Charismathics Smart Security Interface™ V4.8.1 Manual

Сomentários

Transcrição

Charismathics Smart Security Interface™ V4.8.1 Manual
Charismathics Smart Security Interface™
V4.8.1
Manual
Conteúdo
1
2
3
4
Prefácio
Sobre este Manual
Instalação
3.1
Instalação no Ambiente Windows
3.1.1 Componentes instalados
3.1.2 Requerimentos de Instalação
3.1.3 Instalação Desacompanhada
3.2
Instalação no Ambiente Linux
3.2.1 Componentes Instalados
3.2.2 Configurando a biblioteca Charismathics PKCS#11
3.3
Cartões Inteligentes suportados
3.4
Leitores de Cartões testados
3.5
PIN de Entrada Seguro
Ferramenta de administração Charismathics Security Token configurator
4.1
Interface do Usuário
4.1.1 Menu Gerenciador
4.1.2 Considerações específicas para o Ambiente Linux
4.1.3 Menu Editar / Menu de Contexto
4.1.4 Menu Token
4.1.5 Menu Par de Chaves
4.1.6 Menu Certificado
4.1.7 Menu Sobre
4.2
Modificando os PIN’s
4.2.1 PIN do Usuário Timeout – Versão Windows
4.2.2 PIN do Usuário Timeout - Versão Linux
4.3
Desbloqueando Tokens
4.4
Gerando e Importando Chaves
4.4.1 Gerando um Par de Chaves
4.4.2 Importar Par de Chaves
4.4.3 Geração de uma Chave Secreta
4.4.4 Importando uma Chave Secreta
4.5
Gerando e Importando Certificados
4.5.1 Gerando Certificados com assinatura própria e Certificado requisitado
4.5.2 Importação de Certificados
4.6
Criando Perfis
4.6.1 … no caso de um smart card com perfil
4.6.2 … no caso de um smart card vazio
4.7
Preparando um Token (Inicialização e Personalização)
4.7.1 Primeiro Passo: Criando um Perfil (Inicialização)
4.7.2 Segundo Passo: Criando Chaves e Certificados (Personalização)
4.8
Funções adicionais
4.8.1 Diretório “Certificados”
4.8.2 Diretório “Dados”
4.8.3 Função "Abrir Token"
4.8.4 Função "Apagar Tudo" e "Apagar Objeto"
4.8.5 Função Configure Container (recipiente) Padrão
4.8.6 Função “Trocando Label do Container”
4.8.7 Função "Mostrar Certificado"
4.8.8 Função "Exportar Certificado"
2
5
7
8
8
8
9
10
10
10
11
13
13
13
14
14
15
17
18
18
23
25
31
34
35
36
37
37
38
39
40
41
41
42
45
45
46
46
47
47
47
47
47
48
49
49
51
51
52
53
4.8.9 Função "Registrar Certificado"
4.8.10 Função "Verifique Chave Privada"
4.8.11 Função "Verificar Chave Secreta"
4.9
Menu Sobre
4.10 Menu Sair
5
Charismathics Extension Tool
6
CSP da Charismathics Smart Security Interface
6.1
Procedimentos Gerais
6.2
Smart Card Login para um Domínio Windows 2000
6.3
SSL- Autenticação com Smart Card no Internet Explorer
6.4
Outlook Express com Assinatura Eletrônica e Encriptação via Smart Card
6.5
Windows VPN-Login com Smart Card
7
PKCS#11 - Módulo da Charismathics Smart Security Interface
7.1
Metodologia Geral
7.2
Smart Card Login para o Novell eDirectory
7.3
SSL- Autenticação com Smart card no Netscape
7.4
Segurança de e-mail através de Cartões Inteligentes com o
Netscape’s Messenger
8
Referências
Apêndice A: Referência para Desenvolvedores
Funções de acordo com Padrão PKCS#11
Sinopse de funções específicas
C_Finalize
C_GetObjectSize
C_GetSlotList
C_GetTokenInfo
C_Initialize
C_InitToken
C_OpenSession
C_WaitForSlotEvent
Objetos
Mecanismos
Assinatura (RSA):
Verificação (RSA):
Encriptação (RSA):
Decriptação(RSA):
Digest (funções Hash SHA1, MD2, MD5):
Apendice B: Funções não padrão para o PKCS#11 DLL
Apendice C: Informação de LOG
Apêndice D: Arquivos de Conveniência
Apêndice E: Configurações do Registro
Apendice F: Atributos de Certificado (Uso da Chave)
Apendice G: Configurando o Firefox para utilizar a biblioteca Charismathics PKCS#11
3
53
54
55
56
57
58
59
59
59
60
60
60
61
61
61
61
62
63
64
64
65
65
65
65
66
66
66
67
67
68
70
70
71
71
71
72
73
75
76
77
78
79
4
1 Prefácio
Obrigado por comprar nosso midleware Charismathics Smart Security Interface (CSSI)
Charismathics Smart Security Interface provê os módulos que você precisa para integrar diferentes smart
cards, tokens USB e chips TPM dentro de suas aplicações. A funcionalidade de nosso midleware começa
com funções para a administração do smart card, incluindo módulos que apóiam o sistema operacional para
utilizar tokens. As seguintes estruturas de arquivo (perfis) são suportadas:
Charismathics corporate profile: Principal perfil. Similar ao perfil PKCS#15, mas que possibilita a alteração de algumas estruturas não permitidas no perfil PKCS#15.
PKCS#15 profile: Perfil padrão PKCS#15.
IAS profile: Perfil padrão utilizado na França.
FINEID: Perfil criado para a identificação na Finlândia.
Charismathics Smart Security Interface é compreendido dos seguintes módulos:
A ferramenta de administração Charismathics Smart Security Interface Manager.
A ferramenta de usuário Charismathics Smart Security Interface Utility.
A ferramenta de registro para o registro automático dos certificados.
A CSSI Extension Tool para adicionar novas associações ATR/OS (CSSI Extension Tool).
O CSP, sigla em inglês para provedor de serviços criptográficos.
Módulo PKCS#11.
Módulo TSS para TPM chips (opcional). Módulos de segurança presentes em computadores para
login e criptografia (utilizados principalmente na Europa).
Módulo BIO, que provê a identificação biométrica, através da impressão digital (opcional)
Com a ferramenta de usuário Charismathics Smart Security Interface Utility, você pode mudar seu PIN
de usuário e pode registrar seu smart card ou USB Token.
Você pode administrar suas chaves e certificados do smart card/token usando a ferramenta de Administração Charismathics Security Token configurator. Você pode gerar, importar ou exportar chaves e certificados. Além disso, você pode exibir informações sobre o conteúdo do smart card/token, trocar/desbloquear
o PIN do smart card/token, e inclusive criar novos perfis.
Charismathics Smart Security Interface-CSP permite a você expandir as aplicações e serviços dentro de
um ambiente Microsoft e seu uso com um smart card.
Charismathics Smart Security Interface-PKCS#11 permite a você usufruir de aplicações e serviços adicionais, que usam este padrão. Módulos PKCS#11 podem ser usados em ambientes Netscape e Novell (por
exemplo).
Especialmente, você pode expandir o uso das seguintes aplicações através da CSSI:
Login com smart cards para Windows Domains ou Novell eDirectory
SSL- Autenticação por smart card (Internet Explorer, Netscape, …)
E-mail seguros com cartões (PGP, Netscape Messenger, Outlook, Outlook Express,…)
VPN com smart cards (Microsoft, Cisco, …)
5
Este manual é importante para administradores de sistema e desenvolvedores de aplicativos, que desenvolvem suas próprias aplicações e acessam módulos da Charismathics Smart Security Interface, ex.
PKCS#11. Informações adicionais serão encontradas nos apêndices deste manual.
6
2 Sobre este Manual
Se você adquiriu a Charismathics Smart Security Interface na edição de Administrador, você achará
uma descrição da ferramenta de administração no capítulo Ferramenta de administração: Charismathics
Security Token Configurator, explicando como administrar chaves e certificados, trocar PIN’s, desbloquear, inicializar e personalizar smart cards.
Além disso, você encontrará informações adicionais, relativas à Ferramenta de Registro, CSSI Extension
Tool, CSP e PKSC#11, além de aplicações que talvez possam ser expandidas (atualizadas) por tokens.
Desenvolvedores de aplicações podem encontrar informações adicionais em como acessar a biblioteca dos
módulos como, por exemplo, no Apêndice Funções de acordo com Padrão PKCS#11, você encontra
funções para acesso ao módulo PKCS#11 da Charismathics Smart Security Interface. Se a intenção for
desenvolver uma aplicação proprietária, no Apêndice Atributos de Certificado – Uso Chave, por exemplo,
você encontra uma descrição conscisa dos atributos do certificado, e informação sobre seu emprego fundamental.
Contudo, uma explicação de como configurar ambientes Microsoft ou de outros fabricantes, excede o objetivo deste manual. Neste caso, consulte a documentação do fabricante correspondente.
Nota: Para entender este manual você precisa de conhecimento básico em Tecnologia da Informação (TI) e
correspondente segurança. Especialmente, você deve estar familiarizado com os seguintes termos: certificado, chave privada, pública, e secreta, assinatura digital, PKI, etc... Por favor, consulte o glossário IT &
Security na homepage de nossa empresa: http://www.charismathics.com se você quiser consolidar seu
conhecimento.
7
3 Instalação
Antes que você instale a Charismathics Smart Security Interface, o leitor de cartões deve estar instalado
de acordo com as diretrizes do seu fabricante, e deve estar completamente operacional. A instalação da
Charismathics Smart Security Interface é executada a partir do CD de instalação.
