Administração Charismathics Security Token configurator. Você pode gerar, importar ou exportar chaves e certificados. Além disso, você pode exibir informações sobre o conteúdo do smart card/token, trocar/desbloquear o PIN do smart card/token, e inclusive criar novos perfis. Charismathics Smart Security Interface-CSP permite a você expandir as aplicações e serviços dentro de um ambiente Microsoft e seu uso com um smart card. Charismathics Smart Security Interface-PKCS#11 permite a você usufruir de aplicações e serviços adicionais, que usam este padrão. Módulos PKCS#11 podem ser usados em ambientes Netscape e Novell (por exemplo). Especialmente, você pode expandir o uso das seguintes aplicações através da CSSI: Login com smart cards para Windows Domains ou Novell eDirectory SSL- Autenticação por smart card (Internet Explorer, Netscape, …) E-mail seguros com cartões (PGP, Netscape Messenger, Outlook, Outlook Express,…) VPN com smart cards (Microsoft, Cisco, …) 5 Este manual é importante para administradores de sistema e desenvolvedores de aplicativos, que desenvolvem suas próprias aplicações e acessam módulos da Charismathics Smart Security Interface, ex. PKCS#11. Informações adicionais serão encontradas nos apêndices deste manual. 6 2 Sobre este Manual Se você adquiriu a Charismathics Smart Security Interface na edição de Administrador, você achará uma descrição da ferramenta de administração no capítulo Ferramenta de administração: Charismathics Security Token Configurator, explicando como administrar chaves e certificados, trocar PIN’s, desbloquear, inicializar e personalizar smart cards. Além disso, você encontrará informações adicionais, relativas à Ferramenta de Registro, CSSI Extension Tool, CSP e PKSC#11, além de aplicações que talvez possam ser expandidas (atualizadas) por tokens. Desenvolvedores de aplicações podem encontrar informações adicionais em como acessar a biblioteca dos módulos como, por exemplo, no Apêndice Funções de acordo com Padrão PKCS#11, você encontra funções para acesso ao módulo PKCS#11 da Charismathics Smart Security Interface. Se a intenção for desenvolver uma aplicação proprietária, no Apêndice Atributos de Certificado – Uso Chave, por exemplo, você encontra uma descrição conscisa dos atributos do certificado, e informação sobre seu emprego fundamental. Contudo, uma explicação de como configurar ambientes Microsoft ou de outros fabricantes, excede o objetivo deste manual. Neste caso, consulte a documentação do fabricante correspondente. Nota: Para entender este manual você precisa de conhecimento básico em Tecnologia da Informação (TI) e correspondente segurança. Especialmente, você deve estar familiarizado com os seguintes termos: certificado, chave privada, pública, e secreta, assinatura digital, PKI, etc... Por favor, consulte o glossário IT & Security na homepage de nossa empresa: http://www.charismathics.com se você quiser consolidar seu conhecimento. 7 3 Instalação Antes que você instale a Charismathics Smart Security Interface, o leitor de cartões deve estar instalado de acordo com as diretrizes do seu fabricante, e deve estar completamente operacional. A instalação da Charismathics Smart Security Interface é executada a partir do CD de instalação. 3.1 Instalação no Ambiente Windows O processo de instalação pode ser iniciado clicando duas vezes sobre “install.bat”, localizado no CD de instalação, na pasta “..\CSTC_Versão Windows\ CSTC_4.8.1_32bit”. A instalação do CSSI4.8.1 é feita automaticamente no idioma português. O usuário pode alterar o caminho padrão de instalação se necessário. Uma vez iniciado o processo de instalação, o instalador apresenta o contrato de licença que, depois de aceito pelo usuário, continua a instalação de forma automática. O log completo da instalação é gerado no sistema na pasta %temp% com o nome install.txt. O arquivo de log inclui mensagens para grupos de ações realizados durante a instalação. Também inclui mensagens indicando o sucesso ou o fracasso da instalação. Se qualquer problema for encontrado durante o processo de instalação, o instalador fornece imediatamente uma mensagem de erro em português. Este mesmo arquivo do LOG de instalação é gerado em formato txt no diretório “c:\ charismathics\Log_ddmmaa.txt”. Nota: Para informações mais detalhadas sobre as rotinas e ações realizadas durante a instalação verifique o arquivo de log da instalação. 3.1.1 Componentes instalados A instalação do CSSI 4.8.1-Charismathics, instrumento configurador de token de segurança, instala os seguintes componentes: Local padrão de instalação. Como padrão na pasta: “\arquivos de programa\charismathics\smart security interface\”. o Secintmgr.exe: É a ferramenta de administração de cartão inteligente - Charismathics Security Token Configurator. o CSSIExtension: É a ferramenta utilizada para adicionar um novo ATR no cartão, se necessário. o CSPregtool.exe: Propaga automaticamente o certificado para a área de armazenamento de certificados. Não é necessária no ambiente Windows Vista e acima, uma vez que nestes casos, a propagação do certificado é realizada pelos serviços do próprio sistema. o Manual do Usuário. o Pasta com strings de localização. Pasta “System32” o O CSP, versão de 32 bits, é instalado no seguinte local: “\Windows\System32 cmCSP.dll”. o A biblioteca PKCS11, versão de 32 bits, é instalada no seguinte local: “\Windows\System32\cmP11.dll”. As seguintes chaves de Registro são criadas durante a instalação: o Registro da pasta de instalação do CSSI: [HKEY_LOCAL_MACHINE\SOFTWARE SOFTWARE\ charismathics\ smart security interface\ o Registro de entradas do CSP da Charismathics: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Charismathic s Smart Security Interface CSP 8 o 3.1.2 Entradas do smart card (cartão inteligente): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\Smartcard\ Requerimentos de Instalação Se não outro explicitamente requerido, siga os seguintes : Microsoft Ou Ou Ou Ou Windows NT 4.0 Windows 2000 Windows XP Windows Server 2003 Windows Vista com Service Pack 6a com Service Pack 4 com Service Pack 2 Nota: Durante a instalação, o módulo CSP é registrado automaticamente no Sistema Operacional Windows. Se houver uma versão de Netscape, Firefox or Thunderbird em seu computador, a Register Tool (ferramenta do registo) pode ajudar-lhe a ativar o suporte a PKCS#11 dentro destas aplicações. Consulte o Capítulo: Ferramenta de Registro para uma informação mais detalhada. As seguintes aplicações são suportadas: Smart card login para o Windows 2000 ou 2003-Domain: ADS, Enterprise CA, Windows 2000 ou 2003 Servidor e como Cliente: Windows 2000 Professional ou Windows XP Professional Autenticação - SSL com smart card usando Internet Explorer: Microsoft Internet Explorer 5.0, 5.5 ou 6.0, High Encryption Pack, SSL V3 com Strong User Authentication Outlook com assinatura digital e encriptação via smart card: Outlook Express 5.0, 5.5 ou 6.0 Windows Mail Outlook 2000, 2003 Lotus Notes com assinatura digital e encriptação via smart card: Lotus Notes 6.5 or higher Windows VPN-Login com smart card Windows 2000 Server e como Client: Windows 2000 Professional ou Windows 2003 Server e como Client: Windows 2000 ou XP Smart card login para Novell eDirectory Netware 5.1 SP3, eDirectory 8.6.1, Novell Client 4.83 SP1, NMAS EE 2.0 (com o Universal Smartcard Login Method incluso) com NICI 1.5.7 (Server e Client), NMAS 2.1 (com o Universal Smartcard Login Method incluso) com NICI 2.4.1 (Server e Client) ou acima em cada caso. Smart card login to Lotus Notes Lotus Notes 6.5 ou acima SSL- Authentication com smart card e Netscape Netscape Navigator 4.72 (High Encryption), 4.73, 4.76, 6.x Email-Security via smart cards com Netscape Messenger Netscape Messenger 4.72 (High Encryption), 4.73, 4.76, 7.x Thunderbird 1.5 e acima E-Mail-Security via suporte PGP (PKCS#11): PGP Personal Desktop 8.1 for Windows Compatibilidade/Smart card administration da Baltimore-PKI (PKCS#11): Token Manager para Betrusted Unicert V5.2 para Windows 9 Compatibilidade/Smart card administration da Entrust-PKI (PKCS#11): Security Manager Administration 7.0 Compatibilidade/Smart card administration da Ecos-PKI Appliance BB5000 (PKCS#11) Os produtos mencionados, não precisam de qualquer exigência de software cliente; por favor, observe no caso de outros produtos que não estão listados acima, os respectivos manuais correspondentes. HD ENCRYPTION / PREBOOT.: O middleware CSSI possui compatibilidade com os seguintes ambientes: Pointsec Utimaco 3.1.3 Safeboot PGP Secude Instalação Desacompanhada Em vez de executar setup.exe, a instalação pode também ser iniciada na “modalidade desacompanhada”, chamando-se o correspondente arquivo “.msi” do diretório de instalação, conforme segue: msiexec /i “CSSI x.x - admin edition.msi” /qn 3.2 Instalação no Ambiente Linux Para instalação no Ambiente Linux, acesse a pasta no CD de instalação nux\CSSI4.8.1_Linux_32-bit\CSSI4.8.1_CSTC\” e siga as etapas descritas a seguir: “..