CryptoPlus Správce karty UŽIVATELSKÁ PŘÍRUČKA

Transkript

CryptoPlus Správce karty
UŽIVATELSKÁ PŘÍRUČKA
listopad ’03
© MONET+, a.s. Zlín
v.2.0.2
Obsah
1. Úvod
........................................................................................................................................ 4
2. CryptoPlus – jak začít............................................................................................................... 5
2.1 HW a SW předpoklady ...................................................................................................... 5
Požadavky na HW............................................................................................................. 5
Požadavky na SW ............................................................................................................. 5
2.2 Licenční omezení ............................................................................................................... 6
2.3 Jazyková podpora............................................................................................................... 6
2.4 Typy čteček podporované CryptoPlus ............................................................................... 6
3. Instalace CryptoPlus ................................................................................................................. 7
3.1 Spuštění instalace ............................................................................................................... 7
3.2 Instalace ovladačů čtečky................................................................................................... 9
Při instalaci čtečky je třeba dodržet následující pravidla:............................................... 10
3.3 Instalace obslužného software CryptoPlus....................................................................... 11
3.4 Reinstalace, odinstalování CryptoPlus............................................................................. 15
3.5 Alternativní návrhy pro instalaci CryptoPlus................................................................... 17
3.6 Instalace CryptoPlus s vazbou na Mozillu ....................................................................... 18
3.7 Odinstalování CryptoPlus s vazbou na Mozillu............................................................... 20
4. Základní funkce a ovládání CryptoPlus................................................................................ 22
4.1 Parametry CSP ................................................................................................................. 25
4.2 Změna PIN/PUK .............................................................................................................. 26
Postup při změně PIN a PUK.......................................................................................... 26
4.3 Datové objekty ................................................................................................................. 28
5. Integrace CryptoPlus do nejčastěji používaných programů............................................... 30
5.1 Konfigurace programu MS Outlook 2000 ....................................................................... 30
5.2 Konfigurace programu Outlook Express 5 ...................................................................... 31
5.3 Konfigurace prohlížeče Internet Explorer 5.x.................................................................. 33
5.4 Konfigurace prohlížeče Mozilla....................................................................................... 33
6. Update produktu ..................................................................................................................... 36
6.1 O produktu CryptoPlus .................................................................................................... 36
6.2 Elektronická adresa pro podporu ..................................................................................... 36
7. Popis připojení čtečky čipových karet................................................................................... 37
GemPC410, GemPC413, GemPC TwinSerial, CardMan2011....................................... 37
GemPC430, GemPC433, GemPCTwinUSB, CardMan2020, CardMan3121 ................ 38
GemPC400, CardMan4000 ............................................................................................. 38
GemPC Key .................................................................................................................... 39
8. Rejstřík a základní pojmy ...................................................................................................... 40
10. Co dělat, když nastane problém........................................................................................... 42
10.1 Zadání problému ............................................................................................................ 42
10.2 Diagnostika čtečky ......................................................................................................... 42
Uživatelská příručka
2
10.3 Diagnostika karty ........................................................................................................... 46
11. FAQ aneb často kladené otázky........................................................................................... 47
11.1 Instalace.......................................................................................................................... 47
11.1.1 Pod MS Windows 2000 nelze nainstalovat čtečku karet která není Plug and play .
...................................................................................................................................... 47
11.1.2 Pod MS Windows 95/NT 4.0 nejde nainstalovat USB čtečka ............................. 47
11.1.3 Po instalaci PC/SC se objeví chybové hlášení: "Cannot create more devices" nebo
"Cannot locate requested device".................................................................................... 47
11.1.4 Po připojení čtečky musím restartovat počítač, abych mohl pracovat s kartou, a to
i v případě že mám nainstalovány příslušné ovladače. ................................................... 47
11.1.5 Po spuštění Windows 9x se objeví hlášení: "VxD reader driver initialization
cannot open reader device. The network request is not supported."............................... 48
11.1.6 Po instalaci čtečky ve Win2000 musím restartovat počítač, abych mohl používat
některé aplikace............................................................................................................... 48
11.1.7 Na počítači nelze používat více jak jednu čtečku. ............................................... 48
11.1.8 Ovladače některých myší zabraňují v činnosti čtečkám čipových karet.............. 48
11.2 Konfigurace a provoz..................................................................................................... 48
11.2.1 Po vložení karty do čtečky se na několik sekund rozsvítí kontrolka a pak se opět
rozbliká............................................................................................................................ 48
11.2.2 Během práce s kartou „zatuhává“ kursor myši. ................................................... 49