3.1
Instalação no Ambiente Windows
O processo de instalação pode ser iniciado clicando duas vezes sobre “install.bat”, localizado no CD de
instalação, na pasta “..\CSTC_Versão Windows\ CSTC_4.8.1_32bit”.
A instalação do CSSI4.8.1 é feita automaticamente no idioma português. O usuário pode alterar o caminho
padrão de instalação se necessário.
Uma vez iniciado o processo de instalação, o instalador apresenta o contrato de licença que, depois de aceito pelo usuário, continua a instalação de forma automática. O log completo da instalação é gerado no
sistema na pasta %temp% com o nome install.txt. O arquivo de log inclui mensagens para grupos de ações
realizados durante a instalação. Também inclui mensagens indicando o sucesso ou o fracasso da instalação. Se qualquer problema for encontrado durante o processo de instalação, o instalador fornece imediatamente uma mensagem de erro em português.
Este mesmo arquivo do LOG de instalação é gerado em formato txt no diretório “c:\ charismathics\Log_ddmmaa.txt”.
Nota: Para informações mais detalhadas sobre as rotinas e ações realizadas durante a instalação verifique
o arquivo de log da instalação.
3.1.1
Componentes instalados
A instalação do CSSI 4.8.1-Charismathics, instrumento configurador de token de segurança, instala os seguintes componentes:
Local padrão de instalação. Como padrão na pasta: “\arquivos de programa\charismathics\smart
security interface\”.
o Secintmgr.exe: É a ferramenta de administração de cartão inteligente - Charismathics Security
Token Configurator.
o CSSIExtension: É a ferramenta utilizada para adicionar um novo ATR no cartão, se necessário.
o CSPregtool.exe: Propaga automaticamente o certificado para a área de armazenamento de
certificados. Não é necessária no ambiente Windows Vista e acima, uma vez que nestes casos,
a propagação do certificado é realizada pelos serviços do próprio sistema.
o Manual do Usuário.
o Pasta com strings de localização.
Pasta “System32”
o O CSP, versão de 32 bits, é instalado no seguinte local: “\Windows\System32 cmCSP.dll”.
o A biblioteca PKCS11, versão de 32 bits, é instalada no seguinte local:
“\Windows\System32\cmP11.dll”.
As seguintes chaves de Registro são criadas durante a instalação:
o Registro da pasta de instalação do CSSI:
[HKEY_LOCAL_MACHINE\SOFTWARE SOFTWARE\ charismathics\ smart security interface\
o Registro de entradas do CSP da Charismathics:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Charismathic
s Smart Security Interface CSP
8
o
3.1.2
Entradas do smart card (cartão inteligente):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\Smartcard\
Requerimentos de Instalação
Se não outro explicitamente requerido, siga os seguintes :
Microsoft
Ou
Ou
Ou
Ou
Windows NT 4.0
Windows 2000
Windows XP
Windows Server 2003
Windows Vista
com Service Pack 6a
com Service Pack 4
com Service Pack 2
Nota: Durante a instalação, o módulo CSP é registrado automaticamente no Sistema Operacional Windows.
Se houver uma versão de Netscape, Firefox or Thunderbird em seu computador, a Register Tool (ferramenta do registo) pode ajudar-lhe a ativar o suporte a PKCS#11 dentro destas aplicações. Consulte o Capítulo:
Ferramenta de Registro para uma informação mais detalhada.
As seguintes aplicações são suportadas:
Smart card login para o Windows 2000 ou 2003-Domain:
ADS, Enterprise CA, Windows 2000 ou 2003 Servidor e como Cliente: Windows 2000 Professional
ou Windows XP Professional
Autenticação - SSL com smart card usando Internet Explorer:
Microsoft Internet Explorer 5.0, 5.5 ou 6.0, High Encryption Pack, SSL V3 com Strong User Authentication
Outlook com assinatura digital e encriptação via smart card:
Outlook Express 5.0, 5.5 ou 6.0
Windows Mail
Outlook 2000, 2003
Lotus Notes com assinatura digital e encriptação via smart card:
Lotus Notes 6.5 or higher
Windows VPN-Login com smart card
Windows 2000 Server e como Client: Windows 2000 Professional ou
Windows 2003 Server e como Client: Windows 2000 ou XP
Smart card login para Novell eDirectory
Netware 5.1 SP3, eDirectory 8.6.1, Novell Client 4.83 SP1, NMAS EE 2.0 (com o Universal Smartcard Login Method incluso) com NICI 1.5.7 (Server e Client), NMAS 2.1 (com o Universal Smartcard
Login Method incluso) com NICI 2.4.1 (Server e Client) ou acima em cada caso.
Smart card login to Lotus Notes
Lotus Notes 6.5 ou acima
SSL- Authentication com smart card e Netscape
Netscape Navigator 4.72 (High Encryption), 4.73, 4.76, 6.x
Email-Security via smart cards com Netscape Messenger
Netscape Messenger 4.72 (High Encryption), 4.73, 4.76, 7.x
Thunderbird 1.5 e acima
E-Mail-Security via suporte PGP (PKCS#11): PGP Personal Desktop 8.1 for Windows
Compatibilidade/Smart card administration da Baltimore-PKI (PKCS#11): Token Manager para Betrusted Unicert V5.2 para Windows
9
Compatibilidade/Smart card administration da Entrust-PKI (PKCS#11): Security Manager Administration 7.0
Compatibilidade/Smart card administration da Ecos-PKI Appliance BB5000 (PKCS#11)
Os produtos mencionados, não precisam de qualquer exigência de software cliente; por favor, observe no
caso de outros produtos que não estão listados acima, os respectivos manuais correspondentes.
HD ENCRYPTION / PREBOOT.: O middleware CSSI possui compatibilidade com os seguintes ambientes:
Pointsec
Utimaco
3.1.3
Safeboot
PGP
Secude
Instalação Desacompanhada
Em vez de executar setup.exe, a instalação pode também ser iniciada na “modalidade desacompanhada”,
chamando-se o correspondente arquivo “.msi” do diretório de instalação, conforme segue:
msiexec /i “CSSI x.x - admin edition.msi” /qn
3.2
Instalação no Ambiente Linux
Para instalação no Ambiente Linux, acesse a pasta no CD de instalação
nux\CSSI4.8.1_Linux_32-bit\CSSI4.8.1_CSTC\” e siga as etapas descritas a seguir:
“..\Versão
Li-
A instalação é feita automaticamente no idioma português. O usuário pode alterar o caminho padrão de
instalação se necessário.
Copie o conteúdo da área de instalação no CD para um diretorio da máquina. Pode ser para o home
do usuário. O manual do Sistema deve ser copiado juntamente com o arquivo de instalação compactado.
Entre em um terminal (alt f2 gnome-terminal). Acesse o diretório da máquina para o qual os arquivos
foram copiados do CD.
Descompacte o arquivo com o comando tar –zxvpf InstaladorCSSI4.8.1.tar.gz.
Entre na pasta “InstaladorCSSI4.8.1” criada pelo passo anterior.
Como
usuario
root
(comando ./InstalaCSTC.sh).
(comando
su)
executar
o
arquivo
InstalaCSTC.sh
Execute os passos pedidos pelas telas.
Reinicie o Ambiente Linux.
3.2.1
Componentes instalados
O pacote de instalação CSSI4.8.1 para Linux contempla as seguintes pastas e componentes:
Pasta Application: Abaixo desta pasta estão as ferramentas de administração do cartão: scManager e
biblioteca PKCS11.
Pasta Debs: Esta pasta inclui os pacotes para libccid, pcsclite, PCSCd packages, libglib, libtiff e wxWidgets. Qualquer pacote faltante no seu sistema pode ser instalado através dos pacotes desta área.
10
Pasta Language: Inclui da localização da referência para o idioma Português / Brasil para o CSTC –
ferramenta de administração de cartões.
Componente “./InstalaCSTC.sh” : Corresponde ao script (comandos) para instalação do pacote CSSI.
Os components que fazem parte da aplicação CSSI4.8.1 para Linux são:
scManager:
Instalado na pasta /opt/CSTC.
A ferramenta Charismathics Security Token Configurator (scManager), é a ferramenta administrativa
utilizada para iniciar smart cards, gerenciar certificados e dados e gerenciar os PINs do cartão. Após
realizar a instalação, o pacote scManager aparecerá no Desktop como um atalho.
libcmP11.so:
Instalado na pasta /opt/CSTC /lib. É a biblioteca charismathics PKCS11.
scManager.mo:
Inclui a localização da
/usr/local/share/locale/pt.
referência
para
o
idioma
Português.
Está
instalado
na
pasta
Após a instalar o Sistema, um LOG completo da instalação é criado na pasta “\\root\charismathics\
log_instalacaoddmmaa_hhmm.log”, contendo registro das atividade geradas durante o processo de instalação, o sucesso ou falha em cada etapa da instalação e relatando informações relativas às causas da impossibilidade de instalação do arquivo.
3.2.2
Configurando a biblioteca Charismathics PKCS#11
No CD de instalação, acesse a pasta “..\Versão Linux\CSSI4.8.1_Linux_32-bit\Install PKCS11CSSI4.8.1_Linux_32bit\”, copie o módulo “libcmP11.so” para uma pasta de sua preferência.
Você pode utilizar qualquer aplicação que permita especificar um modulo externo de segurança, para instalar o módulo PKCS#11. Exemplos de aplicação: Firefox,Thunderbird, etc.
Especificamente, para instalar o módulo PKCS#11 no Firefox, acesse o “Apendice E: Configurando o Firefox para utilizar a biblioteca Charismathics PKCS#11” para obter maiores informações.
