Embed Size (px)
Citation preview
Charismathics Smart Security Interface™
V4.9.3
Manual
2
Conteúdo
1 Prefácio 5
2 Sobre este Manual 6
3 Instalação 7
3.1 Instalação no Ambiente Windows 7
3.1.1 Componentes instalados 8
3.1.2 Requerimentos de Instalação 8
3.1.3 Instalação Desacompanhada 9
3.2 Instalação no Ambiente Linux 9
3.2.1 Componentes Instalados 9
3.2.2 Configurando a biblioteca Charismathics PKCS#11 10
3.3 Cartões Inteligentes suportados 11
3.4 Leitores de Cartões testados 11
3.5 PIN de Entrada Seguro 12
4 Ferramenta de administração Charismathics Security Token configurator 13
4.1 Interface do Usuário 13
4.1.1 Menu Gerenciador 14
4.1.2 Considerações específicas para o Ambiente Linux 16
4.1.3 Menu Editar / Menu de Contexto 18
4.1.4 Menu Cartão 18
4.1.5 Menu Certificado 23
4.1.6 Menu Sobre 29
4.2 Modificando os PIN’s 32
4.2.1 PIN do Usuário Timeout – Versão Windows 32
4.2.2 PIN do Usuário Timeout - Versão Linux 33
4.3 Desbloqueando Cartões 33
4.3.1 Geração de uma Chave Secreta 34
4.3.2 Importando uma Chave Secreta 35
4.4 Gerando e Importando Certificados 35
4.4.1 Gerando Certificados com assinatura própria e Certificado requisitado 36
4.4.2 Importação de Certificados 38
4.5 Criando Perfis 38
4.6 Preparando um Cartão (Inicialização e Personalização) 40
4.6.1 Primeiro Passo: Criando um Perfil (Inicialização) 40
4.6.2 Segundo Passo: Criando Chaves e Certificados (Personalização) 40
4.7 Funções adicionais 41
4.7.1 Diretório “Certificados” 41
4.7.2 Diretório “Dados” 41
4.7.3 Função "Abrir Cartão" 42
4.7.4 Função "Apagar Tudo" e "Apagar Objeto" 43
4.7.5 Função Configure Container (recipiente) Padrão 44
4.7.6 Função “Trocando Label do Container” 45
4.7.7 Função "Mostrar Certificado" 45
4.7.8 Função "Exportar Certificado" 46
4.7.9 Função "Registrar Certificado" 47
4.7.10 Função "Verifique Chave Privada" 48
4.7.11 Função "Verificar Chave Secreta" 49
4.8 Menu Sobre 50
4.9 Menu Sair 51
5 Charismathics Extension Tool 52
6 CSP da Charismathics Smart Security Interface 53
3
6.1 Procedimentos Gerais 53
6.2 Smart Card Login para um Domínio Windows 2000 53
6.3 SSL- Autenticação com Smart Card no Internet Explorer 54
6.4 Outlook Express com Assinatura Eletrônica e Encriptação via Smart Card 54
6.5 Windows VPN-Login com Smart Card 54
7 PKCS#11 - Módulo da Charismathics Smart Security Interface 55
7.1 Metodologia Geral 55
7.2 Smart Card Login para o Novell eDirectory 55
7.3 SSL- Autenticação com Smart card no Netscape 55
7.4 Segurança de e-mail através de Cartões Inteligentes com o
Netscape’s Messenger 56
8 Referências 57
Apêndice A: Referência para Desenvolvedores 58
Funções de acordo com Padrão PKCS#11 58
Sinopse de funções específicas 59
C_Finalize 59
C_GetObjectSize 59
C_GetSlotList 59
C_GetTokenInfo 60
C_Initialize 60
C_InitToken 60
C_OpenSession 61
C_WaitForSlotEvent 61
Objetos 62
Mecanismos 65
Assinatura (RSA): 65
Verificação (RSA): 65
Encriptação (RSA): 65
Decriptação(RSA): 66
Digest (funções Hash SHA1, MD2, MD5): 66
Apendice B: Funções não padrão para o PKCS#11 DLL 67
Apendice C: Informação de LOG 69
Apêndice D: Arquivos de Conveniência 70
Apêndice E: Configurações do Registro 71
Apendice F: Atributos de Certificado (Uso da Chave) 72
Apendice G: Configurando o Firefox para utilizar a biblioteca Charismathics PKCS#11 73
4
1 Prefácio
Obrigado por comprar nosso midleware Charismathics Smart Security Interface (CSSI) Charismathics Smart Security Interface provê os módulos que você precisa para integrar diferentes smart cards, tokens USB e chips TPM dentro de suas aplicações. A funcionalidade de nosso midleware começa com funções para a administração do smart card, incluindo módulos que apóiam o sistema operacional para utilizar tokens. Esta versão suporta apenas o perfil PKCS#15. Charismathics Smart Security Interface é compreendido dos seguintes módulos:
A ferramenta de administração Charismathics Smart Security Interface Manager.
A ferramenta de usuário Charismathics Smart Security Interface Utility.
A ferramenta de registro para o registro automático dos certificados.
A CSSI Extension Tool para adicionar novas associações ATR/OS (CSSI Extension Tool).
O CSP, sigla em inglês para provedor de serviços criptográficos.
Módulo PKCS#11.
Com a ferramenta de usuário Charismathics Smart Security Interface Utility, você pode mudar seu PIN de usuário e pode registrar seu smart card ou USB Token. Você pode administrar suas chaves e certificados do smart card usando a ferramenta de Administração Charismathics Security Token configurator. Você pode gerar, importar ou exportar chaves e certificados. Além disso, você pode exibir informações sobre o conteúdo do smart card, trocar/desbloquear o PIN do smart card, e inclusive criar novos perfis. Charismathics Smart Security Interface-CSP permite a você expandir as aplicações e serviços dentro de um ambiente Microsoft e seu uso com um smart card. Charismathics Smart Security Interface-PKCS#11 permite a você usufruir de aplicações e serviços adicionais, que usam este padrão. Módulos PKCS#11 podem ser usados em ambientes Netscape e Novell (por exemplo). Charismathics Key Storage Proveider, implementação do Crypto Next Generation, com suporte para Windows Server 2008, Windows Vista e versões posteriores. Suporte aos algoritmos “Hashing” SHA256, SHA384 e SHA 512.
Especialmente, você pode expandir o uso das seguintes aplicações através da CSSI:
Login com smart cards para Windows Domains ou Novell eDirectory
SSL- Autenticação por smart card (Internet Explorer, Netscape, …)
E-mail seguros com cartões (PGP, Netscape Messenger, Outlook, Outlook Express,…)
VPN com smart cards (Microsoft, Cisco, …)
Este manual é importante para administradores de sistema e desenvolvedores de aplicativos, que desenvolvem suas próprias aplicações e acessam módulos da Charismathics Smart Security Interface, ex. PKCS#11. Informações adicionais serão encontradas nos apêndices deste manual.
5
2 Sobre este Manual
Se você adquiriu a Charismathics Smart Security Interface na edição de Administrador, você achará uma descrição da ferramenta de administração no capítulo Ferramenta de administração: Charismathics Security Token Configurator, explicando como administrar chaves e certificados, trocar PIN‟s, desbloquear, inicializar e personalizar smart cards. Além disso, você encontrará informações adicionais, relativas à Ferramenta de Registro, CSSI Extension Tool, CSP e PKSC#11, além de aplicações que talvez possam ser expandidas (atualizadas) por tokens. Desenvolvedores de aplicações podem encontrar informações adicionais em como acessar a biblioteca dos módulos como, por exemplo, no Apêndice Funções de acordo com Padrão PKCS#11, você encontra funções para acesso ao módulo PKCS#11 da Charismathics Smart Security Interface. Se a intenção for desenvolver uma aplicação proprietária, no Apêndice Atributos de Certificado – Uso Chave, por exemplo, você encontra uma descrição conscisa dos atributos do certificado, e informação sobre seu emprego fundamental. Contudo, uma explicação de como configurar ambientes Microsoft ou de outros fabricantes, excede o objetivo deste manual. Neste caso, consulte a documentação do fabricante correspondente. Nota: Para entender este manual você precisa de conhecimento básico em Tecnologia da Informação (TI) e correspondente segurança. Especialmente, você deve estar familiarizado com os seguintes termos: certificado, chave privada, pública, e secreta, assinatura digital, PKI, etc... Por favor, consulte o glossário IT
& Security na homepage de nossa empresa: http://www.charismathics.com se você quiser consolidar seu conhecimento.
6
3 Instalação
Antes que você instale a Charismathics Smart Security Interface, o leitor de cartões deve estar instalado de acordo com as diretrizes do seu fabricante, e deve estar completamente operacional. A instalação da Charismathics Smart Security Interface é executada a partir do CD de instalação.
3.1 Instalação no Ambiente Windows
O processo de instalação pode ser iniciado clicando duas vezes sobre “SETUP”, localizado no CD de
instalação, na pasta “..\CSTC_Versão Windows\ Charismathics SSI_4.9.2.msi”.