11.2.3 Po probuzení systému z "úsporného" (standby) režimu, se objeví následující
hlášení: "Reader removal monitor error retry treshold reached. Incorrect function.", a
čipovou kartu nelze dále používat................................................................................... 49
11.3 Ostatní ............................................................................................................................ 49
11.3.1 Rozdíl mezi využitím karty v IE a Mozille.......................................................... 49
11.3.2 Jak funguje používání certifikátu ve Windows? .................................................. 49
11.3.3 Kurzor myši se stává nepohyblivý během dlouhé výměny čipové karty! ........... 50
11.3.4 Musí být vždy certifikát na kartě?........................................................................ 51
12. Integrace CryptoPlus do produktů Entrust®...................................................................... 52
12.1 Doporučený postup instalace ......................................................................................... 52
12.2 Způsob integrace CryptoPlus do produktů firmy Entrust® ............................................ 53
12.3 Možnosti manuální konfigurace..................................................................................... 53
12.3.1 ethardware.ini....................................................................................................... 53
3
1. Úvod
Vážený zákazníku, do Vašich rukou se dostal produkt, jehož primárním úkolem je zvýšit
bezpečnost elektronických komunikací na síti Internet. Základní komponentou systému je
kryptografická čipová karta, která je schopna spolehlivě uchovat tajemství jí svěřené – privátní
kryptografický klíč. Kromě tohoto tajemství je na kartě uložen i Váš certifikát X.509, tj. veřejný
blok dat popisující Vaši identitu (e-mail, adresu, pracovní zařazení, atd.), a certifikát certifikační
autority.
Tento dokument si však neklade za cíl seznámit Vás s použitými principy zabezpečení, ale měl
by Vám pomoci s první konfigurací CryptoPlus, internetového prohlížeče a programu pro
posílání elektronické pošty tak, aby spolupracovaly s čipovou kartou.
Manažer CryptoPlus je vybaven podrobnou nápovědou, uživateli průběžně zobrazuje pokyny a
možnosti práce s programem. Uživatelská příručka, kterou právě čtete, proto popisuje jen
základní postupy a nezabývá se všemi dialogy a možnými chybovými stavy.
Děkujeme za Váš zájem o produkt CryptoPlus a přejeme Vám mnoho úspěchů.
4
2. CryptoPlus – jak začít
2.1 HW a SW předpoklady
Požadavky na HW
•
HW s odpovídajícím výkonem, který umožňuje provozování operačního systému Windows
95 OSR 2.1, 98, 98 SE, ME, NT4 SP6, 2000, XP.
•
Volný sériový (případně USB, PCMCIA) port pro připojení čtečky čipových karet
(požadavky pro připojení specifikují jednotliví výrobci).
Zejména u starších typů PC, které pro připojení klávesnice či myši nepoužívají
konektory typu PS/2, je nutno použít redukci DIN/PS2 – PS2/DIN.
•
Kromě doporučených typů čteček od společnosti Gemplus nebo Omnikey, můžete používat
také čtečku od jiného výrobce. Taková čtečka však musí být plně PC/CS kompatibilní a od
jejího výrobce musíte mít k dispozici rovněž aktuální ovladače.
Požadavky na SW
Současná verze produktu CryptoPlus je nativně integrována do kryptografického podsystému
operačního systému MS Windows (byla testována s verzemi 95 OSR 2.1, 98, 98 SE, ME, NT4.0
SP6, 2000 a XP). Znamená to, že všechny aplikace využívající tento kryptografický podsystém
mohou spolupracovat i s čipovou kartou CryptoPlus.
Jedná se zejména o aplikace:
•
•
•
Microsoft Internet Explorer (min.verze 5.0 a vyšší)
Microsoft Outlook Express (min. verze 5.0 a vyšší)
Microsoft Outlook (verze 2000 a vyšší)
Dále je dodáván Cryptoki modul pro Netscape, který je určen pro verze 7.x a vyšší. V případě
Mozilly je určen pro verze 1.2 a vyšší.
5
2.2 Licenční omezení
Licenční podmínky pro PC/SC rozhraní pro čtečky čipových karet a CryptoPlus - správce karty
jsou zobrazovány při instalaci na obrazovce monitoru. Protože soubory ovladačů čteček jsou
převzaty od výrobce čteček v originálním provedení, je licenční ujednání v angličtině.
2.3 Jazyková podpora
Software CryptoPlus existuje v několika jazykových mutacích. Důvodem je snaha komunikovat s
uživatelem v jeho mateřštině. Výběr jazyka, kterým spolu jednotlivé moduly komunikují, se řídí
nastavením regionální podpory v operačním systému MS Windows. Existuje-li pro region
uživatele jazyková podpora v CryptoPlus, budou ji moduly používat. Není-li pro daný region
jazyk dostupný, budou moduly komunikovat svým přednastaveným jazykem.
Regionem uživatele se rozumí aktuálně zvolená regionální podpora, což nemusí
vždy korespondovat s verzí Windows. Někteří uživatelé např. mohou pracovat s
anglickou verzí Windows a v ní mít nastaven region Slovensko. S těmito uživateli
budou moduly CryptoPlus komunikovat slovensky.
Aktuální verze CryptoPlus podporuje tyto jazyky: Angličtina, Čeština, Němčina, Slovenština.
Výběr jazykové podpory se provádí při instalaci, lze ji však změnit i později pomocí aplikace
„CryptoPlus – správce karty“ bez nutnosti reinstalace.
2.4 Typy čteček podporované CryptoPlus
Do instalátoru jsou zakomponovány originální ovladače (tj. bez jakýchkoliv úprav) pro čtečky od
firmy Gemplus a Omnikey. Tyto ovladače jsou standardní součástí dodávek produktu
CryptoPlus. Jedná se o tyto typy:
•
čtečky se sériovým připojením:
o Gemplus: GemPC410, GemPC413, GemPC Twin, GemPC Serial
o Omnikey: CardMan 2011
•
čtečky s USB připojením:
o Gemplus: GemPC430, GemPC433, GemPCTwin, GemPC Key, GemPC USB
o Omnikey: CardMan 2020, CardMan 3121
•
čtečky typu PCMCIA:
o Gemplus: GemPC400
o Omnikey: CardMan 4000
6
3. Instalace CryptoPlus
Instalátor je koncipován tak, aby co nejvíce usnadnil práci běžného uživatele. V průběhu
instalace detekuje nejrůznější stavy a formou přehledných výpisů a hypertextových odkazů nabízí
uživateli další postup.
Pokud instalátor zjistí, že některé součásti jsou již na Vašem PC k dispozici, ponechá je beze
změn a využije je pro svou činnost. Příkladem může být skutečnost, že na PC již máte
instalovanou a připojenou funkční PC/SC čtečku. Pokud ji instalátor správně detekuje, oznámí
tuto skutečnost na úvodní obrazovce a nabídne pokračování instalace dalším krokem (nenabídne
instalaci čtečky).
Souběžně s ovladači čtečky je instalována PC/SC podpora pro komunikaci se čtečkou. Pokud je
PC/SC podpora již součástí operačního systému (od verze MS Windows 2000 a výše), nebo je na
PC k dispozici z dřívější instalace, tento krok je rovněž vynechán.
3.1 Spuštění instalace
Doporučujeme ukončit běžící aplikace na vašem počítači. Je to z toho důvodu, že instalátor
v průběhu instalace restartuje PC a mohlo by dojít ke ztrátě neuložených dat.
Přichystejte si čtečku, ale zatím ji k počítači nepřipojujte! Vložte instalační CD do mechaniky
a pokud nedojde k samočinnému spuštění instalátoru, spusťte instalaci pomocí Průzkumníka
(soubor Install.exe).
Po spuštění programu se zobrazí úvodní obrazovka se stavem instalace. Průvodce instalací
nejprve detekuje nainstalované součásti a v části „Jak pokračovat?“ vždy nabídne další
doporučený krok instalace. Pokud potřebujete provést jiný než doporučený krok, kliknutím na