\Versão Li- A instalação é feita automaticamente no idioma português. O usuário pode alterar o caminho padrão de instalação se necessário. Copie o conteúdo da área de instalação no CD para um diretorio da máquina. Pode ser para o home do usuário. O manual do Sistema deve ser copiado juntamente com o arquivo de instalação compactado. Entre em um terminal (alt f2 gnome-terminal). Acesse o diretório da máquina para o qual os arquivos foram copiados do CD. Descompacte o arquivo com o comando tar –zxvpf InstaladorCSSI4.8.1.tar.gz. Entre na pasta “InstaladorCSSI4.8.1” criada pelo passo anterior. Como usuario root (comando ./InstalaCSTC.sh). (comando su) executar o arquivo InstalaCSTC.sh Execute os passos pedidos pelas telas. Reinicie o Ambiente Linux. 3.2.1 Componentes instalados O pacote de instalação CSSI4.8.1 para Linux contempla as seguintes pastas e componentes: Pasta Application: Abaixo desta pasta estão as ferramentas de administração do cartão: scManager e biblioteca PKCS11. Pasta Debs: Esta pasta inclui os pacotes para libccid, pcsclite, PCSCd packages, libglib, libtiff e wxWidgets. Qualquer pacote faltante no seu sistema pode ser instalado através dos pacotes desta área. 10 Pasta Language: Inclui da localização da referência para o idioma Português / Brasil para o CSTC – ferramenta de administração de cartões. Componente “./InstalaCSTC.sh” : Corresponde ao script (comandos) para instalação do pacote CSSI. Os components que fazem parte da aplicação CSSI4.8.1 para Linux são: scManager: Instalado na pasta /opt/CSTC. A ferramenta Charismathics Security Token Configurator (scManager), é a ferramenta administrativa utilizada para iniciar smart cards, gerenciar certificados e dados e gerenciar os PINs do cartão. Após realizar a instalação, o pacote scManager aparecerá no Desktop como um atalho. libcmP11.so: Instalado na pasta /opt/CSTC /lib. É a biblioteca charismathics PKCS11. scManager.mo: Inclui a localização da /usr/local/share/locale/pt. referência para o idioma Português. Está instalado na pasta Após a instalar o Sistema, um LOG completo da instalação é criado na pasta “\\root\charismathics\ log_instalacaoddmmaa_hhmm.log”, contendo registro das atividade geradas durante o processo de instalação, o sucesso ou falha em cada etapa da instalação e relatando informações relativas às causas da impossibilidade de instalação do arquivo. 3.2.2 Configurando a biblioteca Charismathics PKCS#11 No CD de instalação, acesse a pasta “..\Versão Linux\CSSI4.8.1_Linux_32-bit\Install PKCS11CSSI4.8.1_Linux_32bit\”, copie o módulo “libcmP11.so” para uma pasta de sua preferência. Você pode utilizar qualquer aplicação que permita especificar um modulo externo de segurança, para instalar o módulo PKCS#11. Exemplos de aplicação: Firefox,Thunderbird, etc. Especificamente, para instalar o módulo PKCS#11 no Firefox, acesse o “Apendice E: Configurando o Firefox para utilizar a biblioteca Charismathics PKCS#11” para obter maiores informações. Ainda, caso deseje criar um arquivo de LOG, especifique a variável de ambiente SCINTERFACE com o nome de arquivo e caminho desejado. Por exemplo: #export SCINTERFACE=/tmp/cmP11.log ou adicione a linha "export SCINTERFACE=/tmp/cmP11.log" no arquivo de ambiente para configuração de variáveis /etc/profile 11 3.3 Cartões Inteligentes suportados Charismathics Smart Security Interface suporta os seguintes smart cards/tokens: ABACOS 2.0 ACOS EMV A03 Aladdin eToken Pro CardOS M4.01a CardOS V4.2C Cosmo V5.4 JCOP 20 JCOP 31 NetKey PKS/2000/E4 Sm@rtCafe 2.0, 2.1, 3.0 ACOS A-Trust Card ActivIdentity Card Axalto Cyberflex Access V2c CardOS V4.20 CardOS V4.30 G&D Sm@rtCafe Express JCOP 21 JCOP 41 Oberthur CosmopolIC V5.2 StarCOS 2.3/2.4/3.0/3.1 ACOS edu.Card Aladdin eToken CardOS M4.01 CardOS V4.2B CardOS V4.3B GemXpresso Pro R3.2 JCOP 30 jTOP JCX32 plusID 60 token e TPM chips: Infineon TPM 1.1 & 1.2 3.4 Broadcom TPM 1.1 & 1.2 Leitores de Cartões testados Por favor, observe se o seu leitor de cartão foi instalado de acordo com as especificações do fabricante e está operando completamente. Charismathics Smart Security Interface foi testado com os seguintes leitores de cartões: ACS38 USB Eutron Digipass 860 Fujtsu Siemens Computer Smartcase SCR USB KOBIL KAAN advanced Omnikey Cardman 2020 USB Omnikey Cardman 3620 USB charismathics plug’n’crypt Fujtsu Siemens Computer Smartcase KB SCR PRO Fujtsu Siemens Computer Smartcase SCR USB internal Omnikey Cardman 1010 serial Omnikey Cardman 3021 USB Omnikey Cardman 3621/3821 ORGA Card Mouse USB SCM SCR 3340 (Express-Card) SCM SCR333 SCM SCR 331 USB SCM SCR 532 seriell/USB SCM SCR335 USB Eutron cryptoidentity CCID Fujtsu Siemens Computer Smartcase KBPC CX Fujtsu Siemens Computer Smartcase Token USB Omnikey Cardman 2011 serial Omnikey Cardman 3121 USB Omnikey Cardmann CM4040 (PC-Card) SCM SCR 3310 USB SCM SCR241 PCMCIA Adicionalmente, um grande número de leitores não mencionados explicitamente acima, mas construídos com base no hardware compatível, são suportados. Nota: Somente PC/SC drivers são suportador. Não há suporte para CT-API-drivers. Se a chave RSA 2048 for usada, então o leitor do smartcard deve suportar a APDU extendida. 12 3.5 PIN de Entrada Seguro Alguns leitores de cartão vêm equipado com seu próprio PIN-pad. Este PIN-pad pode ser usado para SPE, se um dos seguintes dispositivos for usado: Cherry Keyboard G83-6644 Omnikey 3621 USB OmniKey 3821 USB Certifique-se por favor, que seus “windows device drivers” estão atualizados, se você quiser usar PC/SC 2.0 com SPE. Para ativar SPE, edite o registro da seguinte forma: [HKEY_LOCAL_MACHINE\SOFTWARE\charismathics\smart security interface] Para ativar SPE, use: "USE_PINPAD"=hex:01 Para desativar SPE, use: "USE_PINPAD"=hex:00 Embora CSSI suporte os PIN’s alfanuméricos em geral, SPE somente suporta dígitos. Por favor, tenha certeza de que os PIN’s usados para o cartão, possam ser conectados usando-se SPE, se você pretender utilizá-lo. 13 4 Ferramenta de administração Charismathics Security Token Configurator Esta ferramenta da versão/edição administrador oferece as seguintes funções: mudança de Pin’s, desbloqueio de smart card/tokens, geração de perfis, chaves e certificados, e assim por diante. 4.1 Interface do Usuário Depois de abrir a ferramenta de administração da Charismathics Security Token Configurator você verá a seguinte interface: O painel esquerdo indica a lista dos leitores de cartão que estão conectados ao sistema. São exibidos, os leitores de cartão e os leitores virtuais de token USB, indicados na mesma janela. Uma vez que um token foi inserido, a hierarquia é extendida. Selecionar um item na hierarquia exposta indica suas propriedades no painel direito. As propriedades são indicadas de forma tabular com parâmetros e seu valor associado. 