A instalação do CSSI4.9.2 é feita automaticamente no idioma português. O usuário pode alterar o caminho padrão de instalação se necessário. Uma vez iniciado o processo de instalação, o instalador apresenta o contrato de licença que, depois de aceito pelo usuário, continua a instalação de forma automática. O log completo da instalação é gerado no sistema na pasta %temp% com o nome chainstall.txt. O arquivo de log inclui mensagens para grupos de ações realizados durante a instalação. Também inclui mensagens indicando o sucesso ou o fracasso da instalação. Se qualquer problema for encontrado durante o processo de instalação, o instalador fornece imediatamente uma mensagem de erro em português. Este mesmo arquivo do LOG de instalação é gerado em formato txt no diretório “c:\ charismathics\Log_ddmmaa.txt”. Nota: Para informações mais detalhadas sobre as rotinas e ações realizadas durante a instalação verifique o arquivo de log da instalação.
3.1.1 Componentes instalados
A instalação do CSSI 4.8.1-Charismathics, instrumento configurador de token de segurança, instala os seguintes componentes:
Local padrão de instalação. Como padrão na pasta: “\arquivos de programa\charismathics\smart security interface\”.
o Secintmgr.exe: É a ferramenta de administração de cartão inteligente - Charismathics Security Token Configurator.
o CSSIExtension: É a ferramenta utilizada para adicionar um novo ATR no cartão, se necessário.
o CSPregtool.exe: Propaga automaticamente o certificado para a área de armazenamento de certificados. Não é necessária no ambiente Windows Vista e acima, uma vez que nestes casos, a propagação do certificado é realizada pelos serviços do próprio sistema.
o Manual do Usuário. o Pasta com strings de localização.
Pasta “System32” o O CSP, versão de 32 bits, é instalado no seguinte local: “\Windows\System32 cmCSP.dll”. o A biblioteca PKCS11, versão de 32 bits, é instalada no seguinte local:
“\Windows\System32\cmP11.dll”. o KSP – key storage provider - versão de 32 bits, é instalado no seguinte local:
“\Windows\System32 mcKSP.dll”.
As seguintes chaves de Registro são criadas durante a instalação: o Registro da pasta de instalação do CSSI:
[HKEY_LOCAL_MACHINE\SOFTWARE SOFTWARE\ charismathics\ smart security interface\ o Registro de entradas do CSP da Charismathics:
7
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Charismathics Smart Security Interface CSP
o Entradas do smart card (cartão inteligente): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\Smartcard\
3.1.2 Requerimentos de Instalação
Se não outro explicitamente requerido, siga os seguintes: Microsoft Windows NT 4.0 com Service Pack 6a Ou Windows 2000 com Service Pack 4 Ou Windows XP com Service Pack 2 Ou Windows Server 2003 Ou Ou
Windows Vista Windows 7
Nota: Durante a instalação, o módulo CSP é registrado automaticamente no Sistema Operacional Windows. Se houver uma versão de Netscape, Firefox or Thunderbird em seu computador, a Register Tool (ferramenta do registo) pode ajudar-lhe a ativar o suporte a PKCS#11 dentro destas aplicações. Consulte o Capítulo: Ferramenta de Registro para uma informação mais detalhada.
As seguintes aplicações são suportadas:
Smart card login para o Windows 2000 ou 2003-Domain: ADS, Enterprise CA, Windows 2000 ou 2003 Servidor e como Cliente: Windows 2000 Professional ou Windows XP Professional
Autenticação - SSL com smart card usando Internet Explorer: Microsoft Internet Explorer 5.0, 5.5 ou 6.0, High Encryption Pack, SSL V3 com Strong User Authen-tication
Outlook com assinatura digital e encriptação via smart card: Outlook Express 5.0, 5.5 ou 6.0 Windows Mail Outlook 2000, 2003
Lotus Notes com assinatura digital e encriptação via smart card: Lotus Notes 6.5 or higher
Windows VPN-Login com smart card Windows 2000 Server e como Client: Windows 2000 Professional ou Windows 2003 Server e como Client: Windows 2000 ou XP
Smart card login para Novell eDirectory Netware 5.1 SP3, eDirectory 8.6.1, Novell Client 4.83 SP1, NMAS EE 2.0 (com o Universal Smartcard Login Method incluso) com NICI 1.5.7 (Server e Client), NMAS 2.1 (com o Universal Smartcard Login Method incluso) com NICI 2.4.1 (Server e Client) ou acima em cada caso.
Smart card login to Lotus Notes Lotus Notes 6.5 ou acima
SSL- Authentication com smart card e Netscape Netscape Navigator 4.72 (High Encryption), 4.73, 4.76, 6.x
Email-Security via smart cards com Netscape Messenger Netscape Messenger 4.72 (High Encryption), 4.73, 4.76, 7.x Thunderbird 1.5 e acima
E-Mail-Security via suporte PGP (PKCS#11): PGP Personal Desktop 8.1 for Windows
8
Compatibilidade/Smart card administration da Baltimore-PKI (PKCS#11): Token Manager para Be-trusted Unicert V5.2 para Windows
Compatibilidade/Smart card administration da Entrust-PKI (PKCS#11): Security Manager Adminis-tration 7.0
Compatibilidade/Smart card administration da Ecos-PKI Appliance BB5000 (PKCS#11) Os produtos mencionados, não precisam de qualquer exigência de software cliente; por favor, observe no caso de outros produtos que não estão listados acima, os respectivos manuais correspondentes. HD ENCRYPTION / PREBOOT.: O middleware CSSI possui compatibilidade com os seguintes ambientes: Pointsec Safeboot Secude Utimaco PGP
3.1.3 Instalação Desacompanhada
Em vez de executar setup.exe, a instalação pode também ser iniciada na “modalidade desacompanhada”, chamando-se o correspondente arquivo “.msi” do diretório de instalação, conforme segue: msiexec /i “CSSI x.x - admin edition.msi” /qn
3.2 Instalação no Ambiente Linux
Linux Debian – Instalação automática, através de sistema próprio Para instalação no Ambiente Linux Debian, acesse a pasta no CD de instalação “..\Versão Linux\CSSI4.9.2_Linux_32-bit\CSSI4.9.2_CSTC\” e siga as etapas descritas a seguir: A instalação é feita automaticamente no idioma português. O usuário pode alterar o caminho padrão de instalação se necessário.
Copie o conteúdo da área de instalação no CD para um diretorio da máquina. Pode ser para o home do usuário. O manual do Sistema deve ser copiado juntamente com o arquivo de instalação compactado.
Entre em um terminal (alt f2 gnome-terminal). Acesse o diretório da máquina para o qual os arquivos foram copiados do CD.
Descompacte o arquivo com o comando “tar –zxvpf InstaladorCSSI4.9.2.tar.gz”.
Entre na pasta “InstaladorCSSI4.9.2” criada pelo passo anterior.
Como usuario root (comando su) executar o arquivo “InstalaCSTC.sh” (comando ./InstalaCSTC.sh).
Execute os passos pedidos pelas telas.
Reinicie o Ambiente Linux. Linux OpenSuse – Instalação em formato binário (.RPM) Para instalação no Ambiente Linux OpenSuse, copie o pacote “magiccontrol.tar.gz” do CD de instalação para um diretorio do Linux. Pode ser para o home do usuário. O manual do Sistema deve ser copiado juntamente com o arquivo de instalação compactado.
9
Antes de descompactar o arquivo de instalação, acesse o “Terminal do Gnome” no menu “Computador/Aplicativos” e efetue o comando “sudo su”, digitando a senha com previlégios para realizar a instalação.
Vá para o diretório onde o arquivo de instalação foi copiado e realize a descompactação através do comando: “tar –xzvf magiccontrol.tar.gz”.
Três arquivos serão descompactados. Executar o comando “rpm –ivh scManager-0.11-1.i386.rpm” para instalar o pacote.
Os fontes do pacote de instalação encontram-se no arquivo “scManager-0.11_source”.
O atalho de inicialização do programa está situado no menu “Computador\Aplicativos\mais aplicativos\Novos aplicativos\scManager”.
Pré-requisitos para instalação do scManager:
Instalação das bibliotecas (dependências) “libjpeg”, “libpcsclite1” e “libpng12” no menu “Computador/Sistema/Instale Remova Programas”. Digite o nome da biblioteca na caixa de procura e efetue a instalação.
Pacotes incluídos:
magiccontrol.tar.gz Drivers para a leitora Omnikey 3021
syncapi_lnx-1.5.0.tar.gz
ifdokccid_lnx-3.6.0.tar.gz
ctdeuti_lnx-5.1.0.tar.gz
Linux Ubuntu – Instalação em formato binário (.DEB) Para instalação no Ambiente Linux Ubuntu, copie o pacote “magiccontrol.tar.gz” do CD de instalação para um diretório do Linux. Pode ser para o home do usuário. O manual do Sistema deve ser copiado juntamente com o arquivo de instalação compactado.
Antes de descompactar o arquivo de instalação, acesse o “Terminal do Gnome” no menu “Computador/Aplicativos” e efetue o comando “sudo su”, digitando a senha com previlégios para realizar a instalação.
Vá para o diretório onde o arquivo de instalação foi copiado e realize a descompactação através do comando: “tar –xzvf magiccontrol.tar.gz”.
Três arquivos serão descompactados. Executar o comando “dpkg –i scManager-0.11-ubuntu10.10.deb” para instalar o pacote.
Os fontes do pacote de instalação encontram-se no arquivo “scManager-0.11_source”.