odkaz „Další možnosti >>“ otevřete nabídku jiných možností. Instalátor lze spustit prakticky
kdykoliv bez dopadu na stávající instalaci v počítači.
1. Během instalace nesmějí být spuštěny žádné jiné aplikace !
2. Pro instalaci ve Windows NT4, Windows 2000 a Windows XP je nezbytné
oprávnění správce systému !
Po spuštění instalace následuje výběr jazyka, ve kterém bude instalace probíhat. Přednastaven je
jazyk dle regionálního nastavení MS Windows.
7
Obr. 1. Výběr jazykové mutace
Po výběru jazyka se spustí průvodce instalací CryptoPlus. Průvodce instalace podrobně informuje
uživatele o stavu instalace, nabízí a navrhuje řešení problémů.
Obr. 2. Průvodce instalací CryptoPlus
8
Popis položek obrazovky:
PC/SC – komunikační rozhraní Win32 (Personal Computer/Smart Card). MS Windows 9x,
ME, NT nemají rozhraní standardně instalováno, proto se automaticky instaluje před instalací
ovladačů čtečky.
Počet dostupných čteček – informace o počtu čteček dostupných přes PC/SC rozhraní.
Instalační balíček – označení verze instalačního balíčku, který se chystáte instalovat.
CSP – knihovna, která implementuje kryptografické standardy a algoritmy (Cryptographic
Service Provider). Položka informuje o stavu instalace a zobrazuje verzi instalovaného CSP.
PKCS#11 - Standardní rozhraní pro zařízení (ve vašem případě se jedná o čipovou kartu),
která uchovávají chráněné informace a provádějí kryptografické operace.
Správce karty – informuje o verzi již instalovaného „CryptoPlus - správce karty“.
Jazyk – informuje o výběru jazyka. Výběr jazyka bude reflektován také ve Správci karty.
Operační systém – informace o verzi operačního systému.
3.2 Instalace ovladačů čtečky
V případě, že nemáte nainstalovánu čtečku čipových karet, vyberte položku „Instalovat čtečku
karet“. Volba se zobrazí i v případě, že čtečka je instalována a připojena, ale vinou komunikační
chyby ji instalátor nedokáže detekovat.
Další okno instalátoru nabízí seznam a vyobrazení podporovaných čteček. Podle typového
označení Vaší čtečky, které je uvedeno na štítku ve spodní části, vyberte v nabídce odpovídající
typ. Výběru čtečky věnujte náležitou pozornost – instalace jiného typu může později způsobit
chyby v komunikaci čtečky.
9
Obr. 3. Instalace čtečky čipových karet
Při instalaci čtečky je třeba dodržet následující pravidla:
• Čtečku připojte, až Vás k tomu instalátor vyzve.
• Instalujte, pokud možno, pouze drivery nabízené instalátorem CryptoPlus (mohlo by dojít k
nesprávné funkci PC/CS rozhraní)
• Čtečku po jejím připojení a instalaci zbytečně neodpojujte, nechte ji stále připojenou.
• Čtečku instalujte pouze na funkční port, který není v konfliktu s jiným HW zařízením
nainstalovaným ve Vašem počítači
• Port pro připojení čtečky nikdy nesdílejte s jiným zařízením. Rozhraní PS/SC nedokáže po
přerušení komunikace znovu navázat spojení se čtečkou bez restartu.
Některé systémy (MS Windows 9x, ME, NT 4.0) nemají standardně nainstalovanou podporu pro
práci se čtečkami a kartami – tzv. PC/SC. Pokud na vašem počítači nebude tato podpora
nalezena, instalátor ji před instalací ovladačů čtečky sám automaticky nainstaluje. Před instalací
PC/SC je nutno odsouhlasit text licenčního ujednání (v původní anglické verzi). Pokud kliknete
na odkaz „Souhlasím“, instalace pokračuje dále. V opačném případě se instalace vrací o krok
zpět.
10
Po instalaci ovladačů čtečky budete vyzvání k restartování počítače a k připojení čtečky po
zadání restartu počítače !!!
Obr. 4. Dialogové okno „Čekejte…“
Obr. 5. Výzva pro připojení čtečky
Podrobný popis připojení čteček najdete v kapitole č. 7. Popis připojení čtečky čipových karet.
3.3 Instalace obslužného software CryptoPlus
Pokud je čtečka správně nainstalována, můžete zvolit nabídku „Instalovat software CryptoPlus“.
11
Obr.6. Instalace software CryptoPlus
V dalším okně se zobrazí licenční ujednání pro software CryptoPlus. Po přečtení podmínek je ve
spodní části obrazovky nutné kliknutím potvrdit jednu z uvedených možností pro pokračování „Souhlasím“ či „Nesouhlasím“. Pokud souhlasíte, instalace pokračuje dále volbou parametrů
pro instalaci, v opačném případě se instalace vrací o krok zpět.
Pomocí zatržítek si můžete upravit rozsah instalace a umístění souborů na disku. Instalace
CryptoPlus s vazbou na Netscape a Mozillu je popsána v kapitole č. 5.1 Instalace CryptoPlus s
vazbou na Netscape nebo Mozillu. Na Instalace CryptoPlus s vazbou na Entrust® je popsána
v kapitole č. 12. Integrace CryptoPlus do produktů Entrust®
12
Obr.7. Okno pro součásti instalace
V některých případech se může stát, že software CryptoPlus je na počítači již instalován ve verzi
kastomizované pro jiného poskytovatele (např. od jiné banky). CryptoPlus může být na jednom
počítači nainstalován ve více kastomizacích (každá je uložena v samostatném adresáři na disku),
mohou se používat střídavě, v případě použití více čteček také současně! Instalátor takovou
skutečnost zjistí a nabídne seznam instalovaných karet. Uživatel musí zatržítkem označit verze,
které chce zachovat k souběžnému používání. Pokud váháte, jestli chcete zaregistrované karty
ponechat, raději je ponechejte.
Obr.8. Dialogové okno při zjištění existujících karet v systému
Pokud se jedná o první instalaci programu CryptoPlus, zobrazí se tento dialog, kterým potvrdíme
vytvoření adresáře, do kterého se má balíček CryptoPlus nainstalovat. Dialog se zobrazí vždy,
když není adresář pro instalaci vytvořený. Potvrzením tlačítka „Ano“ instalace pokračuje dál.
13
Obr.9. Dialogové okno pro vytvoření adresáře pro instalaci
Pro správný chod čtečky a softwaru CryptoPlus je nutné restartovat počítač. Zobrazí se okno
instalátoru s výzvou k restartu počítače, kde je třeba kliknout na volbu „Restartovat počítač“
Po restartu PC se znovu spustí instalátor, aby ověřil, zda instalace dopadla správně. Pokud jsou
všechny součásti nainstalovány můžete vybrat z nabídek: „ukončit“ instalační program nebo
„spusťte“ CryptoPlus – správce karty. Pokud bude instalace chybná, zobrazí se další doporučený
krok, který je výsledkem detekcí jednotlivých potřebných funkcí. V případě, že nechcete ukončit
průvodce instalací, klikněte na odkaz „další možnosti >>“.
Pokud nebude průvodce instalací spuštěn automaticky po restartu počítače, je nutné jej pro
korektní dokončení instalace spustit ručně (soubor Install.exe).
Obr. 10. Ukončení průvodce instalací
14
3.4 Reinstalace, odinstalování CryptoPlus
Odinstalování balíčku CryptoPlus v MS Windows NT4, 2000, XP vyžaduje
oprávnění správce systému !!!
Obr. 11. Alternativní návrhy pro instalaci CryptoPlus
15
CryptoPlus lze odinstalovat dvěma způsoby:
1. Pomocí instalačního programu:
•
Do počítače vložte instalační CD CryptoPlus.
•
V hlavním menu klikněte na „Instalace software CryptoPlus“, případně pomocí
Průzkumníka spusťte z CD instalační program (soubor Install.exe).
•
Kliknutím na odkaz „další možnosti >>“ se zobrazí alternativní návrhy pro instalaci
CryptoPlus, viz. kapitola č. 3.5 Alternativní návrhy pro instalaci CryptoPlus
•
Po výběru „Odinstalovat software CryptoPlus“ dojde k odinstalování programového
balíčku CryptoPlus, načež se zobrazí okno instalátoru s výzvou k restartu počítače, kde je
třeba kliknout na volbu „Restartovat počítač“
•
Po restartu bude program CryptoPlus odinstalován.
2. Odebráním programu ze seznamu nainstalovaných aplikací:
•
Z nabídky NastaveníÆOvládací PanelyÆPřidat nebo odebrat programy zvolte
odinstalovat „CryptoPlus v1.0“. Spustí se program určený pro odinstalování
programového balíčku CryptoPlus.
Obr. 15. Potvrzení odinstalování programu CryptoPlus
•
Kliknutím na tlačítko „Ano“ potvrdíte odinstalování, které se následně provede.
16
•
Následuje dialog, který vás vyzve k potvrzení restartu počítače. Kliknutím na tlačítko
„Ano“ se počítač restartuje.
Obr. 16. Změna nastavení systému – restart počítače
•
Po restartu bude program CryptoPlus odinstalován.
3.5 Alternativní návrhy pro instalaci CryptoPlus
Vyobrazení viz. obrázek s názvem „Alternativní návrhy pro instalaci CryptoPlus“.
Jedná se o následující funkce:
•
Provést opravu CryptoPlus - Volba se zobrazí, pokud instalátor nalezne instalovanou
verzi. Instalátor takovou verzi opraví, resp. doplní chybějící části stávající instalace.
•
Instalovat čtečku karet - Volba umožní nainstalovat čtečku ze seznamu podporovaných
čteček. Volbu můžete použít při rozšíření systému o další čtečku nebo jako opravu chybné
instalace čtečky.
•
Provést test instalace - Funkce, pomocí které se dá rychle zjistit, zda je instalace
CryptoPlus úplná a funkční. Ocení ji zejména majitelé přenosných PC, kde dochází
k častému připojování a odpojování externích periferií. Tato funkce zjišťuje aktuální stav
instalace produktu CryptoPlus.
•
Restartovat počítač - po restartu PC dochází k uplatnění změn, které byly během instalace
provedeny. Bez restartu nelze produkt CryptoPlus správně používat. Po volbě se instalátor
znovu spustí a ukáže aktuální stav instalace.
•
Odinstalovat software CryptoPlus - Po kliknutí na tento odkaz dojde k odinstalování bez
dalšího varování. CryptoPlus je nutné odinstalovat v případě přeinstalování CryptoPlus,
nebo jiné poruše instalace, zrušení produktu.
•
Aktualizace software CryptoPlus - V případě, že instalátor detekuje nainstalovanou starší
verzi CryptoPlus, nabídne automaticky aktualizaci na novou verzi. Nabídka se v takovém
případě zobrazuje na hlavní obrazovce Instalátoru.
17
•
Vynucená přeinstalace CryptoPlus - Volba je vždy přítomna, pokud je nějaká verze
CryptoPlus instalována. Slouží k reinstalaci pro případ, kdy pokusy o opravu selhaly.
Provede kompletní přeinstalování bez ohledu na předchozí instalaci. Volba neřeší
problém s komunikací čteček.
•
Odinstalovat PC/SC - Volba umožní odinstalovat PC/SC rozhraní Windows. Při instalaci
čtečky je pak PC/SC rozhraní instalováno znovu. Přeinstalování PC/SC může odstranit
případné problémy s funkčností čtečky. Volba se zobrazuje pouze v případě, kdy je
PC/SC instalováno a pouze na MS Windows 9x, NT a ME. Na novějších verzích MS
Windows není možné PC/SC rozhraní odinstalovat. Oprava se provádí standardními
prostředky MS Windows.
•
Formulář pro zadání problému - V případě problémů při instalaci programového balíčku
CryptoPlus se pomocí tohoto formuláře můžete obrátit na pracovníky podpory.
3.6 Instalace CryptoPlus s vazbou na Mozillu
Pokud je na vašem PC detekována instalace prohlížeče Netscape nebo Mozilla, na začátku
instalace se automaticky nabídne možnost registrace modulu CryptoPlus Cryptoki pro použití v
těchto prohlížečích.
18
Obr.13. Kontrolní dotaz před spuštěním registrace
Obr.14. Příklad okna pro registraci v prohlížeči Mozilla
Obr.15. Potvrzení instalace bezpečnostního modulu pro prohlížeči Mozilla
19
Po dokončení registrace se část instalace obslužného software CryptoPlus ukončí ověřením
správnosti instalace. Uživatel je následně informován o úspěšnosti instalace modulů do
prohlížeče.
Obr.16. Potvrzení o úspěšné instalaci modulu
3.7 Odinstalování CryptoPlus s vazbou na
Mozillu
V případě, že jste měli zaregistrován modul Cryptoki, program pro odinstalování nabídne
odregistrování tohoto modulu z programu Mozilla ( Netscape ).
Obr. 17. Odregistrování modulu Cryptoki
20
Obr. 18. Příklad okna pro odregistrování v prohlížeči Mozilly
Obr. 19. Potvrzení odinstalování modulu
Obr.20. Potvrzení o úspěšné odinstalování modulu
21
4. Základní funkce a ovládání CryptoPlus
Pokud chcete použít čipovou kartu pro šifrování a podepisování elektronické pošty, popř.
k autorizaci bezpečným spojením s web serverem, musí být splněno několik podmínek:
1. Musí být nainstalována softwarová podpora CryptoPlus.
2. Na čipové kartě musí být Váš privátní klíč s odpovídajícím certifikátem.
3. Kryptografický systém MS Windows musí znát Váš certifikát X.509.
Dvě poslední podmínky by Vám měla pomoci splnit Vaše certifikační autorita.
Pokud obdržíte kartu CryptoPlus s již nainstalovaným certifikátem, stačí tento certifikát
zaregistrovat do Windows pomocí programu „CryptoPlus – správce karty“ (součást instalačního
balíčku CryptoPlus).
Aktivní operace s kartou (např. výpočet elektronického podpisu) jsou chráněny pomocí PIN.
Pokud potřebujete PIN odblokovat nebo jej chcete změnit, použijte utilitu „CryptoPlus – správce
karty“.
Z hlediska bezpečnosti je velmi důležité, aby PIN kód, respektive PUK,
znal jen a pouze majitel karty. Pokud PIN či PUK prozradíte jiné osobě,
vystavujete se nebezpečí zneužití Vaší karty – nositele Vaší elektronické
identity
Program „CryptoPlus – Správce karty“ slouží k správě čipové karty CryptoPlus. Tato utilita je
vybavena speciální funkčností, která se snaží detekovat různé problémy a pokusí se navrhnout
způsob jejich řešení.
Kompletní popis funkcí naleznete přímo v programu a části „Nápověda“.
Základní práce s „CryptoPlus – Správce karty“:
1. Vložte čipovou kartu do čtečky.
2. Spusťte program „CryptoPlus – správce karty“ (po standardní instalaci ji najdete na pracovní
ploše popř. v nabídce Start Æ Programy Æ CryptoPlus Æ CryptoPlus.)
3. Po startu Správce karty je nejprve nutné načíst obsah karty. V hlavním okně se tedy objeví
„Návrhy řešení“ a zpráva „Nejsou přečtena data z karty“. Vložte tedy kartu do čtečky a
stiskněte podtržené slovo „obnovit“ nebo z nabídky programu zvolte Zobrazit Æ Obnovit
(stejnou funkci vyvoláte i stiskem klávesy F5).
22
Obr.21. Okno aplikace CryptoPlus správce karty
Pokud je v hlavním okně zobrazen jiný problém, může se např. jednat o chybně připojenou či
nainstalovanou čtečku, můžete k řešení (rozpoznání) problémů použít instalační program
(soubor Install.exe), který obsahuje mechanizmy pro detekci aktuálního stavu instalace,
dokáže také doporučit uživateli kroky pro vyřešení problému.
4. Po načtení údajů z karty by měl automatický detektor problémů zobrazit seznam certifikátů,
které nejsou zaregistrovány.
Kliknutím na nápis „zaregistrovat“ postupně zaregistrujte všechny certifikáty, které chcete
aktivně používat.
23
Obr. 22. Alternativa informačního okna manažeru po načtení dat z karty
1. Při registraci kořenového (root) certifikátu se systém dotáže, zda chcete tento
certifikát skutečně přidat do seznamu kořenových certifikátů. Před povolením
této operaci, zkontrolujte shodu hodnot SHA-1 kontrolního součtu (hash)
certifikátu zobrazené utilitou CryptoPlus a dialogem dotazujícím se na povolení
přidání root certifikátu
2. Takto zaregistrovaný certifikát je ihned vyjmut ze seznamu „problémových“
certifikátů.
24
Obr. 23. Přímá registrace certifikátu z menu
Certifikát je možné zaregistrovat i tak, že v levém okně vyberete certifikát, který chcete
zaregistrovat a v menu zvolíte funkci Certifikát Æ Registrovat.