14 4.1.1 Menu Gerenciador Função “Abrir Token”: Para ver o conteúdo de um token/smart card, selecione o leitor que contém o smart card ou o Token USB na hierarquia e selecione “Abrir Token” do menu “Gerenciador”. Click sobre o (ícone +) na frente do leitor, para expandir a hierarquia, o que servirá a mesma finalidade. No início, somente a informação pública está disponível, por exemplo: Label do Token, o perfil e a memória livre. Função “Criar Perfil de Token”: Esta opção exclui o perfil atual (se presente), e cría um novo perfil no smart card ou no Token USB. Esta característica é descrita em detalhes no ítem “Preparando um Token”. As seguintes regras devem ser observadas no preenchimento dos campos: Perfil: escolhido de acordo com as opções apresentadas no Prefácio. Cartão PIN: preenchido com exatamente 10 caracteres. PUK, Confirme PUK, PIN do Usuário, Confirme PIN do Usuário o Comprimento mínimo de 6 e máximo de 16 carcteres. o Conter no mínimo 1 caracter alfabético maiúsculo (A..Z). o Conter no mínimo 1 caracter alfabético minúsculo (a..z). o Conter no mínimo 1 caracter numérico (0..9). o Permitir a utilização de caracteres especiais. Número Serial: Deve conter ao menos 1 caracter alfanumérico e não mais que 16 caracteres. Rótulo: Não possui restrições. 15 16 4.1.2 Considerações específicas para o Ambiente Linux Após realizar o login no smart card através do menu “Token – Login”, para habilitar o as opções do sub-menu, clique na pasta Certificados, conforme apresentado abaixo. Todas as opções de menu serão habilitadas. Se o cartão não estiver inicializado ou se não possuir nenhum perfil carregado, no Linux, a tela aparecerá, conforme apresentado abaixo, se você clicar em “Abrir Token”. Para inicializar um cartão vazio, não clique em “Abrir Token”, clique em “Criar Perfil de Token”, conforme apresentado abaixo: 17 4.1.3 Menu Editar / Menu de Contexto O índice e a disponibilidade do menu "Editar" muda de acordo com o item selecionado no painel principal da tela. A maioria das funções do menu "Editar" são também acessíveis através do (clicando-se com o) botão direito do mouse sobre o item apresentado na hierarquia (tela). Veja também o ítem 4.9 Funções Adicionais. 4.1.4 Menu Token Para que o menu "Token" contenha todas as entradas (opções) ativas, o token deve ter sido aberto anteriormente. Por exemplo, usando o menu Gerenciador "Abrir Token". Função Login: Antes de iniciar as operações com o token, o usuário é requerido para realizar o login no dispositivo. O Login requer o pin do usuário. Uma vez “logado”, esta opção é desabilitada e as informações 18 adicionais / demais opções tornam-se disponíveis dentro do painel da hierarquia e da vista das propriedades. Falhando-se em fornecer o PIN do usuário correto cinco vezes sequencialmente, o cartão/token é travado/bloqueado. Para desbloqueio do PIN do Usuário, acesse “Para destravar/desbloquear o PIN do usuário”. A configuração de hardware e os ajustes do usuário determinam o método inicial de entrada do PIN. Após acessar o dispositivo com sucesso, os certificados podem ser registados no cartão através do Ambiente Operacional. Para cada certificado que não é registrado com o Ambiente Operacional, mas é armazenado no Token, o usuário será indagado se o certificado deve ser registrado. Função Logout: Esta opção funciona de forma contrária à opção “Login”, bloqueando o acesso as funções restritas do Cartão/Token USB. 19 Função Trocando o PIN de Usuário: Função Trocando o PUK : 20 Na primeira troca do PUK, o sistema, por segurança, solicita uma nova digitação do PIN do Usuário, conforme apresentado na tela a seguir: Função Desbloquear PIN do Usuário: 21 Estas funções funcionam de forma muito similar. Estas funções estão sempre disponíveis e todas requerem um PIN de autorização para fazer uma mudança. O valor mudado tem que ser “entrado/prenchido” 02 (duas) vezes para evitar erros. Todos os valores são mascarados com asteriscos para fornecer privacidade. 22 4.1.5 Menu Par de Chaves É possível gerar diversos pares de chaves com os certificados correspondentes no cartão/token. Cada “set” (jogo) é compreendido de: chave confidencial (privada), chave pública (opcional) e certificado (opcional) e é armazenado em um recipiente (container) separado. Função Criando Par de Chaves: As chaves somente podem ser criadas se o usuário realizar o Login antes. Uma vez que um par de chaves foi criado, pode ser usado para várias finalidades. Veja também os capítulos 4.4 “Gerando e Importando Chaves" e 4.5 “Gerando e Importando certificados" 23 Função Importar o Par de Chaves de um Arquivo PFX: Esta opção abre uma tela de diálogo que pede o nome do arquivo pfx ou p12 do qual o par de chaves será importado. 24 4.1.6 Menu Certificado A maioria das opções do menu certificado são também acessíveis através do menu de contexto (botão direito do mouse), para qualquer certificado, chave pública ou privada, apresentados no painel. Função Importar Certificado: Após ter selecionado este item, escolha o certificado para importar. Se o certificado puder ser associado com um par de chaves privada/publica, o mesmo será introduzido automaticamente no recipiente (container) correto. Se não, o certificado é adicionado em "Certificados" na hierarquia. Não há nenhuma maneira de associar manualmente um certificado com um par de chaves não relacionado a ele. 25 Função Apresentar Certificado: Mostra toda a informação contida dentro do certificado. Selecione um nome de campo na área superior do visor para mostrar o seu valor na área inferior do visor. Função Exportar Certificado: Exporta o certificado no formato BASE64 ou DER para um arquivo a escolha do usuário. A associação com o par de chaves é recuperada, caso o certificado seja importado outra vez, através do menu “Importar Certificado”. 26 Função Registar Certificado: Esta opção regista o certificado no Windows (função não utilzada no ambiente Linux), caso ainda não tenha sido realizado. A seguinte mensagem é apresentada após o registro do Certificado: 27 Caso o Certificado já esteja registrado no Ambiente Operacional, a seguinte mensagem é apresentada (você pode definir se deseja manter ou substituir o registro atual): Função Criar Certificado Requisitar: A fim de receber um certificado para um par de chaves publica/ privada, é possível preparar um pedido de certificado. Este pedido é armazenado em um arquivo BASE53 ou DER encriptado. Veja o item e 4.5 "Gerando e Importando certificados" para uma descrição do processo. 28 Função Criar certificado (self signed) com assinatura própria: O processo de pedido é similar ao “Criar Certificado Requisitar”. Porém o pedido não é armazenado em um arquivo a ser processado por uma Autoridade Certificadora, mas apenas em um arquivo certificado padrão. Uma vez iniciado o processo, o sistema solicita informações a respeito de qual será o uso das Chaves no Certificado. 29 E a seguir, qual o período em que o Certificado será válido. Após obter estas informações, o Certificado é gerado. 30 4.1.7 Menu Sobre Função Sobre: Indica a informação geral da versão do CSSI edição administrador. 31 Função OS Suportado: Indica a lista dos sistemas operacionais de smart cards suportados pelo CSSI. Esta lista inclui somente as associações predefinidas. Função PKCS#11 Informação: Informação sobre o módulo PKCS#11, que é parte do CSSI. 32 Função CSP Informação: Informação sobre o CSP. 33 Função Manual: Este manual. 4.2 Modificando os PIN’s Há 3 PIN’s em um smart card/token: o PIN do Usuário, o PUK e o PIN do cartão. O termo PIN do cartão é usado para o USB token também. Não são todos os cartões e tokens que suportam a mudança de todos os PIN’s. O CSSI suporta PIN’s alfanuméricos e não é restringido aos dígitos numéricos no geral. Há diferentes funções para utilizar com estes 3 PIN’s: O PIN do Usuário deve ser fornecido, se a pessoa quer escrever no cartão (ex. Gerar Chaves, armazenar um certificado), apagar objetos ou quando as funções criptográficas (ex. encriptar ou desencriptar) são usadas. Consulte à tabela abaixo sobre o PIN do Usuário / Comprimento do PIN do Usuário. Importante: Após 5 (cinco) entradas erradas o PIN do Usuário, será bloqueado. Um PIN do Usuário bloqueado pode ser desbloqueado pelo PUK. O PUK será usado somente para desbloquear o PIN do Usuário. Não há nenhuma função do tipo Criar ou Deletar associada ao PUK. Importante: Após 3 (três) entradas erradas do PUK(SO PIN), o mesmo será bloqueado. Com o PIN do cartão é possível excluir um perfil existente em um cartão, e criar um novo perfil. O PIN do cartão será determinado durante a inicialização do cartão e somente poderá ser mudado mais tarde criando-se um novo perfil. O comprimento do PIN do cartão é exatamente de 10 (dez) caracteres. Para excluir um determinado Perfil, acesso o menu “Gerenciador – Criar Perfil de Token” de um cartão ativo e digite o PIN do cartão, conforme apresentado abaixo: 34 Importante: Após 10 entradas erradas do PIN do cartão, o mesmo será bloqueado e o cartão não poderá ser apagado. Ex. Se o PIN do cartão, o PUK e o PIN do Usuário estão bloqueados, o cartão/token é inútil. 