O atalho de inicialização do programa está situado no menu “Aplicativos\Acessórios\scManager”. Pré-requisitos para instalação do scManager:
Instalação da biblioteca “pcscd” em Aplicativos/Acessórios/Terminal, através do usuário “sudo su”, digitando o comando “apt-get install pcscd” para a instalação do pacote.
Pacotes incluídos:
10
magiccontrol.tar.gz Drivers para a leitora Omnikey 3021
syncapi_lnx-1.5.0.tar.gz
ifdokccid_lnx-3.6.0.tar.gz
ctdeuti_lnx-5.1.0.tar.gz
3.2.1 Componentes instalados
Linux O pacote de instalação CSSI4.9.2 para Linux contempla as seguintes pastas e componentes:
Pasta Application: Abaixo desta pasta estão as ferramentas de administração do cartão: scManager e
biblioteca PKCS11.
Pasta Debs: Esta pasta inclui os pacotes para libccid, pcsclite, PCSCd packages, libglib, libtiff e
wxWidgets. Qualquer pacote faltante no seu sistema pode ser instalado através dos pacotes desta
área.
Pasta Language: Inclui da localização da referência para o idioma Português / Brasil para o CSTC –
ferramenta de administração de cartões.
Componente “./InstalaCSTC.sh” : Corresponde ao script (comandos) para instalação do pacote CSSI.
Os components que fazem parte da aplicação CSSI4.9.2 para Linux são:
scManager:
Instalado na pasta /opt/CSTC.
A ferramenta Charismathics Security Token Configurator (scManager), é a ferramenta administrativa
utilizada para iniciar smart cards, gerenciar certificados e dados e gerenciar os PINs do cartão. Após
realizar a instalação, o pacote scManager aparecerá no Desktop como um atalho.
libcmP11.so:
Instalado na pasta /opt/CSTC /lib. É a biblioteca charismathics PKCS11.
scManager.mo:
Inclui a localização da referência para o idioma Português. Está instalado na pasta
/usr/local/share/locale/pt.
Após a instalar o Sistema, um LOG completo da instalação é criado na pasta “\\root\charismathics\
log_instalacaoddmmaa_hhmm.log”, contendo registro das atividade geradas durante o processo de
instalação, o sucesso ou falha em cada etapa da instalação e relatando informações relativas às causas da
impossibilidade de instalação do arquivo.
3.2.2 Configurando a biblioteca Charismathics PKCS#11
No CD de instalação, acesse a pasta “..\Versão Linux\CSSI4.9.2_Linux_32-bit\Install PKCS11-CSSI4.9.2_Linux_32bit\”, copie o módulo “libcmP11.so” para uma pasta de sua preferência. Você pode utilizar qualquer aplicação que permita especificar um modulo externo de segurança, para instalar o módulo PKCS#11. Exemplos de aplicação: Firefox,Thunderbird, etc. Especificamente, para instalar o módulo PKCS#11 no Firefox, acesse o “Apendice E: Configurando o Firefox para utilizar a biblioteca Charismathics PKCS#11” para obter maiores informações. Ainda, caso deseje criar um arquivo de LOG, especifique a variável de ambiente SCINTERFACE com o nome de arquivo e caminho desejado. Por exemplo: #export SCINTERFACE=/tmp/cmP11.log
11
ou adicione a linha "export SCINTERFACE=/tmp/cmP11.log" no arquivo de ambiente para configuração de variáveis /etc/profile
12
3.3 Cartões Inteligentes suportados
Charismathics Smart Security Interface suporta os seguintes smart cards/tokens: ABACOS 2.0 ACOS A-Trust Card ACOS edu.Card ACOS EMV A03 ActivIdentity Card Aladdin eToken Aladdin eToken Pro Axalto Cyberflex Access V2c CardOS M4.01 CardOS M4.01a CardOS V4.20 CardOS V4.2B CardOS V4.2C CardOS V4.30 CardOS V4.3B Cosmo V5.4 G&D Sm@rtCafe Express GemXpresso Pro R3.2 JCOP 20 JCOP 21 JCOP 30 JCOP 31 JCOP 41 jTOP JCX32 NetKey PKS/2000/E4 Oberthur CosmopolIC V5.2 plusID 60 token Sm@rtCafe 2.0, 2.1, 3.0 StarCOS 2.3/2.4/3.0/3.1 e TPM chips: Infineon TPM 1.1 & 1.2 Broadcom TPM 1.1 & 1.2
3.4 Leitores de Cartões testados
Por favor, observe se o seu leitor de cartão foi instalado de acordo com as especificações do fabricante e está operando completamente. Charismathics Smart Security Interface foi testado com os seguintes leitores de cartões: ACS38 USB charismathics plug’n’crypt Eutron cryptoidentity CCID Eutron Digipass 860 Fujtsu Siemens Computer
Smartcase KB SCR PRO Fujtsu Siemens Computer Smartcase KBPC CX
Fujtsu Siemens Computer Smartcase SCR USB
Fujtsu Siemens Computer Smartcase SCR USB internal
Fujtsu Siemens Computer Smartcase Token USB
KOBIL KAAN advanced Omnikey Cardman 1010 serial Omnikey Cardman 2011 serial Omnikey Cardman 2020 USB Omnikey Cardman 3021 USB Omnikey Cardman 3121 USB Omnikey Cardman 3620 USB Omnikey Cardman 3621/3821 Omnikey Cardmann CM4040
(PC-Card) ORGA Card Mouse USB SCM SCR 331 USB SCM SCR 3310 USB SCM SCR 3340 (Express-Card) SCM SCR 532 seriell/USB SCM SCR241 PCMCIA SCM SCR333 SCM SCR335 USB Adicionalmente, um grande número de leitores não mencionados explicitamente acima, mas construídos com base no hardware compatível, são suportados. Nota: Somente PC/SC drivers são suportador. Não há suporte para CT-API-drivers. Se a chave RSA 2048 for usada, então o leitor do smartcard deve suportar a APDU extendida.
13
3.5 PIN de Entrada Seguro
Alguns leitores de cartão vêm equipado com seu próprio PIN-pad. Este PIN-pad pode ser usado para SPE, se um dos seguintes dispositivos for usado: Cherry Keyboard G83-6644 Omnikey 3621 USB OmniKey 3821 USB
Certifique-se por favor, que seus “windows device drivers” estão atualizados, se você quiser usar PC/SC 2.0 com SPE. Para ativar SPE, edite o registro da seguinte forma:
[HKEY_LOCAL_MACHINE\SOFTWARE\charismathics\smart security interface]
Para ativar SPE, use: "USE_PINPAD"=hex:01
Para desativar SPE, use: "USE_PINPAD"=hex:00
Embora CSSI suporte os PIN‟s alfanuméricos em geral, SPE somente suporta dígitos. Por favor, tenha certeza de que os PIN‟s usados para o cartão, possam ser conectados usando-se SPE, se você pretender utilizá-lo.
14
4 Ferramenta de administração Charismathics Security Token Configurator
Esta ferramenta da versão/edição administrador oferece as seguintes funções: mudança de Pin‟s, desbloqueio de smart cards, geração de perfis, chaves e certificados, e assim por diante.
4.1 Interface do Usuário
Depois de abrir a ferramenta de administração da Charismathics Security Token Configurator você verá a seguinte interface:
O painel esquerdo indica a lista dos leitores de cartão que estão conectados ao sistema. São exibidos, os leitores de cartão e os leitores virtuais de token USB, indicados na mesma janela. Uma vez que um token foi inserido, a hierarquia é extendida. Selecionar um item na hierarquia exposta indica suas propriedades no painel direito. As propriedades são indicadas de forma tabular com parâmetros e seu valor associado.
15
4.1.1 Menu Gerenciador
Função “Abrir Cartão”: Para ver o conteúdo de um token/smart card, selecione o leitor que contém o smart card ou o Token USB na hierarquia e selecione “Abrir Cartão” do menu “Gerenciador”. Click sobre o (ícone +) na frente do leitor, para expandir a hierarquia, o que servirá a mesma finalidade. No início, somente a informação pública está disponível, por exemplo: Label do Cartão, o perfil e a memória livre. Função “Criar Perfil de Cartão”: Esta opção exclui o perfil atual (se presente), e cría um novo perfil no smart card ou no Token USB. Esta característica é descrita em detalhes no ítem “Preparando um Cartão”. As seguintes regras devem ser observadas no preenchimento dos campos:
Perfil: Apenas o perfil PKCS#15 está habilitado nesta versão.
PUK, Confirme PUK, PIN do Usuário, Confirme PIN do Usuário o Comprimento mínimo de 6 e máximo de 16 carcteres. o Conter no mínimo 1 caracter alfabético maiúsculo (A..Z). o Conter no mínimo 1 caracter alfabético minúsculo (a..z). o Conter no mínimo 1 caracter numérico (0..9). o Permitir a utilização de caracteres especiais.
Número Serial: Preenchido automaticamente pelo sistema nesta versão.
Nome do Usuário: Não possui restrições.
16
17
4.1.2 Considerações específicas para o Ambiente Linux
Após realizar o login no smart card através do menu “Cartão – Login”, para habilitar o as opções do
sub-menu, clique na pasta Certificados, conforme apresentado abaixo. Todas as opções de menu serão
habilitadas.