Ainda, caso deseje criar um arquivo de LOG, especifique a variável de ambiente SCINTERFACE com o
nome de arquivo e caminho desejado. Por exemplo:
#export SCINTERFACE=/tmp/cmP11.log
ou adicione a linha "export SCINTERFACE=/tmp/cmP11.log" no arquivo de ambiente para configuração de
variáveis
/etc/profile
11
3.3
Cartões Inteligentes suportados
Charismathics Smart Security Interface suporta os seguintes smart cards/tokens:
ABACOS 2.0
ACOS EMV A03
Aladdin eToken Pro
CardOS M4.01a
CardOS V4.2C
Cosmo V5.4
JCOP 20
JCOP 31
NetKey PKS/2000/E4
[email protected] 2.0, 2.1, 3.0
ACOS A-Trust Card
ActivIdentity Card
Axalto Cyberflex Access V2c
CardOS V4.20
CardOS V4.30
G&D [email protected] Express
JCOP 21
JCOP 41
Oberthur CosmopolIC V5.2
StarCOS 2.3/2.4/3.0/3.1
ACOS edu.Card
Aladdin eToken
CardOS M4.01
CardOS V4.2B
CardOS V4.3B
GemXpresso Pro R3.2
JCOP 30
jTOP JCX32
plusID 60 token
e TPM chips:
Infineon TPM 1.1 & 1.2
3.4
Broadcom TPM 1.1 & 1.2
Leitores de Cartões testados
Por favor, observe se o seu leitor de cartão foi instalado de acordo com as especificações do fabricante e
está operando completamente. Charismathics Smart Security Interface foi testado com os seguintes leitores de cartões:
ACS38 USB
Eutron Digipass 860
Fujtsu Siemens Computer Smartcase SCR USB
KOBIL KAAN advanced
Omnikey Cardman 2020 USB
Omnikey Cardman 3620 USB
charismathics plug’n’crypt
Fujtsu Siemens Computer Smartcase KB SCR PRO
Fujtsu Siemens Computer Smartcase SCR USB internal
Omnikey Cardman 1010 serial
Omnikey Cardman 3021 USB
Omnikey Cardman 3621/3821
ORGA Card Mouse USB
SCM SCR 3340 (Express-Card)
SCM SCR333
SCM SCR 331 USB
SCM SCR 532 seriell/USB
SCM SCR335 USB
Eutron cryptoidentity CCID
Fujtsu Siemens Computer Smartcase KBPC CX
Fujtsu Siemens Computer Smartcase Token USB
Omnikey Cardman 2011 serial
Omnikey Cardman 3121 USB
Omnikey Cardmann CM4040
(PC-Card)
SCM SCR 3310 USB
SCM SCR241 PCMCIA
Adicionalmente, um grande número de leitores não mencionados explicitamente acima, mas construídos
com base no hardware compatível, são suportados.
Nota: Somente PC/SC drivers são suportador. Não há suporte para CT-API-drivers.
Se a chave RSA 2048 for usada, então o leitor do smartcard deve suportar a APDU extendida.
12
3.5
PIN de Entrada Seguro
Alguns leitores de cartão vêm equipado com seu próprio PIN-pad. Este PIN-pad pode ser usado para SPE,
se um dos seguintes dispositivos for usado:
Cherry Keyboard G83-6644
Omnikey 3621 USB
OmniKey 3821 USB
Certifique-se por favor, que seus “windows device drivers” estão atualizados, se você quiser usar PC/SC 2.0
com SPE.
Para ativar SPE, edite o registro da seguinte forma:
[HKEY_LOCAL_MACHINE\SOFTWARE\charismathics\smart security interface]
Para ativar
SPE, use: "USE_PINPAD"=hex:01
Para desativar SPE, use: "USE_PINPAD"=hex:00
Embora CSSI suporte os PIN’s alfanuméricos em geral, SPE somente suporta dígitos. Por favor, tenha certeza de que os PIN’s usados para o cartão, possam ser conectados usando-se SPE, se você pretender
utilizá-lo.
13
4 Ferramenta de administração Charismathics Security Token Configurator
Esta ferramenta da versão/edição administrador oferece as seguintes funções: mudança de Pin’s, desbloqueio de smart card/tokens, geração de perfis, chaves e certificados, e assim por diante.
4.1
Interface do Usuário
Depois de abrir a ferramenta de administração da Charismathics Security Token Configurator você verá
a seguinte interface:
O painel esquerdo indica a lista dos leitores de cartão que estão conectados ao sistema. São exibidos, os
leitores de cartão e os leitores virtuais de token USB, indicados na mesma janela. Uma vez que um token foi
inserido, a hierarquia é extendida. Selecionar um item na hierarquia exposta indica suas propriedades no
painel direito. As propriedades são indicadas de forma tabular com parâmetros e seu valor associado.
14
4.1.1
Menu Gerenciador
Função “Abrir Token”: Para ver o conteúdo de um token/smart card, selecione o leitor que contém o smart
card ou o Token USB na hierarquia e selecione “Abrir Token” do menu “Gerenciador”. Click sobre o
(ícone +) na frente do leitor, para expandir a hierarquia, o que servirá a mesma finalidade. No início, somente a informação pública está disponível, por exemplo: Label do Token, o perfil e a memória livre.
Função “Criar Perfil de Token”: Esta opção exclui o perfil atual (se presente), e cría um novo perfil no
smart card ou no Token USB. Esta característica é descrita em detalhes no ítem “Preparando um Token”.
As seguintes regras devem ser observadas no preenchimento dos campos:
Perfil: escolhido de acordo com as opções apresentadas no Prefácio.
Cartão PIN: preenchido com exatamente 10 caracteres.
PUK, Confirme PUK, PIN do Usuário, Confirme PIN do Usuário
o Comprimento mínimo de 6 e máximo de 16 carcteres.
o Conter no mínimo 1 caracter alfabético maiúsculo (A..Z).
o Conter no mínimo 1 caracter alfabético minúsculo (a..z).
o Conter no mínimo 1 caracter numérico (0..9).
o Permitir a utilização de caracteres especiais.
Número Serial: Deve conter ao menos 1 caracter alfanumérico e não mais que 16 caracteres.
Rótulo: Não possui restrições.
15
16
4.1.2
Considerações específicas para o Ambiente Linux
Após realizar o login no smart card através do menu “Token – Login”, para habilitar o as opções do
sub-menu, clique na pasta Certificados, conforme apresentado abaixo. Todas as opções de menu serão
habilitadas.
Se o cartão não estiver inicializado ou se não possuir nenhum perfil carregado, no Linux, a tela aparecerá, conforme apresentado abaixo, se você clicar em “Abrir Token”.
Para inicializar um cartão vazio, não clique em “Abrir Token”, clique em “Criar Perfil de Token”, conforme
apresentado abaixo:
17
4.1.3
Menu Editar / Menu de Contexto
O índice e a disponibilidade do menu "Editar" muda de acordo com o item selecionado no painel principal
da tela. A maioria das funções do menu "Editar" são também acessíveis através do (clicando-se com o)
botão direito do mouse sobre o item apresentado na hierarquia (tela). Veja também o ítem 4.9 Funções
Adicionais.
4.1.4
Menu Token
Para que o menu "Token" contenha todas as entradas (opções) ativas, o token deve ter sido aberto anteriormente. Por exemplo, usando o menu Gerenciador "Abrir Token".
Função Login: Antes de iniciar as operações com o token, o usuário é requerido para realizar o login no
dispositivo. O Login requer o pin do usuário. Uma vez “logado”, esta opção é desabilitada e as informações
18
adicionais / demais opções tornam-se disponíveis dentro do painel da hierarquia e da vista das propriedades. Falhando-se em fornecer o PIN do usuário correto cinco vezes sequencialmente, o cartão/token é
travado/bloqueado. Para desbloqueio do PIN do Usuário, acesse “Para destravar/desbloquear o PIN do
usuário”.
A configuração de hardware e os ajustes do usuário determinam o método inicial de entrada do PIN.
Após acessar o dispositivo com sucesso, os certificados podem ser registados no cartão através do Ambiente Operacional. Para cada certificado que não é registrado com o Ambiente Operacional, mas é armazenado no Token, o usuário será indagado se o certificado deve ser registrado.
Função Logout: Esta opção funciona de forma contrária à opção “Login”, bloqueando o acesso as funções
restritas do Cartão/Token USB.
19
Função Trocando o PIN de Usuário:
Função Trocando o PUK :
20
Na primeira troca do PUK, o sistema, por segurança, solicita uma nova digitação do PIN do Usuário, conforme apresentado na tela a seguir:
Função Desbloquear PIN do Usuário:
21
Estas funções funcionam de forma muito similar. Estas funções estão sempre disponíveis e todas requerem
um PIN de autorização para fazer uma mudança. O valor mudado tem que ser “entrado/prenchido” 02 (duas) vezes para evitar erros. Todos os valores são mascarados com asteriscos para fornecer privacidade.
22
4.1.5
Menu Par de Chaves
É possível gerar diversos pares de chaves com os certificados correspondentes no cartão/token. Cada “set”
(jogo) é compreendido de: chave confidencial (privada), chave pública (opcional) e certificado (opcional) e é
armazenado em um recipiente (container) separado.
Função Criando Par de Chaves: As chaves somente podem ser criadas se o usuário realizar o Login antes. Uma vez que um par de chaves foi criado, pode ser usado para várias finalidades. Veja também os
capítulos 4.4 “Gerando e Importando Chaves" e 4.5 “Gerando e Importando certificados"
23
Função Importar o Par de Chaves de um Arquivo PFX: Esta opção abre uma tela de diálogo que pede o
nome do arquivo pfx ou p12 do qual o par de chaves será importado.
24
4.1.6
Menu Certificado
A maioria das opções do menu certificado são também acessíveis através do menu de contexto (botão direito do mouse), para qualquer certificado, chave pública ou privada, apresentados no painel.