4.2.1 PIN do Usuário Timeout – Versão Windows O tempo em que as chaves do cartão permanecem ativas pode ser alterado através do menu “PIN do Usuário Timeout (intervalo de expiração)”, conforme apresentado abaixo: Primeiramente o sistema apresenta o intervalo de expiração (timeout) vigente: 35 Se você optar por selecionar um novo intervalo, o sistema apresentará a seguinte tela, onde você poderá selecionar entre um tempo mínimo para realizar uma operação (5 minutos) e o tempo máximo de ativação das chaves (30 minutos). 4.2.2 PIN do Usuário Timeout - Versão Linux O tempo em que as chaves do cartão permanecem ativas pode ser alterado através de modificação na variável de ambiente USER_PIN_TIMEOUT_SECONDS, que se encontra no arquivo uder/etc/environment. 36 O máximo valor aceito para o timeout é de 1800 segundos. Você pode alterar este valor, alterando o valor da variável USER_PIN_TIMEOUT_SECONDS. Após modificar o valor, o Ambiente Linux necessita ser reiniciado para que a mudança seja efetivada. 4.3 Desbloqueando Tokens Como medida de segurança, um smart card/token é bloqueado, se um usuário digitar 5 (cinco) vezes consecutivas o PIN de Usuário errado. Isto provê segurança, porque uma pessoa sem autorização pode conferir todos os possíveis PINs por tentativa e erro, se você perdesse seu smart card ou se o mesmo fosse roubado. Mas poderia acontecer, que você como dono legítimo do smart card entrou 5 (cinco) vezes o PIN do Usuário errado. Neste caso o smart card será bloqueado também. Consequentemente, você pode desbloquear o cartão com a Charismathics Smart Security Interface, se você souber o PUK. Você precisa do PUK para desbloquear um PIN de usuário. Você acha a função “Liberar PIN de usuário” no Menu "Token", como apresentado na figura seguinte: 4.4 Gerando e Importando Chaves Para usar o smart card para assinaturas digitais ou encriptação, você precisa de um Par de Chaves, que é composto de uma chave privada e uma chave pública. A chave privada deve ser armazenada muito secretamente e a chave pública deve ser acessível para comunicação entre parceiros/contatos profissionais (por exemplo) por um certificado. Estas chaves e certificados podem ser gerados e gerenciados pela ferramenta de administração. Em princípio há várias possibilidades: 1. Você pode gerar chaves (pares fundamentais que incluem chaves privadas e públicas e chaves secretas) com a ferramenta de administração da Charismathics Security Token Configurator. 2. Você próprio já possui uma chave ou par de chaves. Então, você pode importar o par de chaves, se necessário, junto com o certificado, como um arquivo PFX. Você pode armazenar as chaves secretas importando-as.. 37 O uso destas funções requer que você esteja logado ao smart card. Através do menu "Token", selecione a opção "Login", e entre o seu PIN de usuário. Você pode achar todas as funções para gerar e importar chaves no menu "Par de Chaves" e importar certificados no menu “Certificado”. 4.4.1 Gerando um Par de Chaves A geração de um par de chaves (chave privada e pública) acontece dentro do menu “Par de Chaves" escolhendo-se o item "Criando Par de Chaves”. Uma vez que o processo de geração é finalizado, você vê estas chaves na ferramenta de administração, dentro do container correspondente, abaixo da "chave pública" e abaixo da "chave privada", conforme apresentado na figura abaixo: 38 4.4.2 Importar Par de Chaves Se você já possuir seu próprio par de chaves, que você pretende empregar, você pode importá-la através do menu "Par de Chaves", escolhendo-se o item "Importar Par de Chaves de um Arquivo .PFX)”. Neste caso, você terá que fornecer a sua contra-senha quando requisitado. Observação: A chave deve ser uma chave RSA, dentro de um arquivo .pfx ou .p12, conforme apresentado na figura abaixo: 39 4.4.3 Geração de uma Chave Secreta Para gerar uma chave secreta de encriptação, acesse, o menu “Editar - Chaves Secretas - Criar Chave Secreta" ou acesse através do menu de contexto, conforme apresentado na figura abaixo: Aqui, você pode gerar chaves Triple-DES e chaves DES. 40 Observação: Algoritmos com no mínimo 128 bits (Triple-DES) são recomendados. De acordo com os padrões de comprimento de chaves atuais. Chaves de comprimento menor não são seguras. 4.4.4 Importando uma Chave Secreta Se você possuir uma chave secreta que você quer utilizar, você pode importar a mesma, utilizando-se do menu "Editar", através do item "Armazenar Chave Secreta”. A Chave Secreta deve ser especificada no formato hexadecimal correto: 192 ou 128 bits para Triple-DES, e 64 bits para DES. Observe que um único dígito haxa-decimal cobre 4 bits. A chave é importada inserindo-se os bits no campo "Chave Secreta (hexadecimal)”, conforme apresentado na figura abaixo: 4.5 Gerando e Importando Certificados Para usar o smart card para assinaturas digitais ou encriptação, você precisa de um par de chaves que inclua uma chave privada e uma chave pública. A chave pública deverá ser acessível para comunicação entre parceiros/contatos profissionais (por exemplo) através de um certificado. Estes certificados podem ser gerados e administrados pela ferramenta de administração. Em princípio, há várias possibilidades: 1. Você pode assinar o certificado que corresponde a uma chave pública por você mesmo, ou fazer um certificado requisitado, de forma que uma Autoridade Certificadora irá autenticar a chave pública. 2. Você atualmente tem uma chave e/ou um certificado, então, você pode importar os certificados, se necessário junto com a chave correspondente. 41 4.5.1 Gerando Certificados com assinatura própria e Certificado requisitado Você pode gerar o certificado que pertence a uma chave pública assinando por sí mesmo ou fazer um certificado requisitado, de forma que uma Autoridade Certificadora irá autenticar a chave pública. Para este fim, você deve selecionar a chave privada, e escolher a opção “Criar Certificado Requisitar” ou “Criar Certificado (self signed) com Assinatura Própria”, do menu "Certificado”, conforme apresentado abaixo: Função “Criar Certificado Requisitar”: 42 Função “Criar Certificado (self signed) com Assinatura Própria” Para gerar um Pedido de Certificado (Autoridade Certificadora) será requisitado que você entre com os dados nos campos correspondentes. No caso de um Pedido de Certificado, você deve criar um arquivo a ser enviado para a AC (Autoridade Certificadora), que deverá assinar o certificado. Então, você armazenará o pedido como um arquivo .P10 em um diretório, e deverá seguir as instruções da Autoridade correspondente para obter o pretendido certificado assinado. 43 Uma vez que o certificado for retornado do “emissor”, você tem que importar o certificado, escolhendo a opção "Importar Certificado”. Nota: Há uma explanação dos atributos de certificado e como empregar as chaves no Apêndice deste manual. 44 4.5.2 Importação de Certificados Caso você possua seu(s) próprio(s) certificado(s), que você tenciona empregar, você pode importá-los através do menu "Certificado" através do item "Importar Certificado". Certificados, que pertencem há par de chaves, são diretamente atribuídos para o "Container" associado depois da importação. Certificados sem chaves – como, por exemplo, certificados de AC, são atribuídos para a pasta “Certificados”. 4.6 Criando Perfis Se você quiser usar um smart card, deve haver um perfil neste smart card. Em um primeiro passo, você deve configurar o perfil neste smart card. Click sobre o menu “Gerenciador - Criar Perfil de Token" para criar o perfil. 45 4.6.1 … no caso de um smart card com perfil Se já existe um perfil no cartão e você quer criar um novo, o perfil existente será apagado como um primeiro passo. Para este fim, entre com o PIN do cartão. Se você próprio criou o perfil, você tem que entrar com o PIN do cartão que você atribuiu ao cartão. Os procedimentos adicionais são os mesmos, como na seção seguinte " ...no caso de um smart card vazio". Por favor, siga as instruções que são descritas abaixo. 