Se o cartão não estiver inicializado ou se não possuir nenhum perfil carregado, no Linux, a tela
aparecerá, conforme apresentado abaixo, se você clicar em “Abrir Cartão”.
18
Para inicializar um cartão vazio, não clique em “Abrir Cartão”, clique em “Criar Perfil de Cartão”, conforme apresentado abaixo:
Esta opção esta disponível apenas cartões não inicializados e cartões com o PUK bloqueado.
19
4.1.3 Menu Editar / Menu de Contexto
O índice e a disponibilidade do menu "Editar" muda de acordo com o item selecionado no painel principal da tela. A maioria das funções do menu "Editar" são também acessíveis através do (clicando-se com o) botão direito do mouse sobre o item apresentado na hierarquia (tela). Veja também o ítem 4.9 Funções Adicionais.
4.1.4 Menu Cartão
Para que o menu "Cartão" contenha todas as entradas (opções) ativas, o Cartão deve ter sido aberto
anteriormente. Por exemplo, usando o menu Gerenciador "Abrir Cartão". Função Login: Antes de iniciar as operações com o Cartão, o usuário é requerido para realizar o login no dispositivo. O Login requer o pin do usuário. Uma vez “logado”, esta opção é desabilitada e as informações adicionais / demais opções tornam-se disponíveis dentro do painel da hierarquia e da vista das propriedades. Falhando-se em fornecer o PIN do usuário correto cinco vezes sequencialmente, o cartão/token é travado/bloqueado. Para desbloqueio do PIN do Usuário, acesse “Para destravar/desbloquear o PIN do usuário”.
20
Após acessar o dispositivo com sucesso, os certificados podem ser registados no cartão através do Ambiente Operacional. Para cada certificado que não é registrado com o Ambiente Operacional, mas é armazenado no Cartão, o usuário será indagado se o certificado deve ser registrado. Função Logout: Esta opção funciona de forma contrária à opção “Login”, bloqueando o acesso as funções restritas do Cartão/Token USB.
Função Trocando o PIN de Usuário:
21
Função Trocando o PUK :
Na primeira troca do PUK, o sistema, por segurança, solicita uma nova digitação do PIN do Usuário, conforme apresentado na tela a seguir:
22
Função Desbloquear PIN do Usuário:
23
Estas funções funcionam de forma muito similar. Estas funções estão sempre disponíveis e todas requerem um PIN de autorização para fazer uma mudança. O valor mudado tem que ser “entrado/prenchido” 02 (duas) vezes para evitar erros. Todos os valores são mascarados com asteriscos para fornecer privacidade.
24
4.1.5 Menu Certificado
A maioria das opções do menu certificado são também acessíveis através do menu de contexto (botão direito do mouse), para qualquer certificado, chave pública ou privada, apresentados no painel.
Função Importar Certificado: Após ter selecionado este item, escolha o certificado para importar. Se o certificado puder ser associado com um par de chaves privada/publica, o mesmo será introduzido automaticamente no recipiente (container) correto. Se não, o certificado é adicionado em "Certificados" na hierarquia. Não há nenhuma maneira de associar manualmente um certificado com um par de chaves não relacionado a ele.
25
Função Apresentar Certificado: Mostra toda a informação contida dentro do certificado. Selecione um nome de campo na área superior do visor para mostrar o seu valor na área inferior do visor.
Função Exportar Certificado: Exporta o certificado no formato BASE64 ou DER para um arquivo a escolha do usuário. A associação com o par de chaves é recuperada, caso o certificado seja importado outra vez, através do menu “Importar Certificado”.
26
Função Registar Certificado: Esta opção regista o certificado no Windows (função não utilzada no ambiente Linux), caso ainda não tenha sido realizado. A seguinte mensagem é apresentada após o registro do Certificado:
Caso o Certificado já esteja registrado no Ambiente Operacional, a seguinte mensagem é apresentada (você pode definir se deseja manter ou substituir o registro atual):
27
Função Criar Certificado Requisitar: A fim de receber um certificado para um par de chaves publica/ privada, é possível preparar um pedido de certificado. Este pedido é armazenado em um arquivo BASE53 ou DER encriptado. Veja o item e 4.5 "Gerando e Importando certificados" para uma descrição do processo.
Função Criar certificado (self signed) com assinatura própria: O processo de pedido é similar ao “Criar Certificado Requisitar”. Porém o pedido não é armazenado em um arquivo a ser processado por uma Autoridade Certificadora, mas apenas em um arquivo certificado padrão.
28
Uma vez iniciado o processo, o sistema solicita informações a respeito de qual será o uso das Chaves no Certificado.
E a seguir, qual o período em que o Certificado será válido. Após obter estas informações, o Certificado é gerado.
29
30
4.1.6 Menu Sobre
Função Sobre: Indica a informação geral da versão do CSSI edição administrador.
Função OS Suportado: Indica a lista dos sistemas operacionais de smart cards suportados pelo CSSI. Esta lista inclui somente as associações predefinidas.
31
Função PKCS#11 Informação: Informação sobre o módulo PKCS#11, que é parte do CSSI.
Função CSP Informação: Informação sobre o CSP.
32
Função Manual: Este manual.
4.2 Modificando os PIN’s
Há 2 PIN‟s em um smart card: o PIN do Usuário e o PUK. Não são todos os cartões e tokens que suportam a mudança de todos os PIN‟s. O CSSI suporta PIN‟s alfanuméricos e não é restringido aos dígitos numéricos no geral. Há diferentes funções para utilizar com estes 2 PIN‟s: O PIN do Usuário deve ser fornecido, se a pessoa quer escrever no cartão (ex. Gerar Chaves, armazenar um certificado), apagar objetos ou quando as funções criptográficas (ex. encriptar ou desencriptar) são usadas. Consulte à tabela abaixo sobre o PIN do Usuário / Comprimento do PIN do Usuário. Importante: Após 5 (cinco) entradas erradas o PIN do Usuário, será bloqueado. Um PIN do Usuário bloqueado pode ser desbloqueado pelo PUK. O PUK será usado somente para desbloquear o PIN do Usuário. Não há nenhuma função do tipo Criar ou Deletar associada ao PUK. Importante: Após 3 (três) entradas erradas do PUK(SO PIN), o mesmo será bloqueado.
4.2.1 PIN do Usuário Timeout – Versão Windows
O tempo em que as chaves do cartão permanecem ativas pode ser alterado através do menu “PIN do Usuário Timeout (intervalo de expiração)”, conforme apresentado abaixo: Primeiramente o sistema apresenta o intervalo de expiração (timeout) vigente:
33
Se você optar por selecionar um novo intervalo, o sistema apresentará a seguinte tela, onde você poderá selecionar entre um tempo mínimo para realizar uma operação (5 minutos) e o tempo máximo de ativação das chaves (30 minutos).
4.2.2 PIN do Usuário Timeout - Versão Linux
O tempo em que as chaves do cartão permanecem ativas pode ser alterado através de modificação na variável de ambiente USER_PIN_TIMEOUT_SECONDS, que se encontra no arquivo uder/etc/environment.
34
O máximo valor aceito para o timeout é de 1800 segundos. Você pode alterar este valor, alterando o valor da variável USER_PIN_TIMEOUT_SECONDS. Após modificar o valor, o Ambiente Linux necessita ser reiniciado para que a mudança seja efetivada.
4.3 Desbloqueando Cartões
Como medida de segurança, um smart card é bloqueado, se um usuário digitar 5 (cinco) vezes consecutivas o PIN de Usuário errado. Isto provê segurança, porque uma pessoa sem autorização pode conferir todos os possíveis PINs por tentativa e erro, se você perdesse seu smart card ou se o mesmo fosse roubado. Mas poderia acontecer, que você como dono legítimo do smart card entrou 5 (cinco) vezes o PIN do Usuário errado. Neste caso o smart card será bloqueado também. Consequentemente, você pode desbloquear o cartão com a Charismathics Smart Security Interface, se você souber o PUK. Você precisa do PUK para desbloquear um PIN de usuário. Você acha a função “Liberar PIN de usuário” no Menu "Cartão", como apresentado na figura seguinte:
4.3.1 Geração de uma Chave Secreta
Para gerar uma chave secreta de encriptação, acesse, o menu “Editar - Chaves Secretas - Criar Chave Secreta" ou acesse através do menu de contexto, conforme apresentado na figura abaixo:
35
Aqui, você pode gerar chaves Triple-DES e chaves DES. Observação: Algoritmos com no mínimo 128 bits (Triple-DES) são recomendados. De acordo com os padrões de comprimento de chaves atuais. Chaves de comprimento menor não são seguras.
4.3.2 Importando uma Chave Secreta
Se você possuir uma chave secreta que você quer utilizar, você pode importar a mesma, utilizando-se do menu "Editar", através do item "Armazenar Chave Secreta”. A Chave Secreta deve ser especificada no formato hexadecimal correto: 192 ou 128 bits para Triple-DES, e 64 bits para DES. Observe que um único dígito haxa-decimal cobre 4 bits. A chave é importada inserindo-se os bits no campo "Chave Secreta (hexadecimal)”, conforme apresentado na figura abaixo:
36
4.4 Gerando e Importando Certificados
Para usar o smart card para assinaturas digitais ou encriptação, você precisa de um par de chaves que inclua uma chave privada e uma chave pública. A chave pública deverá ser acessível para comunicação entre parceiros/contatos profissionais (por exemplo) através de um certificado. Estes certificados podem ser gerados e administrados pela ferramenta de administração. Em princípio, há várias possibilidades:
1. Você pode assinar o certificado que corresponde a uma chave pública por você mesmo, ou fazer um certificado requisitado, de forma que uma Autoridade Certificadora irá autenticar a chave pública.