Função Importar Certificado: Após ter selecionado este item, escolha o certificado para importar. Se o
certificado puder ser associado com um par de chaves privada/publica, o mesmo será introduzido automaticamente no recipiente (container) correto. Se não, o certificado é adicionado em "Certificados" na hierarquia. Não há nenhuma maneira de associar manualmente um certificado com um par de chaves não relacionado a ele.
25
Função Apresentar Certificado: Mostra toda a informação contida dentro do certificado. Selecione um
nome de campo na área superior do visor para mostrar o seu valor na área inferior do visor.
Função Exportar Certificado: Exporta o certificado no formato BASE64 ou DER para um arquivo a escolha
do usuário. A associação com o par de chaves é recuperada, caso o certificado seja importado outra vez,
através do menu “Importar Certificado”.
26
Função Registar Certificado: Esta opção regista o certificado no Windows (função não utilzada no ambiente Linux), caso ainda não tenha sido realizado. A seguinte mensagem é apresentada após o registro do
Certificado:
27
Caso o Certificado já esteja registrado no Ambiente Operacional, a seguinte mensagem é apresentada (você pode definir se deseja manter ou substituir o registro atual):
Função Criar Certificado Requisitar: A fim de receber um certificado para um par de chaves publica/ privada, é possível preparar um pedido de certificado. Este pedido é armazenado em um arquivo BASE53 ou
DER encriptado. Veja o item e 4.5 "Gerando e Importando certificados" para uma descrição do processo.
28
Função Criar certificado (self signed) com assinatura própria: O processo de pedido é similar ao “Criar
Certificado Requisitar”. Porém o pedido não é armazenado em um arquivo a ser processado por uma
Autoridade Certificadora, mas apenas em um arquivo certificado padrão.
Uma vez iniciado o processo, o sistema solicita informações a respeito de qual será o uso das Chaves no
Certificado.
29
E a seguir, qual o período em que o Certificado será válido. Após obter estas informações, o Certificado é
gerado.
30
4.1.7
Menu Sobre
Função Sobre: Indica a informação geral da versão do CSSI edição administrador.
31
Função OS Suportado: Indica a lista dos sistemas operacionais de smart cards suportados pelo CSSI. Esta
lista inclui somente as associações predefinidas.
Função PKCS#11 Informação: Informação sobre o módulo PKCS#11, que é parte do CSSI.
32
Função CSP Informação: Informação sobre o CSP.
33
Função Manual: Este manual.
4.2
Modificando os PIN’s
Há 3 PIN’s em um smart card/token: o PIN do Usuário, o PUK e o PIN do cartão. O termo PIN do cartão é
usado para o USB token também. Não são todos os cartões e tokens que suportam a mudança de todos os
PIN’s. O CSSI suporta PIN’s alfanuméricos e não é restringido aos dígitos numéricos no geral. Há diferentes
funções para utilizar com estes 3 PIN’s:
O PIN do Usuário deve ser fornecido, se a pessoa quer escrever no cartão (ex. Gerar Chaves, armazenar
um certificado), apagar objetos ou quando as funções criptográficas (ex. encriptar ou desencriptar) são usadas. Consulte à tabela abaixo sobre o PIN do Usuário / Comprimento do PIN do Usuário.
Importante: Após 5 (cinco) entradas erradas o PIN do Usuário, será bloqueado.
Um PIN do Usuário bloqueado pode ser desbloqueado pelo PUK.
O PUK será usado somente para desbloquear o PIN do Usuário. Não há nenhuma função do tipo Criar ou
Deletar associada ao PUK.
Importante: Após 3 (três) entradas erradas do PUK(SO PIN), o mesmo será bloqueado.
Com o PIN do cartão é possível excluir um perfil existente em um cartão, e criar um novo perfil. O PIN do
cartão será determinado durante a inicialização do cartão e somente poderá ser mudado mais tarde criando-se um novo perfil. O comprimento do PIN do cartão é exatamente de 10 (dez) caracteres. Para excluir
um determinado Perfil, acesso o menu “Gerenciador – Criar Perfil de Token” de um cartão ativo e digite o
PIN do cartão, conforme apresentado abaixo:
34
Importante: Após 10 entradas erradas do PIN do cartão, o mesmo será bloqueado e o cartão não poderá
ser apagado. Ex. Se o PIN do cartão, o PUK e o PIN do Usuário estão bloqueados, o cartão/token é inútil.
4.2.1
PIN do Usuário Timeout – Versão Windows
O tempo em que as chaves do cartão permanecem ativas pode ser alterado através do menu “PIN do Usuário Timeout (intervalo de expiração)”, conforme apresentado abaixo:
Primeiramente o sistema apresenta o intervalo de expiração (timeout) vigente:
35
Se você optar por selecionar um novo intervalo, o sistema apresentará a seguinte tela, onde você poderá
selecionar entre um tempo mínimo para realizar uma operação (5 minutos) e o tempo máximo de ativação
das chaves (30 minutos).
4.2.2
PIN do Usuário Timeout - Versão Linux
O tempo em que as chaves do cartão permanecem ativas pode ser alterado através de modificação na variável de ambiente USER_PIN_TIMEOUT_SECONDS, que se encontra no arquivo uder/etc/environment.
36
O máximo valor aceito para o timeout é de 1800 segundos. Você pode alterar este valor, alterando o valor
da variável USER_PIN_TIMEOUT_SECONDS. Após modificar o valor, o Ambiente Linux necessita ser
reiniciado para que a mudança seja efetivada.
4.3
Desbloqueando Tokens
Como medida de segurança, um smart card/token é bloqueado, se um usuário digitar 5 (cinco) vezes consecutivas o PIN de Usuário errado. Isto provê segurança, porque uma pessoa sem autorização pode conferir todos os possíveis PINs por tentativa e erro, se você perdesse seu smart card ou se o mesmo fosse roubado.
Mas poderia acontecer, que você como dono legítimo do smart card entrou 5 (cinco) vezes o PIN do Usuário errado. Neste caso o smart card será bloqueado também. Consequentemente, você pode desbloquear o
cartão com a Charismathics Smart Security Interface, se você souber o PUK.
Você precisa do PUK para desbloquear um PIN de usuário. Você acha a função “Liberar PIN de usuário”
no Menu "Token", como apresentado na figura seguinte:
4.4
Gerando e Importando Chaves
Para usar o smart card para assinaturas digitais ou encriptação, você precisa de um Par de Chaves, que é
composto de uma chave privada e uma chave pública. A chave privada deve ser armazenada muito secretamente e a chave pública deve ser acessível para comunicação entre parceiros/contatos profissionais (por
exemplo) por um certificado. Estas chaves e certificados podem ser gerados e gerenciados pela ferramenta
de administração.
Em princípio há várias possibilidades:
1. Você pode gerar chaves (pares fundamentais que incluem chaves privadas e públicas e chaves secretas) com a ferramenta de administração da Charismathics Security Token Configurator.
2. Você próprio já possui uma chave ou par de chaves. Então, você pode importar o par de chaves, se
necessário, junto com o certificado, como um arquivo PFX. Você pode armazenar as chaves secretas importando-as..
37
O uso destas funções requer que você esteja logado ao smart card. Através do menu "Token", selecione a
opção "Login", e entre o seu PIN de usuário.
Você pode achar todas as funções para gerar e importar chaves no menu "Par de Chaves" e importar certificados no menu “Certificado”.
4.4.1
Gerando um Par de Chaves
A geração de um par de chaves (chave privada e pública) acontece dentro do menu “Par de Chaves" escolhendo-se o item "Criando Par de Chaves”. Uma vez que o processo de geração é finalizado, você vê
estas chaves na ferramenta de administração, dentro do container correspondente, abaixo da "chave pública" e abaixo da "chave privada", conforme apresentado na figura abaixo:
38
4.4.2
Importar Par de Chaves
Se você já possuir seu próprio par de chaves, que você pretende empregar, você pode importá-la através
do menu "Par de Chaves", escolhendo-se o item "Importar Par de Chaves de um Arquivo .PFX)”. Neste
caso, você terá que fornecer a sua contra-senha quando requisitado.
Observação: A chave deve ser uma chave RSA, dentro de um arquivo .pfx ou .p12, conforme apresentado
na figura abaixo:
39
4.4.3
Geração de uma Chave Secreta
Para gerar uma chave secreta de encriptação, acesse, o menu “Editar - Chaves Secretas - Criar Chave
Secreta" ou acesse através do menu de contexto, conforme apresentado na figura abaixo:
Aqui, você pode gerar chaves Triple-DES e chaves DES.
40
Observação: Algoritmos com no mínimo 128 bits (Triple-DES) são recomendados. De acordo com os padrões de comprimento de chaves atuais. Chaves de comprimento menor não são seguras.
4.4.4
Importando uma Chave Secreta
Se você possuir uma chave secreta que você quer utilizar, você pode importar a mesma, utilizando-se do
menu "Editar", através do item "Armazenar Chave Secreta”. A Chave Secreta deve ser especificada no
formato hexadecimal correto: 192 ou 128 bits para Triple-DES, e 64 bits para DES. Observe que um único
dígito haxa-decimal cobre 4 bits. A chave é importada inserindo-se os bits no campo "Chave Secreta (hexadecimal)”, conforme apresentado na figura abaixo:
4.5
Gerando e Importando Certificados
Para usar o smart card para assinaturas digitais ou encriptação, você precisa de um par de chaves que
inclua uma chave privada e uma chave pública. A chave pública deverá ser acessível para comunicação
entre parceiros/contatos profissionais (por exemplo) através de um certificado. Estes certificados podem ser
gerados e administrados pela ferramenta de administração.
Em princípio, há várias possibilidades:
1. Você pode assinar o certificado que corresponde a uma chave pública por você mesmo, ou fazer
um certificado requisitado, de forma que uma Autoridade Certificadora irá autenticar a chave pública.