5. Je-li certifikát platný a zaregistrovaný ve Windows, můžete s ním pracovat v aplikacích, které
využívají kryptografický podsystém MS Windows. (Internet Explorer, Outlook Expres,
Office XP, …)
4.1 Parametry CSP
CryptoPlus CSP používá několik parametrů, jimiž lze modifikovat jeho funkčnost. Parametry
jsou uloženy v systémových registrech a jsou popsány v dokumentaci k CSP.
Některé parametry CryptoPlus CSP lze zobrazit a změnit pomocí programu „CryptoPlus správce karty“. Jsou to:
•
Verze knihovny CSP - Informace o aktuálně instalované verzi CSP. Tuto informaci
nelze změnit programem „CryptoPlus - správce karty“, změní se automaticky po instalaci
nové verze knihovny CSP. Porovnáním verzí knihovny lze zjistit, zda je instalována
nejaktuálnější verze. Číslo verze může být také důležitou informací při problémech s CSP
a případném kontaktu hot-line.
•
Jazyk - Uživatel si může zvolit jazyk, kterým chce komunikovat s aplikacemi
CryptoPlus.
•
Timeout dialogů - Nastavuje timeout zobrazení dialogových oken CSP v rozsahu 30 600 sekund. Jestliže uživatel do uvedené doby nezareaguje na okno CSP, okno se
automaticky uzavře, jako kdyby uživatel akci přerušil (Cancel). Toto nastavení se netýká
okna systému PC/SC pro otevírání karty. Alternativní komunikační moduly nemusí tento
parametr používat.
•
Povolit animaci na taskbaru - Jestliže uživatel nechce zobrazovat animace na dolní liště
pracovní plochy, může toto pole nechat prázdné (nezaškrtnuté). Práce CSP pak bude
probíhat bez animace. Animace symbolizují průběh jednotlivých operací, které právě
25
CryptoPlus CSP provádí. Zapnutí či vypnutí animace nemá žádný vliv na způsob a
bezpečnost fungování CSP.
•
Defaultně zapamatovat PIN - Ovlivňuje úvodní nastavení dialogu pro ověření PIN.
Jestliže uživatel zaškrtne pole „Defaultně zapamatovat PIN“, bude vždy při zobrazení
dialogu pro ověření PIN automaticky zaškrtnuto pole „Zapamatovat pro toto sezení“ - a
naopak. Přednastavenou volbu lze po zobrazení dialogu pro ověření PIN změnit.
•
Časový limit PINu v paměti - Nastaví maximální časový interval, po který CryptoPlus
CSP může v paměti uchovávat hodnotu PIN. Zadaná hodnota se může pohybovat od 5
minut do 1440 minut (= 24*60 = 1 den).
Volba Parametry CSP zobrazí aktuální nastavení parametrů. Uživatel může tyto hodnoty změnit a
uložit pomocí tlačítka „Uložit“. Jestliže se nové hodnoty nepodaří zpracovat, vypíše program
chybové hlášení. Po úspěšném uložení se zobrazí nové (aktuální) hodnoty parametrů. Změna
nastavení parametrů se projeví až po restartování aplikací pracujících s čipovou kartou.
4.2 Změna PIN/PUK
Aktivní operace s kartou (např. výpočet elektronického podpisu) jsou chráněny pomocí PIN.
Pokud PIN zadáte ve třech po sobě jdoucích pokusech chybně, dojde k jeho
zablokování. Odblokovat jej lze pomocí tzv. PUK. Při zadávání PUK čipová
karta toleruje čtyři po sobě jdoucí chybná zadání. Po páté po sobě jdoucí
chybě zadání PUK je karta nezvratně zablokována!
Prvotní PIN a PUK pro karty obdržíte společně s kartou v zapečetěné obálce. Pokud
potřebujete prvotní PIN změnit, případně kartu odblokovat, použijte program „CryptoPlus správce karty“ a postupujte dle následujícího návodu.
Z hlediska bezpečnosti je nezbytné, aby PIN a PUK kódy znal jen a pouze
majitel karty. Pokud PIN či PUK prozradíte jiné osobě, vystavujete se
nebezpečí zneužití Vaší karty – nositele Vaší elektronické identity.
Postup při změně PIN a PUK
2. Ukončete všechny aplikace, které používají kartu CryptoPlus.
3. Spusťte program „CryptoPlus - správce karty“ (po standardní instalaci ji najdete na pracovní
ploše popř. v nabídce Start Æ Programy Æ CryptoPlus Æ CryptoPlus).
26
4. Přečtěte údaje o vložené kartě pomocí nabídky Zobrazit Æ Obnovit.
5. V levém okně vyberte kartu CryptoPlus.
Obr. 24. Okno po prvotním načtení údajů z karty
6. Z nabídky programu CryptoPlus zvolte Soubor Æ Změna / Odblokování PIN….
Obr. 25. Okno s informacemi o kartě a vyvoláním funkce pro změnu PIN
V dialogovém okně zvolte požadovanou operaci, zadejte potřebné údaje a potvrďte je
tlačítkem „OK“. Délka nového PIN či PUK musí mít nejméně 4 číslice a nejvíce 8 číslic.
Tlačítko „OK“ se povolí až poté, kdy je splněna podmínka pro délku PIN/PUK a pokud je
nová hodnota stejná jako zopakování nové hodnoty.
27
Obr. 26. Okno pro zadání typu operace a hodnot PIN/PUK
7.
Pokud operace proběhla úspěšně, bude karta pracovat s novým PIN popř. PUK.
4.3 Datové objekty
Datové objekty na kartách CryptoPlus jsou uživatelsky definovaná data. Mohou mít libovolný
formát, navržený aplikací, která datový objekt spravuje. Hodnoty datových objektů mohou být
chráněny pomocí PIN. Datové objekty lze proto použít k uložení citlivých dat (hesla, kódy, ...).
Pro přístup k datovým objektům se typicky využívá rozhraní PKCS#11.
Program „CryptoPlus – správce karty“ zobrazí podrobné informace o datovém objektu vybraném
ve stromu informací. Mezi informacemi o datovém objektu jsou:
•
Aplikace - Název aplikace, která je správcem datového objektu. Nepovinný údaj.
•
Název - Název objektu.
•
Chráněno pomocí PIN - Informace, zda je hodnota datového objektu veřejně přístupná
anebo zda je čtení podmíněno zadáním PIN.
•
Délka dat - Délka datové hodnoty. V bytech.
•
Data - Výpis datové hodnoty. Jsou zobrazeny 3 sloupce informací: offset dat, data
hexadecimálně a data textově. Pokud je čtení dat chráněno pomocí PIN a data dosud
nebyla přečtena, zobrazí se možnost přečíst hodnotu chráněnou pomocí PIN z karty.
•
Datový objekt lze smazat - Je zobrazena možnost smazat datový objekt z karty.
28
Obr. 27. Zobrazení informací o datových objektech
29
5. Integrace CryptoPlus do nejčastěji
používaných programů
V této kapitole je popsáno, jak nainstalovat a odinstalovat podporu CryptoPlus pro některé další
aplikace a jak nakonfigurovat programy tak, aby používaly zabezpečení pomocí certifikátů na
čipové kartě.
Zobrazené dialogy se mohou lišit od těch, které vidíte v této příručce, dokonce i názvy položek
menu mohou být naprosto odlišné. Není možné popsat konfiguraci poměrně širokého spektra
verzí aplikací, které mohou používat karty CryptoPlus. Doporučujeme Vám, abyste upřednostnili
postupy uvedené v dokumentaci Vašeho software. Ta by měla být vždy aktuální.
5.1 Konfigurace programu MS Outlook 2000
2. Spusťte MS Outlook
3. V nabídce aplikace zvolte Nástroje Æ Možnosti.
Obr. 28. Panel „Možnosti“ pro konfiguraci Outlook 2000
4. V dialogovém okně „Změnit nastavení zabezpečení“ zvolte „Formát zabezpečených
zpráv: S/MIME“. V sekci „Osvědčení a algoritmy“ by se měly samy objevit názvy
Vašeho certifikátu pro elektronický podpis („Podpisové osvědčení“) a pro šifrování
(„Osvědčení zašifrování“). Pokud tomu tak není (např. máte více certifikátů), vyberte
vhodné certifikáty pomocí tlačítek „Vybrat“. Nastavení potvrďte tlačítkem „OK“.
30
Obr. 29. Panel pro změnu nastavení aplikace Outlook 2000
5. V dialogovém okně „Možnosti“ (viz. bod 4) podle potřeby zaškrtněte políčka „Zašifrovat
obsah a přílohy odesílaných zpráv“ a „Přidat digitální podpis do odesílaných zpráv“.
6. Pokud je Váš certifikát platný a má příslušná oprávnění, můžete jej – spolu s kartou
CryptoPlus – používat pro vytváření elektronického podpisu a dešifrování příchozích
zpráv.
5.2 Konfigurace programu Outlook Express 5
2. Spusťte Outlook Express