2. Você atualmente tem uma chave e/ou um certificado, então, você pode importar os certificados, se
necessário junto com a chave correspondente.
4.4.1 Gerando Certificados com assinatura própria e Certificado requisitado
Você pode gerar o certificado que pertence a uma chave pública assinando por sí mesmo ou fazer um certificado requisitado, de forma que uma Autoridade Certificadora irá autenticar a chave pública. Para este fim, você deve selecionar a chave privada, e escolher a opção “Criar Certificado Requisitar” ou “Criar Certificado (self signed) com Assinatura Própria”, do menu "Certificado”, conforme apresentado abaixo:
Função “Criar Certificado Requisitar”:
37
Função “Criar Certificado (self signed) com Assinatura Própria”
Para gerar um Pedido de Certificado (Autoridade Certificadora) será requisitado que você entre com os dados nos campos correspondentes. No caso de um Pedido de Certificado, você deve criar um arquivo a ser enviado para a AC (Autoridade Certificadora), que deverá assinar o certificado. Então, você armazenará o pedido como um arquivo .P10 em um diretório, e deverá seguir as instruções da Autoridade correspondente para obter o pretendido certificado assinado. Uma vez que o certificado for retornado do “emissor”, você tem que importar o certificado, escolhendo a opção "Importar Certificado”. Nota: Há uma explanação dos atributos de certificado e como empregar as chaves no Apêndice deste manual.
38
39
4.4.2 Importação de Certificados
Caso você possua seu(s) próprio(s) certificado(s), que você tenciona empregar, você pode importá-los através do menu "Certificado" através do item "Importar Certificado". Certificados, que pertencem há par de chaves, são diretamente atribuídos para o "Container" associado depois da importação. Certificados sem chaves – como, por exemplo, certificados de AC, são atribuídos para a pasta “Certificados”.
4.5 Criando Perfis
Se você quiser usar um smart card, deve haver um perfil neste smart card. Em um primeiro passo, você deve configurar o perfil neste smart card. Click sobre o menu “Gerenciador - Criar Perfil de Cartão" para criar o perfil. Esta versão permite apenas a criação de um novo perfil para cartões não inicializados ou cartões que possuam o PUK bloqueado.
40
41
4.6 Preparando um Cartão (Inicialização e Personalização)
Para que um usuário possa empregar o seu smart card, o cartão deve estar preparado, ex. o smart card deve ser inicializado e deve ser personalizado. Em um primeiro passo você tem que criar um perfil no smart card e em segundo passo, criar/configurar chaves e certificados no smart card.
4.6.1 Primeiro Passo: Criando um Perfil (Inicialização)
Como um primeiro passo, você deve criar/configurar um perfil em um smart card vazio. Você deve proceder como descrito na seção “Criando Perfis”.
4.6.2 Segundo Passo: Criando Chaves e Certificados (Personalização)
Como um segundo passo, você deve criar uma chave de usuário e um certificado no smart card. Você tem a possibilidade para gerar chaves e certificados ou importá-los. Para este propósito, você tem uma descrição na seção “Gerando e Importando Chaves" e na Geração na seção “Gerando e Importando Certificados".
42
4.7 Funções adicionais
4.7.1 Diretório “Certificados”
O Diretório "Certificados" apresenta todos os certificados que não correspondem diretamente a um determinado par de chaves. Estes são os certificados intermediários que têm que ser importados para dentro deste diretório. Para esta finalidade, selecione a opção "Importar Certificado", no menu "Certificado", ou escolha o menu contexto, usando o botão direito do mouse.
Um smart card é o ambiente mais seguro para a chave privada. Além disso, o smart card é necessario para aplicações com pelo menos logins ou autenticações diárias. Assim, o cartão deve estar com você ou frequentemente (sempre) ao redor. Assim, faz sentido armazenar dados sensíveis ou necessários nesta mídia, ex. Um arquivo de texto com seus PINS. Para criar dados selecione o item “Criar Dados” dentro do menu “Editar”, então, uma janela adicional será mostrada para você, onde você pode criar seus dados.
4.7.2 “Diretório Dados”
43
Você somente terá a possibilidade para acessar os dados atuais, se o devido login for efetuado no smart card. Os dados existentes podem ser apagados, atualizados ou exportados através do Menu “Editar”.
4.7.3 Função "Abrir Cartão"
A função "Abrir Cartão" do menu "Gerenciador", transfere dados do smart card para a interface do usuário. Isto é recomendado, se você trabalha com smart cards ou leitores de cartão diferentes.
44
4.7.4 Função "Apagar Tudo" e "Apagar Objeto"
Você pode apagar todos os objetos, como chaves e certificados, com a função "Apagar tudo" do menu "Editar”. A função "Apagar Objeto" lhe dá a possibilidade para remover objetos, chaves e certificados.
Você também obtém esta segunda função no menu de contexto (botão direito do mouse) selecionando o objeto que você deseja apagar. Para tanto, click com o botão direito do mouse e selecione o item "Apagar Objeto". Abaixo, processo utilizado para apagar um Container.
45
4.7.5 Função Configure Container (recipiente) Padrão
A função "Definir Container Padrão" do menu "Editar” é relevante para você, somente se você usa um smart card para login em um domínio Windows-2000 via CSP. Se você não escolheu um container como padrão, o Windows irá assumir a primeira chave da lista para o login em um domínio Windows-2000 via CSP. Se você escolheu um container como padrão, ele será mostrado em negrito na área interface da ferramenta de administração, conforme figura abaixo:
4.7.6 Função "Trocando Label do Container”
Através do menu “Editar - Troque a etiqueta do Container”, você pode renomear a etiqueta do Container, conforme apresentado na figura abaixo:
46
4.7.7 Função "Mostrar Certificado"
Se você quiser exibir um certificado, use a função "Apresentar Certificado" do menu "Certificado". Você obtêm esta função sobre o menu de contexto também: selecionando o certificado que você quer mostrar, click com o botão direito do mouse e escolha o item "Apresentar Certificado". Então você obtém a informação contida no certificado:
4.7.8 Função "Exportar Certificado"
Se você quiser empregar um certificado para outras aplicações, você pode exportá-lo do smart card com a função "Exportar Certificado" do menu "Certificado". Você também pode obter esta função através do
47
menu de contexto: selecione o certificado que você deseja exportar, click com o botão direito do mouse e selecione o item "Exportar Certificado”.
4.7.9 Função "Registrar Certificado"
A função "Registrar Certificado" do menu "Certificado" instala o certificado, que você quer registrar para disponibilizá-lo para aplicações Windows (como Internet Explorer ou Outlook Express). Você também pode obter esta função sobre o menu de contexto: selecionando o certificado, que você quer registrar, e com o botão direito do mouse, selecione o item "Registrar Certificado". Adicionalmente, você pode efetuar as configurações que devem ser aplicadas no registro do certificado usando a Ferramenta de Registro. Leia o Capitulo – Ferramenta de Registro.
48
4.7.10 Função "Verifique Chave Privada"
Com esta função, você pode testar chaves geradas, ex. para assinar e descriptografar. Primeiro você deve estar logado, então, selecione a chave privada que você quer testar e escolha a função “Verifique Chave Privada” do menu “Editar”. Para testar a chave de desencriptação, digite um texto (qualquer) no campo “Texto pleno” e click no botão “Inicio”. Se o texto desencriptado é o mesmo que o escrito no campo “Texto pleno”, a chave de desencriptação está trabalhando corretamente.
49
Para testar a chave de assinatura, você pode escolher o algoritmo hash. Se o resultado é verdadeiro, a chave de assinatura trabalha corretamente.
4.7.11 Função "Verificar Chave Secreta"
Com esta função, você pode testar as chaves geradas para encriptação. Primeiro você deve estar logado, então, selecione a chave privada que você quer testar e escolha a função “Verifique Chave Secreta” do menu “Editar”. Você pode escolher o modo de criptografia a ser utilizado para testar a chave. As diferentes versões são o Cipher Block Chaining (CBC) e o Electronic CodeBook (ECB). E você pode escolher ISO ou PKCS5 como base (Padding). Para testar a chave de encriptação, digite um texto (qualquer) no campo “Texto pleno” e click no botão “Inicio”. Se você sabe o vetor hexadecimal, você pode inserí-lo, senão o mesmo será preenchido com zeros (padrão). Se o texto desencriptado é o mesmo que o escrito no campo “Texto pleno”, a chave de encriptação está trabalhando corretamente.
50
4.8 Menu Sobre
Para informação sobre a versão da Ferramenta de Registro e do fabricante deste middleware charismathics gmbh, selecione a opção "Sobre (About)" no pop-up menu:
51
4.9 Menu Sair
Com “Sair“ no pop-up menu você pode terminar a execução da Ferramenta de Registro.
52
5 Charismathics Extension Tool
A Charismathics Extension Tool (Ferramenta de extensão Charismathics) pode ser usada para associar o sistema operacional do cartão com novas ATR‟s, sem uma associação válida. A operação correta do smart card, não pode ser garantida.