2. Você atualmente tem uma chave e/ou um certificado, então, você pode importar os certificados, se
necessário junto com a chave correspondente.
41
4.5.1
Gerando Certificados com assinatura própria e Certificado requisitado
Você pode gerar o certificado que pertence a uma chave pública assinando por sí mesmo ou fazer um certificado requisitado, de forma que uma Autoridade Certificadora irá autenticar a chave pública. Para este fim,
você deve selecionar a chave privada, e escolher a opção “Criar Certificado Requisitar” ou “Criar Certificado (self signed) com Assinatura Própria”, do menu "Certificado”, conforme apresentado abaixo:
Função “Criar Certificado Requisitar”:
42
Função “Criar Certificado (self signed) com Assinatura Própria”
Para gerar um Pedido de Certificado (Autoridade Certificadora) será requisitado que você entre com os dados nos campos correspondentes. No caso de um Pedido de Certificado, você deve criar um arquivo a ser
enviado para a AC (Autoridade Certificadora), que deverá assinar o certificado. Então, você armazenará o
pedido como um arquivo .P10 em um diretório, e deverá seguir as instruções da Autoridade correspondente
para obter o pretendido certificado assinado.
43
Uma vez que o certificado for retornado do “emissor”, você tem que importar o certificado, escolhendo a
opção "Importar Certificado”.
Nota: Há uma explanação dos atributos de certificado e como empregar as chaves no Apêndice deste manual.
44
4.5.2
Importação de Certificados
Caso você possua seu(s) próprio(s) certificado(s), que você tenciona empregar, você pode importá-los através do menu "Certificado" através do item "Importar Certificado". Certificados, que pertencem há par de
chaves, são diretamente atribuídos para o "Container" associado depois da importação. Certificados sem
chaves – como, por exemplo, certificados de AC, são atribuídos para a pasta “Certificados”.
4.6
Criando Perfis
Se você quiser usar um smart card, deve haver um perfil neste smart card. Em um primeiro passo, você
deve configurar o perfil neste smart card. Click sobre o menu “Gerenciador - Criar Perfil de Token" para
criar o perfil.
45
4.6.1
… no caso de um smart card com perfil
Se já existe um perfil no cartão e você quer criar um novo, o perfil existente será apagado como um primeiro
passo. Para este fim, entre com o PIN do cartão. Se você próprio criou o perfil, você tem que entrar com o
PIN do cartão que você atribuiu ao cartão.
Os procedimentos adicionais são os mesmos, como na seção seguinte " ...no caso de um smart card vazio". Por favor, siga as instruções que são descritas abaixo.
4.6.2
… no caso de um smart card vazio
Se o perfil é configurado (inicializado) em um smart card vazio, o PIN do cartão, o PUK, o PIN do Usuário e
o número serial devem ser definidos. Adicionalmente, o Label para o token poderá ser atribuido. Se vários
(múltiplos) perfis estiverem disponíveis, você deve escolher um para criá-lo.
46
Com ajuda do PIN do cartão, o smart card pode ser apagado novamente mais tarde. Com o PUK, o smart
card pode ser desbloqueado. Então, você não deve atribuir PIN’s simples. A entrada do PUK e do PIN do
usuário também não é exibida em texto claro, mas através de caracteres * como máscara de entrada. A
entrada também deve ser confirmada.
4.7
Preparando um Token (Inicialização e Personalização)
Para que um usuário possa empregar o seu smart card, o cartão deve estar preparado, ex. o smart card
deve ser inicializado e deve ser personalizado. Em um primeiro passo você tem que criar um perfil no smart
card e em segundo passo, criar/configurar chaves e certificados no smart card.
4.7.1
Primeiro Passo: Criando um Perfil (Inicialização)
Como um primeiro passo, você deve criar/configurar um perfil em um smart card vazio. Você deve proceder
como descrito na seção “Criando Perfis”.
4.7.2
Segundo Passo: Criando Chaves e Certificados (Personalização)
Como um segundo passo, você deve criar uma chave de usuário e um certificado no smart card. Você tem
a possibilidade para gerar chaves e certificados ou importá-los. Para este propósito, você tem uma descrição na seção “Gerando e Importando Chaves" e na Geração na seção “Gerando e Importando Certificados".
4.8
4.8.1
Funções adicionais
Diretório “Certificados”
O Diretório "Certificados" apresenta todos os certificados que não correspondem diretamente a um determinado par de chaves. Estes são os certificados intermediários que têm que ser importados para dentro
deste diretório. Para esta finalidade, selecione a opção "Importar Certificado", no menu "Certificado", ou
escolha o menu contexto, usando o botão direito do mouse.
47
Um smart card é o ambiente mais seguro para a chave privada. Além disso, o smart card é necessario para
aplicações com pelo menos logins ou autenticações diárias. Assim, o cartão deve estar com você ou frequentemente (sempre) ao redor. Assim, faz sentido armazenar dados sensíveis ou necessários nesta mídia,
ex. Um arquivo de texto com seus PINS. Para criar dados selecione o item “Criar Dados” dentro do menu
“Editar”, então, uma janela adicional será mostrada para você, onde você pode criar seus dados.
4.8.2
“Diretório Dados”
48
Você somente terá a possibilidade para acessar os dados atuais, se o devido login for efetuado no smart
card. Os dados existentes podem ser apagados, atualizados ou exportados através do Menu “Editar”.
4.8.3
Função "Abrir Token"
A função "Abrir Token" do menu "Gerenciador", transfere dados do smart card para a interface do usuário. Isto é recomendado, se você trabalha com smart cards ou leitores de cartão diferentes.
4.8.4
Função "Apagar Tudo" e "Apagar Objeto"
Você pode apagar todos os objetos, como chaves e certificados, com a função "Apagar tudo" do menu
"Editar”. A função "Apagar Objeto" lhe dá a possibilidade para remover objetos, chaves e certificados.
49
Você também obtém esta segunda função no menu de contexto (botão direito do mouse) selecionando o
objeto que você deseja apagar. Para tanto, click com o botão direito do mouse e selecione o item "Apagar
Objeto". Abaixo, processo utilizado para apagar um Container.
50
4.8.5
Função Configure Container (recipiente) Padrão
A função "Definir Container Padrão" do menu "Editar” é relevante para você, somente se você usa um
smart card para login em um domínio Windows-2000 via CSP.
Se você não escolheu um container como padrão, o Windows irá assumir a primeira chave da lista para o
login em um domínio Windows-2000 via CSP.
Se você escolheu um container como padrão, ele será mostrado em negrito na área interface da ferramenta
de administração, conforme figura abaixo:
4.8.6
Função "Trocando Label do Container”
Através do menu “Editar - Troque a etiqueta do Container”, você pode renomear a etiqueta do Container,
conforme apresentado na figura abaixo:
51
4.8.7
Função "Mostrar Certificado"
Se você quiser exibir um certificado, use a função "Apresentar Certificado" do menu "Certificado".
Você obtêm esta função sobre o menu de contexto também: selecionando o certificado que você quer mostrar, click com o botão direito do mouse e escolha o item "Apresentar Certificado". Então você obtém a informação contida no certificado:
52
4.8.8
Função "Exportar Certificado"
Se você quiser empregar um certificado para outras aplicações, você pode exportá-lo do smart card com a
função "Exportar Certificado" do menu "Certificado". Você também pode obter esta função através do
menu de contexto: selecione o certificado que você deseja exportar, click com o botão direito do mouse e
selecione o item "Exportar Certificado”.
4.8.9
Função "Registrar Certificado"
A função "Registrar Certificado" do menu "Certificado" instala o certificado, que você quer registrar para
disponibilizá-lo para aplicações Windows (como Internet Explorer ou Outlook Express).
Você também pode obter esta função sobre o menu de contexto: selecionando o certificado, que você quer
registrar, e com o botão direito do mouse, selecione o item "Registrar Certificado".
Adicionalmente, você pode efetuar as configurações que devem ser aplicadas no registro do certificado
usando a Ferramenta de Registro. Leia o Capitulo – Ferramenta de Registro.
53
4.8.10 Função "Verifique Chave Privada"
Com esta função, você pode testar chaves geradas, ex. para assinar e descriptografar. Primeiro você deve
estar logado, então, selecione a chave privada que você quer testar e escolha a função “Verifique Chave
Privada” do menu “Editar”.
Para testar a chave de desencriptação, digite um texto (qualquer) no campo “Texto pleno” e click no botão
“Inicio”. Se o texto desencriptado é o mesmo que o escrito no campo “Texto pleno”, a chave de desencriptação está trabalhando corretamente.
54
Para testar a chave de assinatura, você pode escolher o algoritmo hash. Se o resultado é verdadeiro, a
chave de assinatura trabalha corretamente.
4.8.11 Função "Verificar Chave Secreta"
Com esta função, você pode testar as chaves geradas para encriptação. Primeiro você deve estar logado,
então, selecione a chave privada que você quer testar e escolha a função “Verifique Chave Secreta” do
menu “Editar”.
Você pode escolher o modo de criptografia a ser utilizado para testar a chave. As diferentes versões são o
Cipher Block Chaining (CBC) e o Electronic CodeBook (ECB). E você pode escolher ISO ou PKCS5 como
base (Padding).
Para testar a chave de encriptação, digite um texto (qualquer) no campo “Texto pleno” e click no botão
“Inicio”. Se você sabe o vetor hexadecimal, você pode inserí-lo, senão o mesmo será preenchido com zeros (padrão). Se o texto desencriptado é o mesmo que o escrito no campo “Texto pleno”, a chave de encriptação está trabalhando corretamente.