4.6.2 … no caso de um smart card vazio Se o perfil é configurado (inicializado) em um smart card vazio, o PIN do cartão, o PUK, o PIN do Usuário e o número serial devem ser definidos. Adicionalmente, o Label para o token poderá ser atribuido. Se vários (múltiplos) perfis estiverem disponíveis, você deve escolher um para criá-lo. 46 Com ajuda do PIN do cartão, o smart card pode ser apagado novamente mais tarde. Com o PUK, o smart card pode ser desbloqueado. Então, você não deve atribuir PIN’s simples. A entrada do PUK e do PIN do usuário também não é exibida em texto claro, mas através de caracteres * como máscara de entrada. A entrada também deve ser confirmada. 4.7 Preparando um Token (Inicialização e Personalização) Para que um usuário possa empregar o seu smart card, o cartão deve estar preparado, ex. o smart card deve ser inicializado e deve ser personalizado. Em um primeiro passo você tem que criar um perfil no smart card e em segundo passo, criar/configurar chaves e certificados no smart card. 4.7.1 Primeiro Passo: Criando um Perfil (Inicialização) Como um primeiro passo, você deve criar/configurar um perfil em um smart card vazio. Você deve proceder como descrito na seção “Criando Perfis”. 4.7.2 Segundo Passo: Criando Chaves e Certificados (Personalização) Como um segundo passo, você deve criar uma chave de usuário e um certificado no smart card. Você tem a possibilidade para gerar chaves e certificados ou importá-los. Para este propósito, você tem uma descrição na seção “Gerando e Importando Chaves" e na Geração na seção “Gerando e Importando Certificados". 4.8 4.8.1 Funções adicionais Diretório “Certificados” O Diretório "Certificados" apresenta todos os certificados que não correspondem diretamente a um determinado par de chaves. Estes são os certificados intermediários que têm que ser importados para dentro deste diretório. Para esta finalidade, selecione a opção "Importar Certificado", no menu "Certificado", ou escolha o menu contexto, usando o botão direito do mouse. 47 Um smart card é o ambiente mais seguro para a chave privada. Além disso, o smart card é necessario para aplicações com pelo menos logins ou autenticações diárias. Assim, o cartão deve estar com você ou frequentemente (sempre) ao redor. Assim, faz sentido armazenar dados sensíveis ou necessários nesta mídia, ex. Um arquivo de texto com seus PINS. Para criar dados selecione o item “Criar Dados” dentro do menu “Editar”, então, uma janela adicional será mostrada para você, onde você pode criar seus dados. 4.8.2 “Diretório Dados” 48 Você somente terá a possibilidade para acessar os dados atuais, se o devido login for efetuado no smart card. Os dados existentes podem ser apagados, atualizados ou exportados através do Menu “Editar”. 4.8.3 Função "Abrir Token" A função "Abrir Token" do menu "Gerenciador", transfere dados do smart card para a interface do usuário. Isto é recomendado, se você trabalha com smart cards ou leitores de cartão diferentes. 4.8.4 Função "Apagar Tudo" e "Apagar Objeto" Você pode apagar todos os objetos, como chaves e certificados, com a função "Apagar tudo" do menu "Editar”. A função "Apagar Objeto" lhe dá a possibilidade para remover objetos, chaves e certificados. 49 Você também obtém esta segunda função no menu de contexto (botão direito do mouse) selecionando o objeto que você deseja apagar. Para tanto, click com o botão direito do mouse e selecione o item "Apagar Objeto". Abaixo, processo utilizado para apagar um Container. 50 4.8.5 Função Configure Container (recipiente) Padrão A função "Definir Container Padrão" do menu "Editar” é relevante para você, somente se você usa um smart card para login em um domínio Windows-2000 via CSP. Se você não escolheu um container como padrão, o Windows irá assumir a primeira chave da lista para o login em um domínio Windows-2000 via CSP. Se você escolheu um container como padrão, ele será mostrado em negrito na área interface da ferramenta de administração, conforme figura abaixo: 4.8.6 Função "Trocando Label do Container” Através do menu “Editar - Troque a etiqueta do Container”, você pode renomear a etiqueta do Container, conforme apresentado na figura abaixo: 51 4.8.7 Função "Mostrar Certificado" Se você quiser exibir um certificado, use a função "Apresentar Certificado" do menu "Certificado". Você obtêm esta função sobre o menu de contexto também: selecionando o certificado que você quer mostrar, click com o botão direito do mouse e escolha o item "Apresentar Certificado". Então você obtém a informação contida no certificado: 52 4.8.8 Função "Exportar Certificado" Se você quiser empregar um certificado para outras aplicações, você pode exportá-lo do smart card com a função "Exportar Certificado" do menu "Certificado". Você também pode obter esta função através do menu de contexto: selecione o certificado que você deseja exportar, click com o botão direito do mouse e selecione o item "Exportar Certificado”. 4.8.9 Função "Registrar Certificado" A função "Registrar Certificado" do menu "Certificado" instala o certificado, que você quer registrar para disponibilizá-lo para aplicações Windows (como Internet Explorer ou Outlook Express). Você também pode obter esta função sobre o menu de contexto: selecionando o certificado, que você quer registrar, e com o botão direito do mouse, selecione o item "Registrar Certificado". Adicionalmente, você pode efetuar as configurações que devem ser aplicadas no registro do certificado usando a Ferramenta de Registro. Leia o Capitulo – Ferramenta de Registro. 53 4.8.10 Função "Verifique Chave Privada" Com esta função, você pode testar chaves geradas, ex. para assinar e descriptografar. Primeiro você deve estar logado, então, selecione a chave privada que você quer testar e escolha a função “Verifique Chave Privada” do menu “Editar”. Para testar a chave de desencriptação, digite um texto (qualquer) no campo “Texto pleno” e click no botão “Inicio”. Se o texto desencriptado é o mesmo que o escrito no campo “Texto pleno”, a chave de desencriptação está trabalhando corretamente. 54 Para testar a chave de assinatura, você pode escolher o algoritmo hash. Se o resultado é verdadeiro, a chave de assinatura trabalha corretamente. 4.8.11 Função "Verificar Chave Secreta" Com esta função, você pode testar as chaves geradas para encriptação. Primeiro você deve estar logado, então, selecione a chave privada que você quer testar e escolha a função “Verifique Chave Secreta” do menu “Editar”. Você pode escolher o modo de criptografia a ser utilizado para testar a chave. As diferentes versões são o Cipher Block Chaining (CBC) e o Electronic CodeBook (ECB). E você pode escolher ISO ou PKCS5 como base (Padding). Para testar a chave de encriptação, digite um texto (qualquer) no campo “Texto pleno” e click no botão “Inicio”. Se você sabe o vetor hexadecimal, você pode inserí-lo, senão o mesmo será preenchido com zeros (padrão). Se o texto desencriptado é o mesmo que o escrito no campo “Texto pleno”, a chave de encriptação está trabalhando corretamente. 55 4.9 Menu Sobre Para informação sobre a versão da Ferramenta de Registro e do fabricante deste middleware charismathics gmbh, selecione a opção "Sobre (About)" no pop-up menu: 56 4.10 Menu Sair Com “Sair“ no pop-up menu você pode terminar a execução da Ferramenta de Registro. 57 5 Charismathics Extension Tool A Charismathics Extension Tool (Ferramenta de extensão Charismathics) pode ser usada para associar o sistema operacional do cartão com novas ATR’s, sem uma associação válida. A operação correta do smart card, não pode ser garantida. Siga estas etapas para fazer uma nova associação ATR / OS (SO) do cartão: Introduza o smart card no leitor 1. A ATR do cartão é indicada no campo superior a. Se um OS está associado com a ATR, o campo OS é bloqueado, e não pode ser mudado enquanto o smart card estiver no leitor. b. Se nenhum OS está associado com o ATR, selecione o OS correto, ou... tão perto quanto possível. 