Siga estas etapas para fazer uma nova associação ATR / OS (SO) do cartão: Introduza o smart card no leitor
1. A ATR do cartão é indicada no campo superior
a. Se um OS está associado com a ATR, o campo OS é bloqueado, e não pode ser mudado enquanto o smart card estiver no leitor.
b. Se nenhum OS está associado com o ATR, selecione o OS correto, ou... tão perto quanto possível.
2. Clique no botão SALVAR para armazenar a informação
Se o sistema operacional atual no cartão for desconhecido ou não disponível, selecione um que combine o OS mais proximo. Por exemplo, selecione a entrada genérica do SO "JCOP", se o número de versão exato de JCOP xx não for conhecido.
53
6 CSP da Charismathics Smart Security Interface
O sistema operacional Windows suporta funcionalidades criptográficas como encriptar e assinatura digital pelo denominado Crypto-API. Além disso, CSP‟s (Provedores de Serviço Criptográficos) habilitam programas para suportar smart cards. Durante a instalação da Charismathics Smart Security Interface à Charismathics Smart Security Interface - CSP – (abrev. cmCSP) – será adicionada. A cmCSP ativa certos programas e funcionalidades presentes no Sistema Operacional Windows, como Outlook Express, Internet Explorer, Network Login e VPN-login para usar Smart Cards, USB Tokens e TPM‟s. Eles serão explicados à seguir. Nota: Aqui, você não achará uma descrição de como configurar seu ambiente Microsoft para o uso de smart cards ou Tokens USB. Por favor, consulte os Arquivos de Ajuda para Outlook Express e o Internet Explorer. Para configurar o Network Login e o VPN-login para smart cards, consulte a documentação do Windows 2000 Server. Se você precisar de ajuda para implementação ou realização de trabalhos com nossa tecnologia, o time da charismathics pode ajudá-lo. Sinta-se livre para contactar a Charismathics.
6.1 Procedimentos Gerais
Se você quiser usar um produto Microsoft em conexão com CSP pela primeira vez, em um certo computador, você deve registrar o certificado que você quer usar. Por favor, leia o Capitulo “Ferramente de Registro” ou a função “Registrar Certificado” se você deseja saber mais como registrar seu próprio certificado. O smart card deve conter chaves e certificados. Há várias diferentes possibilidades para obtê-los.
Geração de Par de Chaves e certificado correspondente, diretamente no smart card com as funções para os browsers padrão, como Internet Explorer ou Netscape. Além disto, o Cartão é acessado através dos módulos da Charismathics Smart Security Interface, ex. correspondentemente em cmCSP ou cmP11.
Importar as Chaves e Certificados existentes, diretamente no smart card, que foram gerados por outras Autoridades Certificadoras ou Centros de Confiança.
Geração do Par de Chaves e correspondente Certificado auto-assinado, diretamente no smart card, pela Ferramenta Administradora Charismathics Security Token Configurator. Por favor, observe que o emprego de certificados auto-assinados faz sentido somente em ambientes sem PKI ou para testes.
Nota: Se você pedir um certificado de um Centro de Confiança, é possível que lhe seja requisitado a escolher um módulo (dispositivo) de segurança, ex. Token. Neste caso, escolha o Perfil Corporativo, cmCSP ou cmP11. Além disso, seu smart card deve ser inserido no leitor de cartão, de forma que certificados possam ser escritos (armazenados) no smart card. Os programas devem ser configurados, de forma que eles possam trabalhar com suas chaves e certificados. Alguns programas requisitam Certificados Raíz, para serem instalados em determinados diretórios, outros requisitam o registro do certificado. Nos capítulos seguintes, somente as características especiais da aplicação correspondente serão explicadas.
6.2 Smart Card Login para um Domínio Windows 2000
A seguir, um breve esboço das etapas envolvidas na configuração do login do smart card ou token USB.
54
Configuração de ADS. Por favor, observe a configuração correta do servidor-DNS.
Instalação do Enterprise CA e pelo menos as templates "Enrollment Agent", "Smartcard Logon" e Smartcard User".
Então, um Enrollment-Agent-Certificate deve ser gerado e registrado no computador, onde os smart cards devem ser personalizados.
Depois disto, os smart cards para usuários talvez sejam emitidos através da Enrollment Station.
6.3 SSL- Autenticação com Smart Card no Internet Explorer
Para usar o(s) certificado(s) armazenado(s) no Cartão para conexões SSL, o certificado deve ter sido registado com a Windows Certificate Store. Isto pode ser feito através da Ferramenta Administradora Charismathics Security Token Configurator. Para maiores detalhes, acesse o Capitulo “Ferramenta de Registro” ou a função "Registrar Certificado".
6.4 Outlook Express com Assinatura Eletrônica e Encriptação via Smart Card
Assinar e Encriptar eletrônicamente, requer o certificado para ser registrado da mesma forma como para conexões SSL. Uma vez que isto é feito, o certificado desejado para assinar e encriptar pode ser escolhido através de "Ferramentas Clientes email Preferências - Segurança" ou "Tools Accounts E-Mail Preferences Security". Normalmente, encontram-se pull down menus nas janelas de email do windows, que você talvez possa fazer uso para “click encription” (clicar & encriptar) e/ou “signing an email” (Assinar digitalmente o email) para uso das “security functionalities” (funcionalidades de segurança). A verificação de e-mails recebidos, assinados digitalmente, usam por instância o símbolo vermeho (“sinete" vermelho) no canto direito da janela do email. Para que o Outlook Express reconheça automaticamente a chave correta, respectivos certificados, os certificados devem ser colocados no livro de endereço, ex. O(s) certificado(s) deve(m) ser importado(s) para dentro das "Digital IDs" (Identidades Digitais): ex. Selecione o nome dentro do livro de endereços e escolha a tab (aba) "Digital IDs" (Identidades Digitais) no menu de contexto. Nesta tab (aba) você pode importar o certificado para este contato.
6.5 Windows VPN-Login com Smart Card
Você deve gerar chaves e certificados com Microsoft Enterprise-CA. Além disso, você deve registrar o certificado com a Ferramenta de Administração da Charismathics Smart Security Interface. Para mais informações, acesse o Capitulo “Ferramenta de Registro” ou a função "Registrar Certificado".
55
7 PKCS#11 - Módulo da Charismathics Smart Security Interface
O uso de software que suportam PKCS#11, é ativado pela Ferramenta Administradora Charismathics Security Token Configurator PKCS#11 (abreviado cmP11). A questão de aplicações e funcionalidades com tokens, como Network Login, SSL, email security (email com segurança) no Netscape e outros produtos, são explicados brevemente. Nota: Aqui não há nenhuma descrição de como configurar cada ambiente para para utilizar o cmP11. Se sua aplicação não é “coberta” aqui, por favor, consulte a documentação que vem com a aplicação. Importante: cmP11 é uma DLL com o nome "cmP11.dll e é instalada no diretório de sistema, usualmente este é C:\Windows\system32. Observação: Apesar de medidas rígidas para a qualidade de módulos de PKCS#11 por diferentes fabricantes, charismathics gmbh não pode garantir a compatibilidade de cada Módulo de PKCS#11 com cada fabricante estrangeiro.
7.1 Metodologia Geral
A seguir, algumas notas gerais para o uso de cmP11. Pré-condição geral, é a instalação de cmP11. Isto será instalado automaticamente pela Charismathics Smart Security Interface. Há várias possibilidades diferentes para obter certificados, que são descritos na seção “Procedimentos
Gerais”. Alternativamente, é possivel instalar o módulo manualmente, com a ajuda do arquivo
"registerPKCS11.html" e desinstalar com a ajuda do arquivo "unregisterPKCS11.html".
Ambos arquivos estão localizados no diretório da instalação do CSSI. O diretório (default) é:
c:\programm files\charismathics\smart security interface xx\
Nos seguintes capítulos, somente as características especiais da respectiva aplicação, serão explicadas.
7.2 Smart Card Login para o Novell eDirectory
Aqui você deve ter um conhecimento muito bom na administração de servidores Novell. Para realizar um login em um smart card ou token USB para um eDirectory, você explicitamente precisa do produto NMAS e o correspondente Universal Smartcard Login Method.
7.3 SSL- Autenticação com Smart card no Netscape
As notas para a configuração do Netscape, são apresentadas pelo exemplo de versão 7. Exemplo: Netscape 7.01
56
Você pode chamar "Gerenciar Dispositivos de Segurança” no Netscape 7.01 através do menu "Edit""Preferences""Privacy & Security""Certificates". A partir daqui, você pode carregar o cmP11, de forma que aplicações com SSL e e-mails poderão ser usadas com smart cards/tokens: Além disso, você pode chamar o Gerenciador de Certificados do Netscape na mesma aba, clicando "Manage Certificates...".
7.4 Segurança de e-mail através de Cartões Inteligentes com o Netscape’s Messenger
As notas para o uso do Netscape para gerenciar certificados e módulos estão disponíveis no exemplo da versão 7 na seção prévia. Normalmente, há pull-down menus, nas janelas de e-mail, onde você pode marcar se um e-mail deve ser encriptado e/ou assinado. Funções para verificação de e-mails assinados recebidos, e desencriptação, estão disponíveis também.