3. V nabídce aplikace zvolte Nástroje Æ Účty.
4. V záložce „Vše“ nebo „Pošta“ vyberte účet, ke kterému chcete používat kartu
CryptoPlus.
31
Obr. 30. Okno se seznamem účtů pro elektronickou poštu
5. Stiskněte tlačítko „Vlastnosti“.
6. V dialogovém okně pro nastavení vlastností účtu vyberte záložku „Zabezpečení.“
Obr. 31. Dialog „Vlastnosti“ pro aktualizaci parametrů vybraného účtu
32
7. Vyberte si vhodný certifikát k danému účelu a je-li to možné, vyberte i preferovaný
algoritmus pro šifrování (čím silnější, tím větší míra utajení).
8. Tlačítkem „OK“ potvrďte výběr.
5.3 Konfigurace prohlížeče Internet Explorer 5.x
Pokud je certifikát zaregistrován v MS Windows (viz. předchozí kapitola) a je platný, je možné
jej použít pro klientskou autentizaci na bezpečném spojení s web serverem bez nutnosti další
konfigurace prohlížeče. Je samozřejmé, že certifikát musí být vydán k tomuto účelu a že web
server musí rozpoznat certifikáty Vaší certifikační autority.
5.4 Konfigurace prohlížeče Mozilla
Internetový prohlížeč Mozilla, na rozdíl od standardních „MS aplikací“, nevyžaduje registraci
certifikátu do systému Windows.
Proto, abyste mohli využívat výhod karty CryptoPlus v tomto prohlížeči, je nutné, abyste měli
zaregistrován kryptografický modul Cryptoki. Pokud instalátor detekuje prohlížeč Mozilla, tak
Vám automaticky registraci nabídne.
1. Pro správnou funkci CryptoPlus je zapotřebí, aby byla karta CryptoPlus
vložena ve čtečce v okamžiku spouštění programu Mozilla.
2. Po registraci modulu CryptoPlus startuje Mozilla o něco déle. Ještě před
zobrazením prvního okna jsou totiž načítány veškeré údaje z čipové karty.
Kontrola registrace kryptografického modulu v prohlížeči Mozilla
1. Spusťte prohlížeč Mozilla
2. Otevřete menu „Edit“ a vyberte „Preferences“
3. Pod kategorií „Privacy & Security“ klikněte na „Certificates“. (Jestliže nejsou viditelné
žádné podkategorie, pak dvojklikem na „Privacy & Security“ se seznam rozvine.)
33
Obr. 32.Zobrazený dialog nastavení
4. V sekci „Manager Security Devices“, klikněte na tlačítko „Manage Security Device…“
a zobrazí se dialog „Device Manager“.
34
Obr. 33.: Příklad okna se zobrazením seznamu instalovaných kryptografických modulů
V seznamu „Security modules and devices“ musí být kromě interního PKCS#11 modulu i
modul CryptoPlus ( + označení verze, v tomto případě je to „CSOB CryptoPlus Cryptoki
v1.0“ ).
35
6. Update produktu
Více informací o produktu CryptoPlus můžete získat buď u Vašeho dodavatele nebo je můžete
najít na internetu, viz. níže.
6.1 O produktu CryptoPlus
http://www.cryptoplus.cz
6.2 Elektronická adresa pro podporu
[email protected]
Nové verze produktu CryptoPlus budou nabízeny k volnému stažení na výše uvedených
internetových adresách. Instalační balíček bude pro Vaši jednodušší orientaci přímo ve jménu
souboru označen číslem verze a bude připojena stručná popiska změn oproti předchozím verzím.
K dispozici bude rovněž aktuální uživatelská dokumentace. Ta bude zásadně nabízena ve formátu
PDF a pro její prohlížení budete potřebovat volně šiřitelný prohlížeč Adobe Acrobat Reader,
který získáte např. na serveru výrobce, tj. www.adobe.com .
36
7. Popis připojení čtečky čipových karet
Čtečky se sériovým připojením nemají vlastní zdroj a jsou napájeny z portu klávesnice (resp.
myši) typu PS/2.
GemPC410, GemPC413, GemPC TwinSerial, CardMan2011
Postup připojení:
•
připojte snímač k volnému 9-ti pinovému
sériovému portu PC (má zelenou barvu – pokud je
k dispozici pouze port 25-ti pinový, musíte si navíc
obstarat redukci).
•
Odpojte myš nebo klávesnici a do uvolněného
zapojte fialový konektor čtečky (podmínkou je, že
myš nebo klávesnice musí mít konektor typu PS/2)
•
Klávesnici (příp. myš) zapojte do šedého externího konektoru čtečky.
•
Na čtečce při správném připojení bliká LED, pokud je správně nainstalovaná a
vložíte do ni kartu, začne LED svítit trvale (CardMan 2011 svítí zeleně, při
komunikaci navíc červeně blikají).
•
Upevnění: nasuňte snímač do přiloženého stabilizačního podstavce (součást
dodávky)
Obr. 34.: Schéma připojení GemPC410
37
GemPC430, GemPC433, GemPCTwinUSB, CardMan2020,
CardMan3121
Postup připojení:
•
Zasuňte USB konektor čtečky do volného USB
portu počítače. Po zapojení je čtečka připravena
k používání.
•
GemPC430, GemPC433, GemPC Twin je
vybavena USB kabelem, zelenou LED diodou. Při
napájení bliká, při správné komunikaci trvale svítí.
•
CardMan 2020 a CardMan 3121 svítí zeleně, při
komunikaci navíc červeně blikají.
Obr.35.: Schéma připojení čtečky s USB konektorem
GemPC400, CardMan4000
Postup připojení:
•
zasuňte čtečku do volného PCMCIA slotu Vašeho
notebooku
•
při používaní, pokud se rozhodnete ponechávat
čtečku v notebooku, občas zkontrolujte, zda je
čtečka dostatečně zasunutá (tzv. na doraz).
38
GemPC Key
Postup připojení:
•
Zasuňte USB konektor čtečky do volného USB
portu počítače. Po zapojení je čtečka připravena
k používání.
39
8. Rejstřík a základní pojmy
AID - Application Identifier. Unikátní číslo aplikace uložené na kartě. Systémy pracující s kartou
mohou podle AID najít na kartě data pro provedení požadovaných operací.
Asymetrická kryptografie - Typ kryptografie, který používá pro šifrování a dešifrování dat dva
rozdílné klíče: veřejný a soukromý (privátní) klíč. Data zašifrovaná jedním z klíčů lze dešifrovat
pouze pomocí druhého z dvojice klíčů a naopak. Privátní klíč musí znát pouze majitel - je nutné
uchovávat jej na bezpečném místě. Naproti tomu, veřejný klíč může být dostupný komukoli.
Pokud někdo zašifruje např. e-mail veřejným klíčem adresáta, má jistotu, že zprávu přečte pouze
adresát. Naopak jestliže někdo podepíše dokument svým privátním klíčem, mohou si příjemci
dokumentu pomocí veřejného klíče ověřit autenticitu autora. Mezi nejpoužívanější asymetrické
algoritmy patří RSA a DSA.
ATR - Answer to reset (ATR) string karty. Řetězec, kterým se karta identifikuje do systému po
připojení napájení.
Autentizace - Proces ověření identity daného subjektu (člověka, systému,...).
Certifikační autorita (CA) - Instituce, která vydává certifikáty. Před vydáním certifikátu CA
ověřuje identitu žadatele. Certifikát CA je kořenový (root) certifikát.
Certifikát - Elektronicky podepsaný dokument, obsahující veřejný klíč majitele a informace o
majiteli certifikátu. Certifikát tedy svazuje informaci o majiteli s jeho veřejným klíčem. Certifikát
je typicky vydán důvěryhodnou certifikační autoritou (CA).
Cesta k certifikátu - Každý certifikát je podepsán privátním klíčem vydavatele certifikátu.
(Výjimku tvoří kořenový certifikát, ten je podepsán vlastním klíčem.) Jestliže tedy máme
certifikát i certifikát vydavatele, můžeme kryptograficky ověřit, zda byl zkoumaný certifikát
skutečně vydán předpokládaným vydavatelem. Opakovaným postupem lze ověřit i certifikát
vydavatele, jeho vydavatele atd. ..., až do úrovně kořenového certifikátu. Takto ověřený řetězec
nazýváme cesta k certifikátu. Některé programy jsou schopny použít pouze certifikáty, které mají
v systému registrovány všechny nadřízené certifikáty - mají kompletní ověřenou cestu k
certifikátu.
Cryptographic Service Provider - Dynamicky linkovaná knihovna implementující
kryptografické standardy a algoritmy. Win32 implementují standardní, čistě softwarovou verzi.