2. Clique no botão SALVAR para armazenar a informação Se o sistema operacional atual no cartão for desconhecido ou não disponível, selecione um que combine o OS mais proximo. Por exemplo, selecione a entrada genérica do SO "JCOP", se o número de versão exato de JCOP xx não for conhecido. 58 6 CSP da Charismathics Smart Security Interface O sistema operacional Windows suporta funcionalidades criptográficas como encriptar e assinatura digital pelo denominado Crypto-API. Além disso, CSP’s (Provedores de Serviço Criptográficos) habilitam programas para suportar smart cards. Durante a instalação da Charismathics Smart Security Interface à Charismathics Smart Security Interface - CSP – (abrev. cmCSP) – será adicionada. A cmCSP ativa certos programas e funcionalidades presentes no Sistema Operacional Windows, como Outlook Express, Internet Explorer, Network Login e VPN-login para usar Smart Cards, USB Tokens e TPM’s. Eles serão explicados à seguir. Nota: Aqui, você não achará uma descrição de como configurar seu ambiente Microsoft para o uso de smart cards ou Tokens USB. Por favor, consulte os Arquivos de Ajuda para Outlook Express e o Internet Explorer. Para configurar o Network Login e o VPN-login para smart cards, consulte a documentação do Windows 2000 Server. Se você precisar de ajuda para implementação ou realização de trabalhos com nossa tecnologia, o time da charismathics pode ajudá-lo. Sinta-se livre para contactar a Charismathics. 6.1 Procedimentos Gerais Se você quiser usar um produto Microsoft em conexão com CSP pela primeira vez, em um certo computador, você deve registrar o certificado que você quer usar. Por favor, leia o Capitulo “Ferramente de Registro” ou a função “Registrar Certificado” se você deseja saber mais como registrar seu próprio certificado. O smart card/token deve conter chaves e certificados. Há várias diferentes possibilidades para obtê-los. Geração de Par de Chaves e certificado correspondente, diretamente no smart card com as funções para os browsers padrão, como Internet Explorer ou Netscape. Além disto, o token é acessado através dos módulos da Charismathics Smart Security Interface, ex. correspondentemente em cmCSP ou cmP11. Importar as Chaves e Certificados existentes, diretamente no smart card, que foram gerados por outras Autoridades Certificadoras ou Centros de Confiança. Geração do Par de Chaves e correspondente Certificado auto-assinado, diretamente no smart card, pela Ferramenta Administradora Charismathics Security Token Configurator. Por favor, observe que o emprego de certificados auto-assinados faz sentido somente em ambientes sem PKI ou para testes. Nota: Se você pedir um certificado de um Centro de Confiança, é possível que lhe seja requisitado a escolher um módulo (dispositivo) de segurança, ex. Token. Neste caso, escolha o Perfil Corporativo, cmCSP ou cmP11. Além disso, seu smart card deve ser inserido no leitor de cartão, de forma que certificados possam ser escritos (armazenados) no token/smart card. Os programas devem ser configurados, de forma que eles possam trabalhar com suas chaves e certificados. Alguns programas requisitam Certificados Raíz, para serem instalados em determinados diretórios, outros requisitam o registro do certificado. Nos capítulos seguintes, somente as características especiais da aplicação correspondente serão explicadas. 6.2 Smart Card Login para um Domínio Windows 2000 A seguir, um breve esboço das etapas envolvidas na configuração do login do smart card ou token USB. 59 Configuração de ADS. Por favor, observe a configuração correta do servidor-DNS. Instalação do Enterprise CA e pelo menos as templates "Enrollment Agent", "Smartcard Logon" e Smartcard User". Então, um Enrollment-Agent-Certificate deve ser gerado e registrado no computador, onde os smart cards devem ser personalizados. Depois disto, os smart cards para usuários talvez sejam emitidos através da Enrollment Station. 6.3 SSL- Autenticação com Smart Card no Internet Explorer Para usar o(s) certificado(s) armazenado(s) no token para conexões SSL, o certificado deve ter sido registado com a Windows Certificate Store. Isto pode ser feito através da Ferramenta Administradora Charismathics Security Token Configurator. Para maiores detalhes, acesse o Capitulo “Ferramenta de Registro” ou a função "Registrar Certificado". 6.4 Outlook Express com Assinatura Eletrônica e Encriptação via Smart Card Assinar e Encriptar eletrônicamente, requer o certificado para ser registrado da mesma forma como para conexões SSL. Uma vez que isto é feito, o certificado desejado para assinar e encriptar pode ser escolhido através de "Ferramentas Clientes email Preferências - Segurança" ou "Tools Accounts E-Mail Preferences Security". Normalmente, encontram-se pull down menus nas janelas de email do windows, que você talvez possa fazer uso para “click encription” (clicar & encriptar) e/ou “signing an email” (Assinar digitalmente o email) para uso das “security functionalities” (funcionalidades de segurança). A verificação de e-mails recebidos, assinados digitalmente, usam por instância o símbolo vermeho (“sinete" vermelho) no canto direito da janela do email. Para que o Outlook Express reconheça automaticamente a chave correta, respectivos certificados, os certificados devem ser colocados no livro de endereço, ex. O(s) certificado(s) deve(m) ser importado(s) para dentro das "Digital IDs" (Identidades Digitais): ex. Selecione o nome dentro do livro de endereços e escolha a tab (aba) "Digital IDs" (Identidades Digitais) no menu de contexto. Nesta tab (aba) você pode importar o certificado para este contato. 6.5 Windows VPN-Login com Smart Card Você deve gerar chaves e certificados com Microsoft Enterprise-CA. Além disso, você deve registrar o certificado com a Ferramenta de Administração da Charismathics Smart Security Interface. Para mais informações, acesse o Capitulo “Ferramenta de Registro” ou a função "Registrar Certificado". 60 7 PKCS#11 - Módulo da Charismathics Smart Security Interface O uso de software que suportam PKCS#11, é ativado pela Ferramenta Administradora Charismathics Security Token Configurator PKCS#11 (abreviado cmP11). A questão de aplicações e funcionalidades com tokens, como Network Login, SSL, email security (email com segurança) no Netscape e outros produtos, são explicados brevemente. Nota: Aqui não há nenhuma descrição de como configurar cada ambiente para para utilizar o cmP11. Se sua aplicação não é “coberta” aqui, por favor, consulte a documentação que vem com a aplicação. Importante: cmP11 é uma DLL com o nome "cmP11.dll e é instalada no diretório de sistema, usualmente este é C:\Windows\system32. Observação: Apesar de medidas rígidas para a qualidade de módulos de PKCS#11 por diferentes fabricantes, charismathics gmbh não pode garantir a compatibilidade de cada Módulo de PKCS#11 com cada fabricante estrangeiro. 7.1 Metodologia Geral A seguir, algumas notas gerais para o uso de cmP11. Pré-condição geral, é a instalação de cmP11. Isto será instalado automaticamente pela Charismathics Smart Security Interface. Há várias possibilidades diferentes para obter certificados, que são descritos na seção “Procedimentos Gerais”. Alternativamente, é possivel instalar o módulo manualmente, com a ajuda do arquivo "registerPKCS11.html" e desinstalar com a ajuda do arquivo "unregisterPKCS11.html". Ambos arquivos estão localizados no diretório da instalação do CSSI. O diretório (default) é: c:\programm files\charismathics\smart security interface xx\ Nos seguintes capítulos, somente as características especiais da respectiva aplicação, serão explicadas. 7.2 Smart Card Login para o Novell eDirectory Aqui você deve ter um conhecimento muito bom na administração de servidores Novell. Para realizar um login em um smart card ou token USB para um eDirectory, você explicitamente precisa do produto NMAS e o correspondente Universal Smartcard Login Method. 