57
8 Referências
[PKCS#5] http://www.rsasecurity.com/rsalabs/pkcs/index.html [PKCS#11] http://www.rsasecurity.com/rsalabs/pkcs/index.html [MS_CA] Como fazer para: Configurar uma Certificate Authority (Autoridade Certificadora) para emitir
Smart Card Certificates no Windows 2000: http://support.microsoft.com/default.aspx?scid=kb;en-us;Q313274&sd=tech
Diretrizes por Habilitar Smart Card Logon com Third-Party Certification Authorities (Autoridade
Certificadora Externa): http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281245 [MS_SC] Windows 2000 Server Documentação, Smart card Administração:
http://www.microsoft.com/windows2000/en/server/help/default.asp?url=/windows2000/en/server/help/sag_SC_admin.htm
58
Apêndice A: Referência para Desenvolvedores
Neste apêndice, há uma especificação detalhada relativa às funções suportadas do standard PKCS#11. uma sinopse de funções particulares, e uma lista de objetos e mecanismos. Estas informações são úteis e necessárias para programadores, que querem desenvolver suas próprias aplicações suportando o cmP11.
Funções de acordo com o Padrão PKCS#11 A seguir, há três listas de funções de acordo com o Padrão PKCS#11. As listas são : funções suportadas, funções incompletamente suportadas, e, funções não suportadas pela Charismathics Smart Security Interface:
Funções Suportadas Funções Suportadas de forma Incompleta
Funções não Suportadas
C_CancelFunction1 C_GetObjectSize C_CopyObject C_CloseAllSessions C_GetTokenInfo C_DecryptDigestUpdate C_CloseSession C_Initialize C_DecryptVerifyUpdate C_CreateObject C_OpenSession C_DeriveKey C_Decrypt C_SignRecover2 C_DigestEncryptUpdate C_DecryptFinal C_SignRecoverInit 3 C_DigestKey C_DecryptInit C_WaitForSlotEvent C_GetFunctionStatus C_DecryptUpdate C_GetOperationState C_DestroyObject C_SeedRandom C_Digest C_SetOperationState C_DigestFinal C_SignEncryptUpdate C_DigestInit C_DigestUpdate C_Encrypt C_EncryptFinal C_EncryptInit C_EncryptUpdate C_Finalize C_FindObjects C_FindObjectsFinal C_FindObjectsInit C_GenerateKey C_GenerateKeyPair C_GenerateRandom C_GetAttributeValue C_GetFunctionList C_GetInfo C_GetMechanismInfo C_GetMechanismList C_GetSessionInfo C_GetSlotInfo C_GetSlotList C_InitPIN C_InitToken C_Login C_Logout C_SetAttributeValue C_SetPIN C_Sign C_SignFinal C_SignInit C_SignUpdate
1 retorna CKR_FUNCTION_NOT_PARALLEL 2 use C_Sign
3 use C_SignInit
59
C_UnwrapKey C_Verify C_VerifyFinal C_VerifyInit C_VerifyRecover C_VerifyRecoverInit C_VerifyUpdate C_WrapKey
Sinopse das funções específicas C_Finalize Parâmetros: pReserved (CK_VOID_PTR) Descrição: Sessões serão fechadas. Slots serão fechados. Memória reservada sera liberada. Informação Adicional: pReserved será ignorado. C_Finalize será chamado automaticamente no final.
If C_Initialize é chamados n vezes em sucessão (sem C_Finalize entre), C_Finalize só sera realizada após a enésima vez.
C_GetObjectSize Parâmetros: hSession CK_SESSION_HANDLE hObject CK_OBJECT_HANDLE pulSize CK_ULONG_PTR Descrição: O tamanho de um objeto sera retornado. Informação Adicional: O tamanho retornado é o tamanho mínimo de um objeto, ou seja, não
contém o tamanho extra de atributos como etiqueta (label), ou Id. O tamanho dos objetos privados corresponde ao valor padrão (default).
C_GetSlotList Parâmetros: tokenPresent CK_BBOOL pSlotList CK_SLOT_ID_PTR pulCount CK_ULONG_PTR Descrição: Retorna a lista dos slots identificados.
Pode ocorrer que Slots instalados, mas não conectados sejam apresentados na lista. O número de Slots pode ser obtido passando um ponteiro nulo (Null-Pointer) em pSlotList. Se você deseja apenas os Slots com um cartão inserido defina tokenPresent como Verdadeiro.
C_GetTokenInfo Parâmetros: slotID CK_SLOT_ID pInfo CK_TOKEN_INFO_PTR Descrição: Retorna se um cartão está inserido em um Slot. Se o cartão não está
inserido, CKR_TOKEN_REMOVED sera retornado. Característica Especial: Inserir ou remover um cartão de um Slot é um Evento (see
C_WaitForSlotEvent). Se C_GetTokenInfo for chamado, o Evento será finalizado, mesmo que o cartão foi removido e C_GetTokenInfo CKR_TOKEN_NOT_PRESENT retornado.
C_Initialize Parâmetros: CinitArg CK_VOID_PTR_PTR Descrição: Biblioteca será iniciada.
60
Slots serão criados. Cartões inseridos ficarão prontos para uso. Informação Adicional: CinitArg é esperado no formato CK_C_INITIALIZE_ARGS. A partir disto, as
flags são escolhidas, em particular CKF_LIBRARY_CANT_CREATE_OS_THREADS que decide sobre Multi threading. O restante é ignorado. Se C_Initialize é chamado várias vezes, CKR_CRYPTOKI_ALREADY_INITIALIZED é retornado. O número é levado em conta (veja C_Finalize).
C_InitToken Parâmetros: slotID CK_SLOT_ID pPin CK_UTF8CHAR_PTR ulPinLen CK_ULONG pLabel CK_UTF8CHAR_PTR Descrição: Token sera inicializado. SO pin é dada pelo parâmetro pPin, O pin do
usuário será restabelecido para o default 11111111. O tamanho máximo do SO pin é 16 digitos.
Característica Especial: Em caso de inicialização (o token está vazio): o pin do cartão será
estabelecido para o mesmo valor do SO pin. Após a inicialização do token, o pin do cartão não poderá ser alterado pelo PKCS#11, mas o SO pin poderá ser alterado através da função C_SetPIN.
Em caso de re-inicialização (o token já foi inicializado): O SO PIN informado será verificado primeiramente. Após isto, o PIN do usuário será restabelecido para o default 11111111, e todos objetos no token serão apagados. O SO PIN e o PIN do cartão não serão alterados.
C_OpenSession Parâmetros: slotID CK_SLOT_ID flags CK_FLAGS pApplication CK_VOID_PTR Notify CK_NOTIFY phSession CK_SESSION_HANDLE_PTR Descrição: Abre uma nova sessão no Slot. Informação Adicional: Notifica e pApplication são ignorados e serão estabelecidos como
NULL_PTR. Sessões poderão ser apenas abertas, se um cartão estiver inserido.
Característica Especial: Se uma sessão é aberta e o cartão for removido em seguida, todas sessões no Slot retornarão CKR_DEVICE_REMOVED. Se houver um erro com CKR_ DEVICE_REMOVED, CKR_TOKEN_NOT_RECOGNIZED ou CKR_TOKEN_NOT_PRESENT uma pausa é automaticamente realizada neste Slot para todas sessões. Se uma pausa na sessão é utilizada novamente, essa sessão será reaberta automaticamente. Se um cartão for inserido ou removido de um Slot, então esse será um Evento (veja C_WaitForSlotEvent). Se C_OpenSession é chamado, o Evento sera finalizado, mesmo se o catrtão tenha sido removido e C_OpenSession retornado CKR_TOKEN_NOT_PRESENT.
C_WaitForSlotEvent Parâmetros: flags CK_FLAGS pSlot CK_SLOT_ID_PTR preserved CK_VOID_PTR (= NULL_PTR) Descrição: flag = 0;
O metodo espera até que um Slot reporte um Evento. Então ele retorna o Slot com o Evento em pSlot.
61
flag = CKF_DONT_BLOCK
O método mostra o Slot com Event em pSlot. Se não há Evento, CKR_NO_EVENT sera retornado.
Característica Especial: Se mais Slots tem um Evento, eles serão retornados they will be returned
alternadamente. Um Evento persiste até que um acessão ao cartão ocorra (e.g. by C_OpenSession ou C_GetToken_Info), mesmo se um erro seja retornado ao cartão.
Objetos Todos os objetos serão armazenados no cartão (CKA_TOKEN = true). Sessões ou outros objetos de software não serão atendidos. O ID (CKA_ID) indica quais objetos pertencem um ao outro. CKO_CERTIFICATE (CKC_X_509) Certificado em X.509 formato
(**) Não retorna erro na tentativa de escrever. CKO_PRIVATE_KEY (CKK_RSA)
62
(*) Só pode ser lido, se um certificado correspondente existir. (**) Não retorna erro na tentativa de escrever. (***) Não é suportado. CKO_PUBLIC_KEY (CKK_RSA)
(*) Só pode ser lido, se um certificado correspondente existir. (**) Não retorna erro na tentativa de escrever. (***) Não é suportado.
63
CKO_DATA Dados Gerais
(**) Não retorna erro na tentativa de escrever.