Existují i verze jiných výrobců, některé implementují (pro zvýšení bezpečnosti) kryptografické
operace pomocí hardwarových komponent (čipových karet, nebo krypto-adapterů). Knihovna je
používána např. při šifrování / dešifrované elektronické pošty, elektronickém podepisování atd. ...
CSP - Viz. „Cryptographic Service Provider“
Klíč - Viz. „Privátní klíč“ a „Veřejný klíč“.
Kód aplikace – Viz. AID.
PC/SC - Standardní Win32 rozhraní pro komunikaci s čtečkami čipových karet.
PIN - Osobní identifikační číslo (Personal Identification Number). Číselný kód pro autorizaci
některých operací s čipovou kartou. PIN je jedním z ochranných prvků při práci s čipovými
kartami. Člověk, který nezná PIN, nemůže s kartou provést operace vyžadující autorizaci. Jestliže
40
je několikrát po sobě zadán chybný PIN, jeho použití se zablokuje. PIN lze odblokovat pomocí
PUK.
PKCS#11 - Standardní rozhraní pro zařízení (ve vašem případě se jedná o čipovou kartu), která
uchovávají chráněné informace a provádějí kryptografické operace
Privátní klíč - Jeden klíč z páru klíčů, užívaných v asymetrické kryptografii. Utajení privátního
klíče je jedním z předpokladů bezpečnosti. Privátní klíč je používán např. pro elektronické
podepisování dokumentů, nebo dešifrování zpráv, které byly zašifrovány odpovídajícím
veřejným klíčem.
PUK - Osobní odblokovaní klíč (Personal Unblocking Key). Číselný kód pro odblokování PIN.
Jestliže se po opakovaně chybném zadání zablokuje karetní PIN, lze jej po zadání hodnoty PUK
odblokovat. Jestliže je několikrát po sobě zadán chybný PUK, jeho použití se zablokuje.
Veřejný klíč - Jeden klíč z páru klíčů, užívaných v asymetrické kryptografii. Veřejný klíč, na
rozdíl od privátního klíče, není třeba utajovat. Veřejný klíč je používán např. pro ověření
elektronického podpisu, nebo zašifrování zpráv. Zprávy zašifrované veřejným klíčem lze
dešifrovat pouze odpovídajícím privátním klíčem.
41
10. Co dělat, když nastane problém
Vždy se ujistěte, že máte aktuální verzi CryptoPlus. Číslo aktuální verze CryptoPlus se dozvíte
z internetových stránek určených vaší kastomizací (viz. kapitola č. 6. Update produktu).
Po stažení aktuální verze z internetových stránek, proveďte její nainstalování dle postupu, o
kterém se dočtete v kapitole č. 3. Instalace CryptoPlus – základní část
Pokud problémy s aplikací Cryptoplus nebo čtečkou, kartou přetrvají, doporučuji postupovat dle
bodu 10.1 Zadání problému.
10.1 Zadání problému
V případě problémů s aplikací CryptoPlus, čtečkou nebo kartou můžete použít formulář „Zadání
problému“. Formuláře je stiskem tlačítka odeslán na aplikační podporu produktu příslušné
kastomizace.
Formulář ve svých navádí uživatele, tak aby poskytl servisnímu pracovníkovi dostatečné
informace k posouzení jeho problému. Součástí formuláře jsou požadovány také soubory
s diagnostikami, vygenerované v krocích 10.2 Diagnostika čtečky a 10.3 Diagnostika karty, které
budete vkládat do internetového formuláře (viz. sekce 6.3 Internetové stránky pro zadání
problému) jehož prostřednictvím uvědomíte pověřené osoby o vašem problému. Dále zbývá jen
vyčkat odpovědi.
10.2 Diagnostika čtečky
•
Generuje se pomocí programu Gemplus SmartDiag. Program se automaticky nainstaluje
při instalaci čtečky pomocí instalačního balíčku CryptoPlus.
•
najdete jej v menu StartÆ ProgramyÆ GemplusÆ SmartDiagÆ SmartDiag v2.0,
kliknutím jej spusťte
42
Obr. 36. Hlavní dialog programu pro diagnostiku čtečky karet
•
Dalším krokem je vložení čipové karty do čtečky a potvrzení tlačítka „Start“
•
V případě, že test čtečky neproběhne úspěšně, se zobrazí podobné dialogové okno.
43
Obr. 37. Příklad selhání diagnostiky čtečky
Postupujte dle následujících kroků:
1. Klikněte na tlačítko „Get Assistance“.
Obr. 38. Nabídka možností zpracování diagnostiky čtečky
2. Kliknutím na tlačítko „Save report“ se zobrazí dialog pro uložení souboru na disk.
Nezapomeňte cestu k souboru, protože jej později budete posílat jako součást
zadání problému.
44
3. Nyní můžete diagnostický program ukončit.
4. Dalším krokem je diagnostika karty viz. sekce 10.3 Diagnostika karty , případně
zadání problému viz. sekce 10.1 Zadání problému
•
V případě, že čtečka funguje v pořádku se vám zobrazí toto dialogové okno
Obr. 39. Dialog informující o bezproblémové funkčnosti čtečky
•
Následně stačí potvrdit tlačítko „Close“, čímž ukončíte diagnostický program.
•
Diagnostický program zjistil, že čtečka je funkční a tudíž je problém někde jinde.
•
Dalším logickým krokem je provedení diagnostiky karty, viz. 10.3 Diagnostika karty
45
10.3 Diagnostika karty
•
Spusťte program „CryptoPlus - správce karty“
•
Vložte kartu do čtečky a stiskněte podtržené slovo „obnovit“ nebo z nabídky programu
zvolte Zobrazit Æ Obnovit (stejnou funkci vyvoláte i stiskem klávesy F5).
•
Po načtení údajů z karty v nabídce programu zvolte Soubor Æ Uložit diagnostiku
•
Nezapomeňte cestu k souboru, protože jej později budete posílat jako součást zadání
problému.
•
Dalším krokem je zadání problému viz. sekce 10.1 Zadání problému , případně 10.2
Diagnostika čtečky pokud nebyla provedena před diagnostikou karty
46
11. FAQ aneb často kladené otázky
11.1 Instalace
11.1.1 Pod MS Windows 2000 nelze nainstalovat čtečku karet
která není Plug and play
Příčina: MS Windows 2000 podporují čtečky karet pouze typu Plug and Play.
11.1.2 Pod MS Windows 95/NT 4.0 nejde nainstalovat USB
čtečka
Příčina: MS Windows 95/NT 4.0 standardně nepodporují USB zařízení, proto je velmi obtížné
navrhnout USB ovladač pro tento operační systém. Je možné že situace v budoucnosti změní, ale
v současné době firma Gemplus nepodporuje USB čtečky na platformě Windows 95/NT 4.0.
11.1.3 Po instalaci PC/SC se objeví chybové hlášení: "Cannot
create more devices" nebo "Cannot locate requested device"
Příčina: Toto chybové hlášení se může objevit v případě, pokud jste instalovali PC/SC bez
administrátorských oprávnění.
Řešení: Přihlaste se do systému jako administrátor a proveďte znovu instalaci PC/SC.
11.1.4 Po připojení čtečky musím restartovat počítač, abych
mohl pracovat s kartou, a to i v případě že mám
nainstalovány příslušné ovladače.
Příčina: Na systémech Windows 9x/NT 4.0 "Smart Card Resource Manager" nepodporuje Plug
and Play.
Řešení: Čtečka čipových karet musí být připojena před spuštěním počítače. Pro správnou funkci
musíte mít také nainstalovány příslušné ovladače.
47
11.1.5 Po spuštění Windows 9x se objeví hlášení: "VxD
reader driver initialization cannot open reader device. The
network request is not supported."
Příčina: Pod Windows 9x/ME se pokoušíte připojit dvě čtecí zařízení. "Smart Card Resource
Manager" neumí provozovat dvě čtečky typu Plug and Play současně.
Řešení: Počítač vypněte, odpojte jednu čtečku a zapněte.
11.1.6 Po instalaci čtečky ve Win2000 musím restartovat
počítač, abych mohl používat některé aplikace.
Příčina: Některé aplikace nebo služby vyhledávají seznam připojených čteček pouze při svém
startu. Za běhu již tento seznam nejsou schopny aktualizovat.
Řešení: Restartujte příslušnou aplikaci nebo službu. Je to mnohdy jednodušší než restartovat
počítač.
11.1.7 Na počítači nelze používat více jak jednu čtečku.
Příčina: Z důvodů problému v "Smart Card Resource Manageru" nelze ve Windows 9x/ME
používat více jak jednu čtečku čipových karet.
Řešení: Firmě Gemplus se podařilo obejít toto omezení u čteček připojených přes sériový port.