55
4.9
Menu Sobre
Para informação sobre a versão da Ferramenta de Registro e do fabricante deste middleware charismathics
gmbh, selecione a opção "Sobre (About)" no pop-up menu:
56
4.10 Menu Sair
Com “Sair“ no pop-up menu você pode terminar a execução da Ferramenta de Registro.
57
5 Charismathics Extension Tool
A Charismathics Extension Tool (Ferramenta de extensão Charismathics) pode ser usada para associar o
sistema operacional do cartão com novas ATR’s, sem uma associação válida. A operação correta do smart
card, não pode ser garantida.
Siga estas etapas para fazer uma nova associação ATR / OS (SO) do cartão:
Introduza o smart card no leitor
1. A ATR do cartão é indicada no campo superior
a. Se um OS está associado com a ATR, o campo OS é bloqueado, e não pode ser mudado
enquanto o smart card estiver no leitor.
b. Se nenhum OS está associado com o ATR, selecione o OS correto, ou... tão perto quanto
possível.
2. Clique no botão SALVAR para armazenar a informação
Se o sistema operacional atual no cartão for desconhecido ou não disponível, selecione um que combine o
OS mais proximo. Por exemplo, selecione a entrada genérica do SO "JCOP", se o número de versão exato
de JCOP xx não for conhecido.
58
6 CSP da Charismathics Smart Security Interface
O sistema operacional Windows suporta funcionalidades criptográficas como encriptar e assinatura digital
pelo denominado Crypto-API. Além disso, CSP’s (Provedores de Serviço Criptográficos) habilitam programas para suportar smart cards. Durante a instalação da Charismathics Smart Security Interface à Charismathics Smart Security Interface - CSP – (abrev. cmCSP) – será adicionada.
A cmCSP ativa certos programas e funcionalidades presentes no Sistema Operacional Windows, como
Outlook Express, Internet Explorer, Network Login e VPN-login para usar Smart Cards, USB Tokens e
TPM’s. Eles serão explicados à seguir.
Nota: Aqui, você não achará uma descrição de como configurar seu ambiente Microsoft para o uso de smart
cards ou Tokens USB. Por favor, consulte os Arquivos de Ajuda para Outlook Express e o Internet Explorer.
Para configurar o Network Login e o VPN-login para smart cards, consulte a documentação do Windows
2000 Server.
Se você precisar de ajuda para implementação ou realização de trabalhos com nossa tecnologia, o time da
charismathics pode ajudá-lo. Sinta-se livre para contactar a Charismathics.
6.1
Procedimentos Gerais
Se você quiser usar um produto Microsoft em conexão com CSP pela primeira vez, em um certo computador, você deve registrar o certificado que você quer usar. Por favor, leia o Capitulo “Ferramente de Registro” ou a função “Registrar Certificado” se você deseja saber mais como registrar seu próprio certificado.
O smart card/token deve conter chaves e certificados. Há várias diferentes possibilidades para obtê-los.
Geração de Par de Chaves e certificado correspondente, diretamente no smart card com as funções
para os browsers padrão, como Internet Explorer ou Netscape. Além disto, o token é acessado através dos módulos da Charismathics Smart Security Interface, ex. correspondentemente em
cmCSP ou cmP11.
Importar as Chaves e Certificados existentes, diretamente no smart card, que foram gerados por outras Autoridades Certificadoras ou Centros de Confiança.
Geração do Par de Chaves e correspondente Certificado auto-assinado, diretamente no smart card,
pela Ferramenta Administradora Charismathics Security Token Configurator. Por favor, observe
que o emprego de certificados auto-assinados faz sentido somente em ambientes sem PKI ou para
testes.
Nota: Se você pedir um certificado de um Centro de Confiança, é possível que lhe seja requisitado a escolher um módulo (dispositivo) de segurança, ex. Token. Neste caso, escolha o Perfil Corporativo, cmCSP ou
cmP11. Além disso, seu smart card deve ser inserido no leitor de cartão, de forma que certificados possam
ser escritos (armazenados) no token/smart card.
Os programas devem ser configurados, de forma que eles possam trabalhar com suas chaves e certificados. Alguns programas requisitam Certificados Raíz, para serem instalados em determinados diretórios,
outros requisitam o registro do certificado.
Nos capítulos seguintes, somente as características especiais da aplicação correspondente serão explicadas.
6.2
Smart Card Login para um Domínio Windows 2000
A seguir, um breve esboço das etapas envolvidas na configuração do login do smart card ou token USB.
59
Configuração de ADS. Por favor, observe a configuração correta do servidor-DNS.
Instalação do Enterprise CA e pelo menos as templates "Enrollment Agent", "Smartcard Logon" e
Smartcard User".
Então, um Enrollment-Agent-Certificate deve ser gerado e registrado no computador, onde os smart
cards devem ser personalizados.
Depois disto, os smart cards para usuários talvez sejam emitidos através da Enrollment Station.
6.3
SSL- Autenticação com Smart Card no Internet Explorer
Para usar o(s) certificado(s) armazenado(s) no token para conexões SSL, o certificado deve ter sido registado com a Windows Certificate Store. Isto pode ser feito através da Ferramenta Administradora Charismathics Security Token Configurator. Para maiores detalhes, acesse o Capitulo “Ferramenta de Registro”
ou a função "Registrar Certificado".
6.4
Outlook Express com Assinatura Eletrônica e Encriptação via Smart Card
Assinar e Encriptar eletrônicamente, requer o certificado para ser registrado da mesma forma como para
conexões SSL. Uma vez que isto é feito, o certificado desejado para assinar e encriptar pode ser escolhido
através de "Ferramentas
Clientes
email
Preferências - Segurança" ou "Tools
Accounts
E-Mail
Preferences
Security".
Normalmente, encontram-se pull down menus nas janelas de email do windows, que você talvez possa
fazer uso para “click encription” (clicar & encriptar) e/ou “signing an email” (Assinar digitalmente o email)
para uso das “security functionalities” (funcionalidades de segurança). A verificação de e-mails recebidos,
assinados digitalmente, usam por instância o símbolo vermeho (“sinete" vermelho) no canto direito da janela
do email.
Para que o Outlook Express reconheça automaticamente a chave correta, respectivos certificados, os certificados devem ser colocados no livro de endereço, ex. O(s) certificado(s) deve(m) ser importado(s) para
dentro das "Digital IDs" (Identidades Digitais): ex. Selecione o nome dentro do livro de endereços e escolha
a tab (aba) "Digital IDs" (Identidades Digitais) no menu de contexto. Nesta tab (aba) você pode importar o
certificado para este contato.
6.5
Windows VPN-Login com Smart Card
Você deve gerar chaves e certificados com Microsoft Enterprise-CA. Além disso, você deve registrar o certificado com a Ferramenta de Administração da Charismathics Smart Security Interface. Para mais informações, acesse o Capitulo “Ferramenta de Registro” ou a função "Registrar Certificado".
60
7 PKCS#11 - Módulo da Charismathics Smart Security Interface
O uso de software que suportam PKCS#11, é ativado pela Ferramenta Administradora Charismathics Security Token Configurator PKCS#11 (abreviado cmP11). A questão de aplicações e funcionalidades com
tokens, como Network Login, SSL, email security (email com segurança) no Netscape e outros produtos,
são explicados brevemente.
Nota: Aqui não há nenhuma descrição de como configurar cada ambiente para para utilizar o cmP11. Se
sua aplicação não é “coberta” aqui, por favor, consulte a documentação que vem com a aplicação.
Importante: cmP11 é uma DLL com o nome "cmP11.dll e é instalada no diretório de sistema, usualmente
este é C:\Windows\system32.
Observação: Apesar de medidas rígidas para a qualidade de módulos de PKCS#11 por diferentes fabricantes, charismathics gmbh não pode garantir a compatibilidade de cada Módulo de PKCS#11 com cada fabricante estrangeiro.
7.1
Metodologia Geral
A seguir, algumas notas gerais para o uso de cmP11. Pré-condição geral, é a instalação de cmP11. Isto
será instalado automaticamente pela Charismathics Smart Security Interface.
Há várias possibilidades diferentes para obter certificados, que são descritos na seção “Procedimentos
Gerais”. Alternativamente, é possivel instalar o módulo manualmente, com a ajuda do arquivo "registerPKCS11.html" e desinstalar com a ajuda do arquivo "unregisterPKCS11.html". Ambos arquivos estão localizados no diretório da instalação do CSSI. O diretório (default) é:
c:\programm files\charismathics\smart security interface xx\
Nos seguintes capítulos, somente as características especiais da respectiva aplicação, serão explicadas.
7.2
Smart Card Login para o Novell eDirectory
Aqui você deve ter um conhecimento muito bom na administração de servidores Novell. Para realizar um
login em um smart card ou token USB para um eDirectory, você explicitamente precisa do produto NMAS e
o correspondente Universal Smartcard Login Method.
7.3
SSL- Autenticação com Smart card no Netscape
As notas para a configuração do Netscape, são apresentadas pelo exemplo de versão 7.
Exemplo: Netscape 7.01
61
Você pode chamar "Gerenciar Dispositivos de Segurança” no Netscape 7.01 através do menu "Edit" "Preferences" "Privacy & Security" "Certificates". A partir daqui, você pode carregar o cmP11, de
forma que aplicações com SSL e e-mails poderão ser usadas com smart cards/tokens:
Além disso, você pode chamar o Gerenciador de Certificados do Netscape na mesma aba, clicando "Manage Certificates...".
7.4
Segurança de e-mail através de Cartões Inteligentes com o Netscape’s Messenger
As notas para o uso do Netscape para gerenciar certificados e módulos estão disponíveis no exemplo da
versão 7 na seção prévia.
Normalmente, há pull-down menus, nas janelas de e-mail, onde você pode marcar se um e-mail deve ser
encriptado e/ou assinado. Funções para verificação de e-mails assinados recebidos, e desencriptação, estão disponíveis também.