7.3 SSL- Autenticação com Smart card no Netscape As notas para a configuração do Netscape, são apresentadas pelo exemplo de versão 7. Exemplo: Netscape 7.01 61 Você pode chamar "Gerenciar Dispositivos de Segurança” no Netscape 7.01 através do menu "Edit" "Preferences" "Privacy & Security" "Certificates". A partir daqui, você pode carregar o cmP11, de forma que aplicações com SSL e e-mails poderão ser usadas com smart cards/tokens: Além disso, você pode chamar o Gerenciador de Certificados do Netscape na mesma aba, clicando "Manage Certificates...". 7.4 Segurança de e-mail através de Cartões Inteligentes com o Netscape’s Messenger As notas para o uso do Netscape para gerenciar certificados e módulos estão disponíveis no exemplo da versão 7 na seção prévia. Normalmente, há pull-down menus, nas janelas de e-mail, onde você pode marcar se um e-mail deve ser encriptado e/ou assinado. Funções para verificação de e-mails assinados recebidos, e desencriptação, estão disponíveis também. 62 8 Referências http://www.rsasecurity.com/rsalabs/pkcs/index.html http://www.rsasecurity.com/rsalabs/pkcs/index.html [PKCS#5] [PKCS#11] [MS_CA] Como fazer para: Configurar uma Certificate Authority (Autoridade Certificadora) para emitir Smart Card Certificates no Windows 2000: http://support.microsoft.com/default.aspx?scid=kb;en- us;Q313274&sd=tech Diretrizes por Habilitar Smart Card Logon com Third-Party Certification Authorities (Autoridade Certificadora Externa): http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281245 [MS_SC] Windows 2000 Server Documentação, Smart card Administração: http://www.microsoft.com/windows2000/en/server/help/default.asp?url=/windows2000/en/server/he lp/sag_SC_admin.htm 63 Apêndice A: Referência para Desenvolvedores Neste apêndice, há uma especificação detalhada relativa às funções suportadas do standard PKCS#11. uma sinopse de funções particulares, e uma lista de objetos e mecanismos. Estas informações são úteis e necessárias para programadores, que querem desenvolver suas próprias aplicações suportando o cmP11. Funções de acordo com o Padrão PKCS#11 A seguir, há três listas de funções de acordo com o Padrão PKCS#11. As listas são : funções suportadas, funções incompletamente suportadas, e, funções não suportadas pela Charismathics Smart Security Interface: Funções Suportadas C_CancelFunction1 C_CloseAllSessions C_CloseSession C_CreateObject C_Decrypt C_DecryptFinal C_DecryptInit C_DecryptUpdate C_DestroyObject C_Digest C_DigestFinal C_DigestInit C_DigestUpdate C_Encrypt C_EncryptFinal C_EncryptInit C_EncryptUpdate C_Finalize C_FindObjects C_FindObjectsFinal C_FindObjectsInit C_GenerateKey C_GenerateKeyPair C_GenerateRandom C_GetAttributeValue C_GetFunctionList C_GetInfo C_GetMechanismInfo C_GetMechanismList C_GetSessionInfo C_GetSlotInfo C_GetSlotList C_InitPIN C_InitToken C_Login C_Logout C_SetAttributeValue C_SetPIN C_Sign C_SignFinal 1 2 3 Funções Suportadas de forma Incompleta C_GetObjectSize C_GetTokenInfo C_Initialize C_OpenSession C_SignRecover2 C_SignRecoverInit 3 C_WaitForSlotEvent retorna CKR_FUNCTION_NOT_PARALLEL use C_Sign use C_SignInit 64 Funções não Suportadas C_CopyObject C_DecryptDigestUpdate C_DecryptVerifyUpdate C_DeriveKey C_DigestEncryptUpdate C_DigestKey C_GetFunctionStatus C_GetOperationState C_SeedRandom C_SetOperationState C_SignEncryptUpdate C_SignInit C_SignUpdate C_UnwrapKey C_Verify C_VerifyFinal C_VerifyInit C_VerifyRecover C_VerifyRecoverInit C_VerifyUpdate C_WrapKey Sinopse das funções específicas C_Finalize Parâmetros: pReserved (CK_VOID_PTR) Descrição: Sessões serão fechadas. Slots serão fechados. Memória reservada sera liberada. Informação Adicional: pReserved será ignorado. C_Finalize será chamado automaticamente no final. If C_Initialize é chamados n vezes em sucessão (sem C_Finalize entre), C_Finalize só sera realizada após a enésima vez. C_GetObjectSize Parâmetros: hSession CK_SESSION_HANDLE hObject CK_OBJECT_HANDLE pulSize CK_ULONG_PTR Descrição: O tamanho de um objeto sera retornado. Informação Adicional: O tamanho retornado é o tamanho mínimo de um objeto, ou seja, não contém o tamanho extra de atributos como etiqueta (label), ou Id. O tamanho dos objetos privados corresponde ao valor padrão (default). C_GetSlotList Parâmetros: Descrição: tokenPresent CK_BBOOL pSlotList CK_SLOT_ID_PTR pulCount CK_ULONG_PTR Retorna a lista dos slots identificados. Pode ocorrer que Slots instalados, mas não conectados sejam apresentados na lista. O número de Slots pode ser obtido passando um ponteiro nulo 65 (Null-Pointer) em pSlotList. Se você deseja apenas os Slots com um cartão inserido defina tokenPresent como Verdadeiro. C_GetTokenInfo Parâmetros: slotID pInfo CK_SLOT_ID CK_TOKEN_INFO_PTR Descrição: Retorna se um cartão está inserido em um Slot. Se o cartão não está inserido, CKR_TOKEN_REMOVED sera retornado. Característica Especial: Inserir ou remover um cartão de um Slot é um Evento (see C_WaitForSlotEvent). Se C_GetTokenInfo for chamado, o Evento será finalizado, mesmo que o cartão foi removido e C_GetTokenInfo CKR_TOKEN_NOT_PRESENT retornado. C_Initialize Parâmetros: CinitArg CK_VOID_PTR_PTR Descrição: Biblioteca será iniciada. Slots serão criados. Cartões inseridos ficarão prontos para uso. Informação Adicional: CinitArg é esperado no formato CK_C_INITIALIZE_ARGS. A partir disto, as flags são escolhidas, em particular CKF_LIBRARY_CANT_CREATE_OS_THREADS que decide sobre Multi threading. O restante é ignorado. Se C_Initialize é chamado várias vezes, CKR_CRYPTOKI_ALREADY_INITIALIZED é retornado. O número é levado em conta (veja C_Finalize). C_InitToken Parâmetros: slotID CK_SLOT_ID pPin CK_UTF8CHAR_PTR ulPinLen CK_ULONG pLabel CK_UTF8CHAR_PTR Descrição: Token sera inicializado. SO pin é dada pelo parâmetro pPin, O pin do usuário será restabelecido para o default 11111111. O tamanho máximo do SO pin é 16 digitos. Característica Especial: Em caso de inicialização (o token está vazio): o pin do cartão será estabelecido para o mesmo valor do SO pin. Após a inicialização do token, o pin do cartão não poderá ser alterado pelo PKCS#11, mas o SO pin poderá ser alterado através da função C_SetPIN. Em caso de re-inicialização (o token já foi inicializado): O SO PIN informado 66 será verificado primeiramente. Após isto, o PIN do usuário será restabelecido para o default 11111111, e todos objetos no token serão apagados. O SO PIN e o PIN do cartão não serão alterados. C_OpenSession Parâmetros: slotID flags CK_SLOT_ID CK_FLAGS pApplication CK_VOID_PTR Notify CK_NOTIFY phSession CK_SESSION_HANDLE_PTR Descrição: Abre uma nova sessão no Slot. Informação Adicional: Notifica e pApplication são ignorados e serão estabelecidos como NULL_PTR. Sessões poderão ser apenas abertas, se um cartão estiver inserido. Característica Especial: Se uma sessão é aberta e o cartão for removido em seguida, todas sessões no Slot retornarão CKR_DEVICE_REMOVED. Se houver um erro com CKR_ DEVICE_REMOVED, CKR_TOKEN_NOT_RECOGNIZED ou CKR_TOKEN_NOT_PRESENT uma pausa é automaticamente realizada neste Slot para todas sessões. Se uma pausa na sessão é utilizada novamente, essa sessão será reaberta automaticamente. Se um cartão for inserido ou removido de um Slot, então esse será um Evento (veja C_WaitForSlotEvent). Se C_OpenSession é chamado, o Evento sera finalizado, mesmo se o catrtão tenha sido removido e C_OpenSession retornado CKR_TOKEN_NOT_PRESENT. C_WaitForSlotEvent Parâmetros: flags CK_FLAGS pSlot CK_SLOT_ID_PTR preserved Descrição: CK_VOID_PTR (= NULL_PTR) flag = 0; O metodo espera até que um Slot reporte um Evento. Então ele retorna o Slot com o Evento em pSlot. flag = CKF_DONT_BLOCK O método mostra o Slot com Event em pSlot. Se não há Evento, CKR_NO_EVENT sera retornado. Característica Especial: Se mais Slots tem um Evento, eles serão retornados they will be returned alternadamente. Um Evento persiste até que um acessão ao cartão ocorra (e.g. by C_OpenSession ou C_GetToken_Info), mesmo se um erro seja retornado ao cartão. 