Toto je částečně možné, ale jeden sériový ovladač používají všechny čtečky.
11.1.8 Ovladače některých myší zabraňují v činnosti čtečkám
čipových karet.
Příčina: Ovladače firmy Logitech hledají myš na všech dostupných sériový portech. Během této
činnosti nelze čtečku používat. Logitech prodává myši pod různými obchodními značkami, proto
přestože tak nevypadají proveďte kontrolu výrobce driveru.
11.2 Konfigurace a provoz
11.2.1 Po vložení karty do čtečky se na několik sekund
rozsvítí kontrolka a pak se opět rozbliká
Příčina: Pokud používáte MS Windows ME/2000 nejedná se o žádný problém. Operační systém
se pouze snaží optimalizovat spotřebu elektrické energie při práci se čtečkou.
48
11.2.2 Během práce s kartou „zatuhává“ kursor myši.
Příčina: Pod Windows 9x se pro přístup na sériový port využívá systémový ovladač VCOMM.
Jedná se o metodu, kterou Microsoft doporučuje pro práci se sériovým portem na operačních
systémech Windows 9x. Přímý přístup na sériový port by mohl zvýšit průchodnost systému, ale
tento mechanismus je méně spolehlivý.
11.2.3 Po probuzení systému z "úsporného" (standby)
režimu, se objeví následující hlášení: "Reader removal
monitor error retry treshold reached. Incorrect function.", a
čipovou kartu nelze dále používat.
Příčina: Windows při přechodu do "úsporného" režimu odstraní z paměti většinu ovladačů
zařízení. Po probuzení jsou tyto opět nahrány, ale "Smart Card Resource Manager" není schopen
aktualizovat seznam zařízení. Také se může objevit chybové hlášení: "Reader monitor received
uncaught error code. The device does not recognize the command."
Řešení: Nepožívejte "úsporný režim". Místo toho vypněte počítač.
11.3 Ostatní
11.3.1 Rozdíl mezi využitím karty v IE a Mozille
Internet Explorer (ale i Outlook a Outlook Express) jsou programy integrované výhradně do
systémů Microsoft Windows. Proto standardně využívají i kryptografických služeb tohoto
systému (prostřednictvím CryptoAPI, a to dál využívá kryptografických modulů CSP). Pro
standardní použití privátního klíče ve zmíněných aplikacích je tedy nutné, aby k privátnímu klíči
existoval zaregistrovaný a platný certifikát X.509 s informací o tom, kde privátní klíč nalézt.
Produkty Netscape nejsou vázány pouze na systém Microsoft Windows, proto nespoléhají na
jejich kryptografický podsystém, ale využívají vlastních kryptografických modulů. Tyto moduly
jsou implementovány dle standardů PKCS (Public Key Cryptography Standards), konkrétně
PKCS#11. Každý takový modul je zodpovědný za uložení kompletní elektronické identity, tj.
musí nést klíč veřejný i privátní a odpovídající certifikát X.509. Chcete-li používat čipovou kartu
CryptoPlus coby nositele Vaší elektronické identity i v programu Mozilla (Netscape
Communicator), musíte na ní mít kromě klíče uložen i odpovídající certifikát X.509.
11.3.2 Jak funguje používání certifikátu ve Windows?
Pokud chcete, aby byla standardní „MS Windows“ aplikace schopna aktivně využívat funkce
spojené s certifikátem X.509, musí tento být zaregistrován v systému.
49
Pod pojmem „aktivně využívat funkce“ rozumějme tvorbu elektronického podpisu a
rozšifrování dat.
Během procesu registrace certifikátu do systému, jsou k tomuto certifikátu uloženy i informace,
pomocí nichž dokáže systém najít odpovídající privátní klíč (tj. klíč, který se používá právě při
vytváření elektronického podpisu nebo dešifrování dat).
Schematicky lze zaregistrovaný certifikát znázornit takto:
Obr. 40.: Zaregistrovaný certifikát
Aplikace, která potřebuje použít privátní klíč patřící k certifikátu, se nejdřív „podívá“ na
informace o registraci certifikátu a tam zjistí, kde má hledat příslušný privátní klíč. Po té požádá
kryptografický podsystém MS Windows o přístup k tomuto klíči a pokud jej získá, může
požadovanou operaci provést.
11.3.3 Kurzor myši se stává nepohyblivý během dlouhé
výměny čipové karty!
Řešení: Pod Windows 9x, se pro ovládání čtečky čipové karty používá VCOMM I/O ovladač,
aby se mohl připojit odpovídající sériový port. Toto je metoda, kterou Microsoft odsouhlasil pro
přístup sériového portu pod Windows 9x. Kontrola vstupu sériovému portu by měla mít za
následek lepší provedení, nicméně je méně spolehlivá.
50
11.3.4 Musí být vždy certifikát na kartě?
Řešení: Pokud používáte certifikát v aplikacích využívajících kryptografický podsystém
Windows, pak ho nutně nemusíte mít uložen na kartě. Stačí, aby byl zaregistrován ve Windows,
tj. systém ví, kde leží odpovídající privátní klíč. Pokud používáte certifikát v programu Mozilla (
Netscape Communicator ), musí být certifikát uložen na kartě.
51
12. Integrace CryptoPlus do produktů
Entrust®
12.1 Doporučený postup instalace
Instalátor Cryptoplus v kastomizaci pro Entrust přizpůsobuje instalaci pro používání v rámci
aplikace Entrust. Je-li aplikace správně nainstalována lze kastomizované čipové karty
plnohodnotně používat pro kryptografické operace vyžadované Entrust.
Pokud chcete používat aplikaci Cryptoplus v rámci Entrust je nutné provést výběr položky
„Entrust registration“, v dialogu výběru komponent k instalaci, CryptoPlus se automaticky při
instalaci integruje do Entrust® programů.
Jako první krok je nutné zprovoznit čtečku čipových karet a ujistit se o její funkčnosti.
Upozornění!!!
V případě, že budete v dalším kroku instalovat Entrust/SignOn a nebudete mít nainstalovanou
funkční čtečku, nastane situace kdy se po restartu nebudete moci přihlásit pomocí profilu
uloženém na čipové kartě. Pak bude nutné pro přihlašování vytvořit softwarový profil a používat
jej dokud se vám nepodaří čtečku čipových karet zprovoznit. Po zprovoznění čtečky je možno
provést „recovery“ tohoto softwarového profilu na čipovou kartu.
52
12.2 Způsob integrace CryptoPlus do produktů
firmy Entrust®
Komunikace mezi produkty firmy Entrust® a software CryptoPlus probíhá pomocí dvou rozhraní.
Prvním rozhraním je CSP (Cryptographic Service Provider), viz. 8. Rejstřík a základní pojmy,
které je používané programy Entrust/Entrust TruePass™, Entrust Entelligence™ Security
Provider. Druhým rozhraním je PKCS#11, viz. 8. Rejstřík a základní pojmy, používané balíčkem
Entrust Desktop Solutions™.
12.3 Možnosti manuální konfigurace
12.3.1 ethardware.ini
Tento soubor je vytvářen při instalaci balíčku CryptoPlus. Informace obsažené v tomto souboru
obsahují informace nutné pro integraci CryptoPlus v Entrust® softwarových produktech. Je
lokalizován v adresáři Windows (adresář do kterého byl systém nainstalován). V sekci
[CryptokiLibraries] jsou v závislosti na systému zapsány tyto položky:
Windows 9x:
CryptoPlusV2Library95=prop11.dll
Windows NT / 2000 / XP:
CryptoPlusV2LibraryNT=prop11.dll
Hodnota každé položky (prop11.dll) představuje název souboru knihovny obsahující
implementaci PKCS#11.
 MONET+, a.s., Zámecká 365, 763 14 Zlín-Štípa (2003)
CRYPTOPLUS  je registrovanou ochrannou známkou ve smyslu zákona 137/1995 Sb.
53

CryptoPlus Správce karty UŽIVATELSKÁ PŘÍRUČKA

Transkript

Podobné dokumenty

Terminál CKP-3

Návod na instalaci doplňku Adobe Flash Player pro prohlížeč

Ref list CZ 081231_LT_NOVE_REF_LISTY_

IT Servis

CKP_3GD-1

Instalace databázové podpory Firebird 2.5.2

Stáhnout úplnou uživatelskou příručku

Návod k obsluze

mini tarotové karty-visconti tarot - Arowana

My Service