64
Mecanismos Assinatura (RSA): Descrição: Dados de Assinatura Ordem: C_SignInit, C_SignUpdate, C_SignFinal ou C_SignInit, C_Sign C_Sign opera como se C_SignUpdate e depois C_SignFinal fosse chamado. C_SignUpdate processa os dados imediatamente. Característica Especial: Ordem C_SignInit, C_Sign(C_SignUpdate, C_SignFinal), C_Sign
(C_SignUpdate, C_SignFinal) onde no primeiro C_Sign (resp. C_SignFinal) NULL_PTR será passado para a assinatura e apenas o tamanho da assinatura sera retornado. A assinatura será retornada no segundo C_Sign (resp. C_SignFinal). Se C_SignUpdate for chamado pela segunda vez, os dados devem coincidir com os dados da primeira vez. Uma terceira chamada não é possivel. Para outra assinatura C_SignInit deve obrigatoriamente ser chamado primeiro.
Verificação (RSA): Descrição: Verifica a assinatura. VerifyRecover retorna apenas os dados (normalmente
como um valor de hash) Ordem: C_VerifyInit, C_VerifyUpdate, C_VerifyFinal ou C_VerifyInit, C_Verify ou C_VerifyRecoverInit, C_VerifyRecover
C_Verify opera como if _VerifyUpdate e então C_VerifyFinal é chamado. C_VerifyUpdate armazena dados apenas temporariamente. C_VerifyRecover retorna os dados assinados.
Característica Especial: Ordem C_VerifyRecoverInit, C_VerifyRecover, C_VerifyRecover, onde em sua primeira C_VerifyRecover um NULL_PTR será passado como dado. Ela retorna apenas o tamanho dos dados. Os dados serão retornados no segundo C_VerifyRecover. Uma terceira chamada não é possível. Para mais verificações C_VerifyRecoverInit deve obrigatoriamente ser chamado primeiro.
Encriptação (RSA): Descrição: Encripta os dados. Ordem: C_EncryptInit, C_EncryptUpdate, C_EncryptFinal ou C_EncryptInit,
C_Encrypt C_Encrypt opera como um C_EncryptUpdate e depois que C_EncryptFinal for chamado.
Característica Especial: C_EncryptUpdate armazena os dados temporariamente. Você pode obter os
dados finalizados com C_EncryptUpdate. Se você não fizer isto, você recebe com C_EncryptFinal todos os dados de uma vez. Embora os dados estejam disponíveis apenas uma vez!
Decriptação (RSA): Descrição: Decripta os dados. Ordem: C_DecryptInit, C_DecryptUpdate, C_DecryptFinal ou C_DecryptInit,
C_Decrypt C_Decrypt como se fosse C_DecryptUpdate e depois que C_DecryptFinal for chamado.
Característica Especial: C_DecryptUpdate armazena os dados temporariamente. Você pode obter os
dados finalizados com C_DecryptUpdate. Se você não fizer isto, você receberá C_DecryptFinal com todos dados de uma vez. Embora os dados estejam disponíveis apenas uma vez!
Digest (funções hash SHA1, SHA2, MD2, MD5):
65
Descrição: Um valor de hash é calculado a partir dos dados. Ordem: C_DigestInit, C_DigestUpdate, C_DigestFinal ou C_DigestInit, C_Digest
C_Digest opera como se fosse C_DigestUpdate e depois que C_DigestFinal for chamado.
C_DigestUpdate processa os dados imediatamente.
66
Apêndice B: Funções não-padrão para a DLL PKCS#11 Duas funções não-padrão para a inicialização do token são acrescentadas à biblioteca PKCS#11 cmP11. CK_RV EraseProfile slotID CK_SLOT_ID /* ID do token no Slot */ pCardPIN CK_BYTE_PTR /* Valor do PIN do cartão */ ulCardPINLen CK_ULONG /* tamanho do valor do PIN do cartão */ Descrição: Apaga o perfil existente em um token. Para apagar o perfil, o PIN do cartão
deve ser verificado. CK_RV CreateProfile slotID CK_SLOT_ID /* ID do token no Slot */ pProfile CK_UTF8CHAR_PTR /* nome do perfil, finalizado com null */ pSerNum CK_BYTE_PTR /* número serial */ ulSerNumLen CK_ULONG /* tamanho do número serial */ pCardPin CK_BYTE_PTR /* valor do PIN do cartão */ ulCardPINLen CK_ULONG /* tamanho do valor do PIN do cartão */ pSOPIN CK_BYTE_PTR /* valor do SO PIN */ ulSOPINLen, CK_ULONG /* tamanho do valor do SO PIN */ pUserPIN CK_BYTE_PTR /* valor do PIN do usuário */ ulUserPINLen CK_ULONG /* tamanho do valor do PIN do usuário */ pLabel CK_UTF8CHAR_PTR /* 32-byte etiqueta do token (preenchimento em branco) */ ulUserPINRetry CK_ULONG /* retorna contador do PIN do usuário */ Descrição: Criar um perfil. Os nomes de perfil disponiveis são “CORPORATE”,
“PKCS15”, “CNS” e “FINEID”. Usualmente, o token deve obrigatoriamente estar vazio ou o perfil anterior deverá ser apagado antes que um novo perfil seja escrito no token.
Observação: Nem todos perfis são suportados por todos smartcards. CardOS V4.x suporta: CORPORATE, PKCS15,CNS CardOS M4.0(a) suporta: CORPORATE JavaCards suporta: CORPORATE, PKCS15, FINEID ACOS suporta: CORPORATE.
67
Apêndice C: Informações de LOG
Informações de LOG servem para encontrar e corrigir erros, mas impactam a performance do sistema. Geralmente, o LOG deve estar desabilitado. O LOG deve ser apenas utilizado por usuários experientes ou quando solicitado. O arquivo de LOG segue o seguinte formato: Cada entrada contém o nome da função, os parâmetros antes e depois da chamada da função e o resultado da função. Informações privadas são ocultas pela string estática “[------------------------------------]”, assim apenas o comprimento é legível. Além do LOG do sistema, durante a instalação é gerado um arquivo de LOG em formato txt no diretório “c:\ charismathics\Log_ddmmaa.txt” (Versão Windows) e “\\root\charismathics\ log_instalacaoddmmaa_hhmm.log” (Versão Linux), contendo registro de sucesso ou falha na instalação, relatando informações relativas às causas da impossibilidade de instalação do arquivo.
68
Apêndice D: Arquivos de Conveniência Para habilitar o LOG com as configurações padrão, arquivos .reg podem ser encontrados no diretório de instalação
<program files>\Charismathics\smart security interface x.zz\
CSSI_Param.reg contém parâmetros de LOG para PKCS#11 e para CSP
CSSI_TSS.reg contém parâmetros de LOG para TSS/TPM
69
Apêndice E: Configurações de Registro O LOG é controlado pelas entradas de registro armazenadas em [HKEY_LOCAL_MACHINE\SOFTWARE\charismathics\smart security interface]
"LogFile_mode"=dword:00000001
Utilize 1 para habilitar o LOG, 0 para desabilitá-lo "PKCS11_LogFile_name"="c:\\temp\\cmP11.log"
"CSP_LogFile_name"="c:\\temp\\cmCSP.log"
"TSP_LogFile_name"="c:\\temp\\cmTSP.log"
"TCS_LogFile_name"="c:\\temp\\cmTCS.log"
Selecione um arquivo de LOG e um diretório. Utilize apenas nomes absolutos para o caminho. Lembre de manter a barra ao contrário „\‟ dobrada.
70
Apêndice F: Atributos de Certificado (Uso Chave)
Uma breve explanação das opções, a seguir:
1. Assinatura Digital: O certificado pode ser usado para o autenticação e assinatura digital 2. Admitido para Documentos: O certificado verifica assinaturas, que verificam a responsabilidade e a
obrigatoriedade dos documentos (exceto assinaturas de certificados e CRL‟s da Autoridade Certificadora.
3. Encriptação de Chaves : Encriptação das chaves com a finalidade de sua transmissão. 4. Encriptação de Dados : Encriptação dos dados com a finalidade da transmissão, mas não as
chaves. 5. Trocando Chaves: Uso da chave para concordar com outras chaves, por exemplo: uma chave
Diffie-Hellman. 6. Somente Encriptar: Esta opção é mutuamente exclusiva com todas as outras opções. 7. Somente Desencriptar: Esta opção é mutuamente exclusiva com todas as outras opções.
71
Apêndice G: Configurando o Firefox para utilizar a biblioteca Charismathics PKCS#11 1. Abra o Firefox.
2. Vá para Ferramentas – Opções.
3. Selecione Avançado – Aba Criptografia – clique em Dispositivos de Segurança.
4. Clique em Carregar.
Localize e selecione cmP11.dll
(normalmente localizada no diretório System32 do Windows) para configurar o módulo PKCS#11 no Ambiente Windows.
72
Para o Ambiente Linux, selecione libcmp11.so, encontrada no diretório de instalação da aplicação (verificar capítulo “Instalação no Ambiente Linux”). Quando carregar a PKCS11 no Firefox / Thunderbird, não insira nenhum caracter especial no campo “Nome do modulo (Module Name)”.
5. Clique em Abrir.
73
6. Uma mensagem de confirmação será apresentada, clique OK.
7. Uma mensagem de alerta “Uma nova segurança foi instalada” será exibida, clique OK.