62
8 Referências
http://www.rsasecurity.com/rsalabs/pkcs/index.html
http://www.rsasecurity.com/rsalabs/pkcs/index.html
[PKCS#5]
[PKCS#11]
[MS_CA]
Como fazer para: Configurar uma Certificate Authority (Autoridade Certificadora) para emitir
Smart Card Certificates no Windows 2000: http://support.microsoft.com/default.aspx?scid=kb;en-
us;Q313274&sd=tech
Diretrizes por Habilitar Smart Card Logon com Third-Party Certification Authorities (Autoridade Certificadora Externa): http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281245
[MS_SC]
Windows
2000
Server
Documentação,
Smart
card
Administração:
http://www.microsoft.com/windows2000/en/server/help/default.asp?url=/windows2000/en/server/he
lp/sag_SC_admin.htm
63
Apêndice A: Referência para Desenvolvedores
Neste apêndice, há uma especificação detalhada relativa às funções suportadas do standard PKCS#11.
uma sinopse de funções particulares, e uma lista de objetos e mecanismos. Estas informações são úteis e
necessárias para programadores, que querem desenvolver suas próprias aplicações suportando o cmP11.
Funções de acordo com o Padrão PKCS#11
A seguir, há três listas de funções de acordo com o Padrão PKCS#11. As listas são : funções suportadas,
funções incompletamente suportadas, e, funções não suportadas pela Charismathics Smart Security Interface:
Funções Suportadas
C_CancelFunction1
C_CloseAllSessions
C_CloseSession
C_CreateObject
C_Decrypt
C_DecryptFinal
C_DecryptInit
C_DecryptUpdate
C_DestroyObject
C_Digest
C_DigestFinal
C_DigestInit
C_DigestUpdate
C_Encrypt
C_EncryptFinal
C_EncryptInit
C_EncryptUpdate
C_Finalize
C_FindObjects
C_FindObjectsFinal
C_FindObjectsInit
C_GenerateKey
C_GenerateKeyPair
C_GenerateRandom
C_GetAttributeValue
C_GetFunctionList
C_GetInfo
C_GetMechanismInfo
C_GetMechanismList
C_GetSessionInfo
C_GetSlotInfo
C_GetSlotList
C_InitPIN
C_InitToken
C_Login
C_Logout
C_SetAttributeValue
C_SetPIN
C_Sign
C_SignFinal
1
2
3
Funções Suportadas de forma
Incompleta
C_GetObjectSize
C_GetTokenInfo
C_Initialize
C_OpenSession
C_SignRecover2
C_SignRecoverInit 3
C_WaitForSlotEvent
retorna CKR_FUNCTION_NOT_PARALLEL
use C_Sign
use C_SignInit
64
Funções não Suportadas
C_CopyObject
C_DecryptDigestUpdate
C_DecryptVerifyUpdate
C_DeriveKey
C_DigestEncryptUpdate
C_DigestKey
C_GetFunctionStatus
C_GetOperationState
C_SeedRandom
C_SetOperationState
C_SignEncryptUpdate
C_SignInit
C_SignUpdate
C_UnwrapKey
C_Verify
C_VerifyFinal
C_VerifyInit
C_VerifyRecover
C_VerifyRecoverInit
C_VerifyUpdate
C_WrapKey
Sinopse das funções específicas
C_Finalize
Parâmetros:
pReserved (CK_VOID_PTR)
Descrição:
Sessões serão fechadas.
Slots serão fechados.
Memória reservada sera liberada.
Informação Adicional:
pReserved será ignorado.
C_Finalize será chamado automaticamente no final.
If C_Initialize é chamados n vezes em sucessão (sem C_Finalize entre),
C_Finalize só sera realizada após a enésima vez.
C_GetObjectSize
Parâmetros:
hSession
CK_SESSION_HANDLE
hObject
CK_OBJECT_HANDLE
pulSize
CK_ULONG_PTR
Descrição:
O tamanho de um objeto sera retornado.
Informação Adicional:
O tamanho retornado é o tamanho mínimo de um objeto, ou seja, não contém o tamanho extra de atributos como etiqueta (label), ou Id. O tamanho
dos objetos privados corresponde ao valor padrão (default).
C_GetSlotList
Parâmetros:
Descrição:
tokenPresent
CK_BBOOL
pSlotList
CK_SLOT_ID_PTR
pulCount
CK_ULONG_PTR
Retorna a lista dos slots identificados.
Pode ocorrer que Slots instalados, mas não conectados sejam apresentados
na lista. O número de Slots pode ser obtido passando um ponteiro nulo
65
(Null-Pointer) em pSlotList. Se você deseja apenas os Slots com um cartão
inserido defina tokenPresent como Verdadeiro.
C_GetTokenInfo
Parâmetros:
slotID
pInfo
CK_SLOT_ID
CK_TOKEN_INFO_PTR
Descrição:
Retorna se um cartão está inserido em um Slot. Se o cartão não está inserido, CKR_TOKEN_REMOVED sera retornado.
Característica Especial:
Inserir ou remover um cartão de um Slot é um Evento (see
C_WaitForSlotEvent). Se C_GetTokenInfo for chamado, o Evento será finalizado, mesmo que o cartão foi removido e C_GetTokenInfo
CKR_TOKEN_NOT_PRESENT retornado.
C_Initialize
Parâmetros:
CinitArg
CK_VOID_PTR_PTR
Descrição:
Biblioteca será iniciada.
Slots serão criados.
Cartões inseridos ficarão prontos para uso.
Informação Adicional:
CinitArg é esperado no formato CK_C_INITIALIZE_ARGS. A partir disto, as
flags
são
escolhidas,
em
particular
CKF_LIBRARY_CANT_CREATE_OS_THREADS que decide sobre Multi threading. O restante é ignorado. Se C_Initialize é chamado várias vezes,
CKR_CRYPTOKI_ALREADY_INITIALIZED é retornado. O número é levado
em conta (veja C_Finalize).
C_InitToken
Parâmetros:
slotID
CK_SLOT_ID
pPin
CK_UTF8CHAR_PTR
ulPinLen
CK_ULONG
pLabel
CK_UTF8CHAR_PTR
Descrição:
Token sera inicializado. SO pin é dada pelo parâmetro pPin, O pin do usuário será restabelecido para o default 11111111. O tamanho máximo do SO
pin é 16 digitos.
Característica Especial:
Em caso de inicialização (o token está vazio): o pin do cartão será estabelecido para o mesmo valor do SO pin. Após a inicialização do token, o pin do
cartão não poderá ser alterado pelo PKCS#11, mas o SO pin poderá ser alterado através da função C_SetPIN.
Em caso de re-inicialização (o token já foi inicializado): O SO PIN informado
66
será verificado primeiramente. Após isto, o PIN do usuário será restabelecido para o default 11111111, e todos objetos no token serão apagados. O
SO PIN e o PIN do cartão não serão alterados.
C_OpenSession
Parâmetros:
slotID
flags
CK_SLOT_ID
CK_FLAGS
pApplication
CK_VOID_PTR
Notify
CK_NOTIFY
phSession CK_SESSION_HANDLE_PTR
Descrição:
Abre uma nova sessão no Slot.
Informação Adicional:
Notifica e pApplication são ignorados e serão estabelecidos como
NULL_PTR. Sessões poderão ser apenas abertas, se um cartão estiver inserido.
Característica Especial:
Se uma sessão é aberta e o cartão for removido em seguida, todas sessões
no Slot retornarão CKR_DEVICE_REMOVED. Se houver um erro com
CKR_
DEVICE_REMOVED,
CKR_TOKEN_NOT_RECOGNIZED
ou
CKR_TOKEN_NOT_PRESENT uma pausa é automaticamente realizada
neste Slot para todas sessões. Se uma pausa na sessão é utilizada novamente, essa sessão será reaberta automaticamente.
Se um cartão for inserido ou removido de um Slot, então esse será um Evento (veja C_WaitForSlotEvent). Se C_OpenSession é chamado, o Evento
sera finalizado, mesmo se o catrtão tenha sido removido e C_OpenSession
retornado CKR_TOKEN_NOT_PRESENT.
C_WaitForSlotEvent
Parâmetros:
flags
CK_FLAGS
pSlot
CK_SLOT_ID_PTR
preserved
Descrição:
CK_VOID_PTR (= NULL_PTR)
flag = 0;
O metodo espera até que um Slot reporte um Evento. Então ele retorna o
Slot com o Evento em pSlot.
flag = CKF_DONT_BLOCK
O método mostra o Slot com Event em pSlot. Se não há Evento,
CKR_NO_EVENT sera retornado.
Característica Especial:
Se mais Slots tem um Evento, eles serão retornados they will be returned
alternadamente. Um Evento persiste até que um acessão ao cartão ocorra
(e.g. by C_OpenSession ou C_GetToken_Info), mesmo se um erro seja retornado ao cartão.
67
Objetos
Todos os objetos serão armazenados no cartão (CKA_TOKEN = true). Sessões ou outros objetos de software não serão atendidos.
O ID (CKA_ID) indica quais objetos pertencem um ao outro.
CKO_CERTIFICATE (CKC_X_509)
Certificado em X.509 formato
(**) Não retorna erro na tentativa de escrever.
CKO_PRIVATE_KEY (CKK_RSA)
68
(*) Só pode ser lido, se um certificado correspondente existir.
(**) Não retorna erro na tentativa de escrever.
(***) Não é suportado.
CKO_PUBLIC_KEY (CKK_RSA)
69
(*) Só pode ser lido, se um certificado correspondente existir.
(**) Não retorna erro na tentativa de escrever.
(***) Não é suportado.