67 Objetos Todos os objetos serão armazenados no cartão (CKA_TOKEN = true). Sessões ou outros objetos de software não serão atendidos. O ID (CKA_ID) indica quais objetos pertencem um ao outro. CKO_CERTIFICATE (CKC_X_509) Certificado em X.509 formato (**) Não retorna erro na tentativa de escrever. CKO_PRIVATE_KEY (CKK_RSA) 68 (*) Só pode ser lido, se um certificado correspondente existir. (**) Não retorna erro na tentativa de escrever. (***) Não é suportado. CKO_PUBLIC_KEY (CKK_RSA) 69 (*) Só pode ser lido, se um certificado correspondente existir. (**) Não retorna erro na tentativa de escrever. (***) Não é suportado. CKO_DATA Dados Gerais (**) Não retorna erro na tentativa de escrever. Mecanismos Assinatura (RSA): Descrição: Dados de Assinatura Ordem: C_SignInit, C_SignUpdate, C_SignFinal ou C_SignInit, C_Sign C_Sign opera como se C_SignUpdate e depois C_SignFinal fosse chamado. C_SignUpdate processa os dados imediatamente. 70 Característica Especial: Ordem C_SignInit, C_Sign(C_SignUpdate, C_SignFinal), C_Sign (C_SignUpdate, C_SignFinal) onde no primeiro C_Sign (resp. C_SignFinal) NULL_PTR será passado para a assinatura e apenas o tamanho da assinatura sera retornado. A assinatura será retornada no segundo C_Sign (resp. C_SignFinal). Se C_SignUpdate for chamado pela segunda vez, os dados devem coincidir com os dados da primeira vez. Uma terceira chamada não é possivel. Para outra assinatura C_SignInit deve obrigatoriamente ser chamado primeiro. Verificação (RSA): Descrição: Verifica a assinatura. VerifyRecover retorna apenas os dados (normalmente como um valor de hash) Ordem: C_VerifyInit, C_VerifyUpdate, C_VerifyFinal ou C_VerifyInit, C_Verify ou C_VerifyRecoverInit, C_VerifyRecover C_Verify opera como if _VerifyUpdate e então C_VerifyFinal é chamado. C_VerifyUpdate armazena dados apenas temporariamente. C_VerifyRecover retorna os dados assinados. Característica Especial: Ordem C_VerifyRecoverInit, C_VerifyRecover, C_VerifyRecover, onde em sua primeira C_VerifyRecover um NULL_PTR será passado como dado. Ela retorna apenas o tamanho dos dados. Os dados serão retornados no segundo C_VerifyRecover. Uma terceira chamada não é possível. Para mais verificações C_VerifyRecoverInit deve obrigatoriamente ser chamado primeiro. Encriptação (RSA): Descrição: Encripta os dados. Ordem: C_EncryptInit, C_EncryptUpdate, C_EncryptFinal ou C_EncryptInit, C_Encrypt C_Encrypt opera como um C_EncryptUpdate e depois que C_EncryptFinal for chamado. Característica Especial: C_EncryptUpdate armazena os dados temporariamente. Você pode obter os dados finalizados com C_EncryptUpdate. Se você não fizer isto, você recebe com C_EncryptFinal todos os dados de uma vez. Embora os dados estejam disponíveis apenas uma vez! Decriptação (RSA): Descrição: Decripta os dados. Ordem: C_DecryptInit, C_DecryptUpdate, C_DecryptFinal ou C_DecryptInit, C_Decrypt C_Decrypt como se fosse C_DecryptUpdate e depois que C_DecryptFinal for chamado. Característica Especial: C_DecryptUpdate armazena os dados temporariamente. Você pode obter os 71 dados finalizados com C_DecryptUpdate. Se você não fizer isto, você receberá C_DecryptFinal com todos dados de uma vez. Embora os dados estejam disponíveis apenas uma vez! Digest (funções hash SHA1, SHA2, MD2, MD5): Descrição: Um valor de hash é calculado a partir dos dados. Ordem: C_DigestInit, C_DigestUpdate, C_DigestFinal ou C_DigestInit, C_Digest C_Digest opera como se fosse C_DigestUpdate e depois que C_DigestFinal for chamado. C_DigestUpdate processa os dados imediatamente. 72 Apêndice B: Funções não-padrão para a DLL PKCS#11 Duas funções não-padrão para a inicialização do token são acrescentadas à biblioteca PKCS#11 cmP11. CK_RV EraseProfile slotID CK_SLOT_ID /* ID do token no Slot */ pCardPIN CK_BYTE_PTR /* Valor do PIN do cartão */ ulCardPINLen CK_ULONG /* tamanho do valor do PIN do cartão */ Descrição: Apaga o perfil existente em um token. Para apagar o perfil, o PIN do cartão deve ser verificado. CK_RV CreateProfile slotID CK_SLOT_ID /* ID do token no Slot */ pProfile CK_UTF8CHAR_PTR /* nome do perfil, finalizado com null */ pSerNum CK_BYTE_PTR /* número serial */ ulSerNumLen CK_ULONG /* tamanho do número serial */ pCardPin CK_BYTE_PTR /* valor do PIN do cartão */ ulCardPINLen CK_ULONG /* tamanho do valor do PIN do cartão */ pSOPIN CK_BYTE_PTR /* valor do SO PIN */ ulSOPINLen, CK_ULONG /* tamanho do valor do SO PIN */ pUserPIN CK_BYTE_PTR /* valor do PIN do usuário */ ulUserPINLen CK_ULONG /* tamanho do valor do PIN do usuário */ pLabel CK_UTF8CHAR_PTR /* 32-byte etiqueta do token (preenchimento em branco) */ ulUserPINRetry CK_ULONG 73 /* retorna contador do PIN do usuário */ Descrição: Criar um perfil. Os nomes de perfil disponiveis são “CORPORATE”, “PKCS15”, “CNS” e “FINEID”. Usualmente, o token deve obrigatoriamente estar vazio ou o perfil anterior deverá ser apagado antes que um novo perfil seja escrito no token. Observação: Nem todos perfis são suportados por todos smartcards. CardOS V4.x suporta: CORPORATE, PKCS15,CNS CardOS M4.0(a) suporta: CORPORATE JavaCards suporta: CORPORATE, PKCS15, FINEID ACOS suporta: CORPORATE. 74 Apêndice C: Informações de LOG Informações de LOG servem para encontrar e corrigir erros, mas impactam a performance do sistema. Geralmente, o LOG deve estar desabilitado. O LOG deve ser apenas utilizado por usuários experientes ou quando solicitado. O arquivo de LOG segue o seguinte formato: Cada entrada contém o nome da função, os parâmetros antes e depois da chamada da função e o resultado da função. Informações privadas são ocultas pela string estática “[------------------------------------]”, assim apenas o comprimento é legível. Além do LOG do sistema, durante a instalação é gerado um arquivo de LOG em formato txt no diretório “c:\ charismathics\Log_ddmmaa.txt” (Versão Windows) e “\\root\charismathics\ log_instalacaoddmmaa_hhmm.log” (Versão Linux), contendo registro de sucesso ou falha na instalação, relatando informações relativas às causas da impossibilidade de instalação do arquivo. 75 Apêndice D: Arquivos de Conveniência Para habilitar o LOG com as configurações padrão, arquivos .reg podem ser encontrados no diretório de instalação <program files>\Charismathics\smart security interface x.zz\ CSSI_Param.reg contém parâmetros de LOG para PKCS#11 e para CSP CSSI_TSS.reg contém parâmetros de LOG para TSS/TPM 76 Apêndice E: Configurações de Registro O LOG é controlado pelas entradas de registro armazenadas em [HKEY_LOCAL_MACHINE\SOFTWARE\charismathics\smart security interface] "LogFile_mode"=dword:00000001 Utilize 1 para habilitar o LOG, 0 para desabilitá-lo "PKCS11_LogFile_name"="c:\\temp\\cmP11.log" "CSP_LogFile_name"="c:\\temp\\cmCSP.log" "TSP_LogFile_name"="c:\\temp\\cmTSP.log" "TCS_LogFile_name"="c:\\temp\\cmTCS.log" Selecione um arquivo de LOG e um diretório. Utilize apenas nomes absolutos para o caminho. Lembre de manter a barra ao contrário ‘\’ dobrada. 77 Apêndice F: Atributos de Certificado (Uso Chave) Uma breve explanação das opções, a seguir: 1. Assinatura Digital: O certificado pode ser usado para o autenticação e assinatura digital 2. Admitido para Documentos: O certificado verifica assinaturas, que verificam a responsabilidade e a obrigatoriedade dos documentos (exceto assinaturas de certificados e CRL’s da Autoridade Certificadora. 3. Encriptação de Chaves : Encriptação das chaves com a finalidade de sua transmissão. 4. Encriptação de Dados : Encriptação dos dados com a finalidade da transmissão, mas não as chaves. 5. Trocando Chaves: Uso da chave para concordar com outras chaves, por exemplo: uma chave Diffie-Hellman. 6. Somente Encriptar: Esta opção é mutuamente exclusiva com todas as outras opções. 7. Somente Desencriptar: Esta opção é mutuamente exclusiva com todas as outras opções. 78 Apêndice G: Configurando o Firefox para utilizar a biblioteca Charismathics PKCS#11 1. Abra o Firefox. 2. Vá para Ferramentas – Opções. 3. Selecione Avançado – Aba Criptografia – clique em Dispositivos de Segurança. 79 4. Clique em Carregar. Localize e selecione cmP11.dll (normalmente localizada no diretório System32 do Windows) para configurar o módulo PKCS#11 no Ambiente Windows. Para o Ambiente Linux, selecione libcmp11.so, encontrada no diretório de instalação da aplicação (verificar capítulo “Instalação no Ambiente Linux”). Quando carregar a PKCS11 no Firefox / Thunderbird, não insira nenhum caracter especial no campo “Nome do modulo (Module Name)”. 5. Clique em Abrir. 80 6. Uma mensagem de confirmação será apresentada, clique OK. 7. Uma mensagem de alerta “Uma nova segurança foi instalada” será exibida, clique OK. 81