CKO_DATA
Dados Gerais
(**) Não retorna erro na tentativa de escrever.
Mecanismos
Assinatura (RSA):
Descrição:
Dados de Assinatura
Ordem:
C_SignInit, C_SignUpdate, C_SignFinal
ou C_SignInit, C_Sign
C_Sign opera como se C_SignUpdate e depois
C_SignFinal fosse chamado.
C_SignUpdate processa os dados imediatamente.
70
Característica Especial:
Ordem
C_SignInit,
C_Sign(C_SignUpdate,
C_SignFinal),
C_Sign
(C_SignUpdate, C_SignFinal) onde no primeiro C_Sign (resp. C_SignFinal)
NULL_PTR será passado para a assinatura e apenas o tamanho da assinatura sera retornado. A assinatura será retornada no segundo C_Sign (resp.
C_SignFinal). Se C_SignUpdate for chamado pela segunda vez, os dados
devem coincidir com os dados da primeira vez. Uma terceira chamada não
é possivel. Para outra assinatura C_SignInit deve obrigatoriamente ser
chamado primeiro.
Verificação (RSA):
Descrição:
Verifica a assinatura. VerifyRecover retorna apenas os dados (normalmente
como um valor de hash)
Ordem:
C_VerifyInit, C_VerifyUpdate, C_VerifyFinal
ou C_VerifyInit, C_Verify
ou C_VerifyRecoverInit, C_VerifyRecover
C_Verify opera como if _VerifyUpdate e então C_VerifyFinal é chamado.
C_VerifyUpdate
armazena
dados
apenas
temporariamente.
C_VerifyRecover retorna os dados assinados.
Característica Especial:
Ordem C_VerifyRecoverInit, C_VerifyRecover, C_VerifyRecover, onde em
sua primeira C_VerifyRecover um NULL_PTR será passado como dado. Ela
retorna apenas o tamanho dos dados. Os dados serão retornados no segundo C_VerifyRecover. Uma terceira chamada não é possível. Para mais
verificações C_VerifyRecoverInit deve obrigatoriamente ser chamado primeiro.
Encriptação (RSA):
Descrição:
Encripta os dados.
Ordem:
C_EncryptInit, C_EncryptUpdate, C_EncryptFinal ou C_EncryptInit,
C_Encrypt C_Encrypt opera como um C_EncryptUpdate e depois que
C_EncryptFinal for chamado.
Característica Especial:
C_EncryptUpdate armazena os dados temporariamente. Você pode obter os
dados finalizados com C_EncryptUpdate. Se você não fizer isto, você recebe
com C_EncryptFinal todos os dados de uma vez. Embora os dados estejam
disponíveis apenas uma vez!
Decriptação (RSA):
Descrição:
Decripta os dados.
Ordem:
C_DecryptInit, C_DecryptUpdate, C_DecryptFinal ou
C_DecryptInit,
C_Decrypt C_Decrypt como se fosse C_DecryptUpdate e depois que
C_DecryptFinal for chamado.
Característica Especial:
C_DecryptUpdate armazena os dados temporariamente. Você pode obter os
71
dados finalizados com C_DecryptUpdate. Se você não fizer isto, você receberá C_DecryptFinal com todos dados de uma vez. Embora os dados estejam disponíveis apenas uma vez!
Digest (funções hash SHA1, SHA2, MD2, MD5):
Descrição:
Um valor de hash é calculado a partir dos dados.
Ordem:
C_DigestInit, C_DigestUpdate, C_DigestFinal ou C_DigestInit, C_Digest
C_Digest opera como se fosse C_DigestUpdate e depois que C_DigestFinal
for chamado.
C_DigestUpdate processa os dados imediatamente.
72
Apêndice B: Funções não-padrão para a DLL PKCS#11
Duas funções não-padrão para a inicialização do token são acrescentadas à biblioteca PKCS#11 cmP11.
CK_RV EraseProfile
slotID
CK_SLOT_ID
/* ID do token no Slot */
pCardPIN
CK_BYTE_PTR
/* Valor do PIN do cartão */
ulCardPINLen
CK_ULONG
/* tamanho do valor do PIN do cartão */
Descrição:
Apaga o perfil existente em um token. Para apagar o perfil, o PIN do cartão
deve ser verificado.
CK_RV CreateProfile
slotID
CK_SLOT_ID
/* ID do token no Slot */
pProfile
CK_UTF8CHAR_PTR
/* nome do perfil, finalizado com null */
pSerNum
CK_BYTE_PTR
/* número serial */
ulSerNumLen
CK_ULONG
/* tamanho do número serial */
pCardPin
CK_BYTE_PTR
/* valor do PIN do cartão */
ulCardPINLen
CK_ULONG
/* tamanho do valor do PIN do cartão */
pSOPIN
CK_BYTE_PTR
/* valor do SO PIN */
ulSOPINLen,
CK_ULONG
/* tamanho do valor do SO PIN */
pUserPIN
CK_BYTE_PTR
/* valor do PIN do usuário */
ulUserPINLen
CK_ULONG
/* tamanho do valor do PIN do usuário */
pLabel
CK_UTF8CHAR_PTR
/* 32-byte etiqueta do token (preenchimento em branco) */
ulUserPINRetry CK_ULONG
73
/* retorna contador do PIN do usuário */
Descrição:
Criar um perfil. Os nomes de perfil disponiveis são “CORPORATE”,
“PKCS15”, “CNS” e “FINEID”. Usualmente, o token deve obrigatoriamente
estar vazio ou o perfil anterior deverá ser apagado antes que um novo perfil
seja escrito no token.
Observação:
Nem todos perfis são suportados por todos smartcards.
CardOS V4.x suporta: CORPORATE, PKCS15,CNS
CardOS M4.0(a) suporta: CORPORATE
JavaCards suporta: CORPORATE, PKCS15, FINEID
ACOS suporta: CORPORATE.
74
Apêndice C: Informações de LOG
Informações de LOG servem para encontrar e corrigir erros, mas impactam a performance do sistema. Geralmente, o LOG deve estar desabilitado. O LOG deve ser apenas utilizado por usuários experientes ou
quando solicitado. O arquivo de LOG segue o seguinte formato: Cada entrada contém o nome da função, os
parâmetros antes e depois da chamada da função e o resultado da função. Informações privadas são ocultas pela string estática “[------------------------------------]”, assim apenas o comprimento é legível.
Além do LOG do sistema, durante a instalação é gerado um arquivo de LOG em formato txt no diretório “c:\
charismathics\Log_ddmmaa.txt”
(Versão
Windows)
e
“\\root\charismathics\
log_instalacaoddmmaa_hhmm.log” (Versão Linux), contendo registro de sucesso ou falha na instalação,
relatando informações relativas às causas da impossibilidade de instalação do arquivo.
75
Apêndice D: Arquivos de Conveniência
Para habilitar o LOG com as configurações padrão, arquivos .reg podem ser encontrados no diretório de instalação
<program files>\Charismathics\smart security interface x.zz\
CSSI_Param.reg
contém parâmetros de LOG para PKCS#11 e para CSP
CSSI_TSS.reg
contém parâmetros de LOG para TSS/TPM
76
Apêndice E: Configurações de Registro
O LOG é controlado pelas entradas de registro armazenadas em
[HKEY_LOCAL_MACHINE\SOFTWARE\charismathics\smart security interface]
"LogFile_mode"=dword:00000001
Utilize 1 para habilitar o LOG, 0 para desabilitá-lo
"PKCS11_LogFile_name"="c:\\temp\\cmP11.log"
"CSP_LogFile_name"="c:\\temp\\cmCSP.log"
"TSP_LogFile_name"="c:\\temp\\cmTSP.log"
"TCS_LogFile_name"="c:\\temp\\cmTCS.log"
Selecione um arquivo de LOG e um diretório. Utilize apenas nomes absolutos para o caminho. Lembre de manter a barra ao contrário ‘\’ dobrada.
77
Apêndice F: Atributos de Certificado (Uso Chave)
Uma breve explanação das opções, a seguir:
1. Assinatura Digital: O certificado pode ser usado para o autenticação e assinatura digital
2. Admitido para Documentos: O certificado verifica assinaturas, que verificam a responsabilidade e a
obrigatoriedade dos documentos (exceto assinaturas de certificados e CRL’s da Autoridade Certificadora.
3. Encriptação de Chaves : Encriptação das chaves com a finalidade de sua transmissão.
4. Encriptação de Dados : Encriptação dos dados com a finalidade da transmissão, mas não as
chaves.
5. Trocando Chaves: Uso da chave para concordar com outras chaves, por exemplo: uma chave Diffie-Hellman.
6. Somente Encriptar: Esta opção é mutuamente exclusiva com todas as outras opções.
7. Somente Desencriptar: Esta opção é mutuamente exclusiva com todas as outras opções.
78
Apêndice G: Configurando o Firefox para utilizar a biblioteca Charismathics PKCS#11
1. Abra o Firefox.
2. Vá para Ferramentas – Opções.
3. Selecione Avançado – Aba Criptografia – clique em Dispositivos de Segurança.
79
4. Clique em Carregar. Localize e selecione cmP11.dll (normalmente localizada no diretório System32
do Windows) para configurar o módulo PKCS#11 no Ambiente Windows.
Para o Ambiente Linux, selecione libcmp11.so, encontrada no diretório de instalação da aplicação
(verificar capítulo “Instalação no Ambiente Linux”). Quando carregar a PKCS11 no Firefox /
Thunderbird, não insira nenhum caracter especial no campo “Nome do modulo (Module Name)”.
5. Clique em Abrir.
80
6. Uma mensagem de confirmação será apresentada, clique OK.
7. Uma mensagem de alerta “Uma nova segurança foi instalada” será exibida, clique OK.
81

Documentos relacionados