Charismathics Smart Security Interface V4.9.

3 Manual

Contedo 1 2 3 Prefcio Sobre este Manual Instalao 3.1 Instalao no Ambiente Windows 3.1.1 Componentes instalados 3.1.2 Requerimentos de Instalao 3.1.3 Instalao Desacompanhada 3.2 Instalao no Ambiente Linux 3.2.1 Componentes Instalados 3.2.2 Configurando a biblioteca Charismathics PKCS#11 3.3 Cartes Inteligentes suportados 3.4 Leitores de Cartes testados 3.5 PIN de Entrada Seguro Ferramenta de administrao Charismathics Security Token configurator 4.1 Interface do Usurio 4.1.1 Menu Gerenciador 4.1.2 Consideraes especficas para o Ambiente Linux 4.1.3 Menu Editar / Menu de Contexto 4.1.4 Menu Carto 4.1.5 Menu Certificado 4.1.6 Menu Sobre 4.2 Modificando os PINs 4.2.1 PIN do Usurio Timeout Verso Windows 4.2.2 PIN do Usurio Timeout - Verso Linux 4.3 Desbloqueando Cartes 4.3.1 Gerao de uma Chave Secreta 4.3.2 Importando uma Chave Secreta 4.4 Gerando e Importando Certificados 4.4.1 Gerando Certificados com assinatura prpria e Certificado requisitado 4.4.2 Importao de Certificados 4.5 Criando Perfis 4.6 Preparando um Carto (Inicializao e Personalizao) 4.6.1 Primeiro Passo: Criando um Perfil (Inicializao) 4.6.2 Segundo Passo: Criando Chaves e Certificados (Personalizao) 4.7 Funes adicionais 4.7.1 Diretrio Certificados 4.7.2 Diretrio Dados 4.7.3 Funo "Abrir Carto" 4.7.4 Funo "Apagar Tudo" e "Apagar Objeto" 4.7.5 Funo Configure Container (recipiente) Padro 4.7.6 Funo Trocando Label do Container 4.7.7 Funo "Mostrar Certificado" 4.7.8 Funo "Exportar Certificado" 4.7.9 Funo "Registrar Certificado" 4.7.10 Funo "Verifique Chave Privada" 4.7.11 Funo "Verificar Chave Secreta" 4.8 Menu Sobre 4.9 Menu Sair Charismathics Extension Tool CSP da Charismathics Smart Security Interface
2

5 6

5 6 7 7 8 8 9 9 9 10 11 11 12 13 13 14 16 18 18 23 29 32 32 33 33 34 35 35 36 38 38 40 40 40 41 41 41 42 43 44 45 45 46 47 48 49 50 51 52 53

6.1 Procedimentos Gerais 6.2 Smart Card Login para um Domnio Windows 2000 6.3 SSL- Autenticao com Smart Card no Internet Explorer 6.4 Outlook Express com Assinatura Eletrnica e Encriptao via Smart Card 6.5 Windows VPN-Login com Smart Card 7 PKCS#11 - Mdulo da Charismathics Smart Security Interface 7.1 Metodologia Geral 7.2 Smart Card Login para o Novell eDirectory 7.3 SSL- Autenticao com Smart card no Netscape 7.4 Segurana de e-mail atravs de Cartes Inteligentes com o Netscapes Messenger 8 Referncias Apndice A: Referncia para Desenvolvedores Funes de acordo com Padro PKCS#11 Sinopse de funes especficas C_Finalize C_GetObjectSize C_GetSlotList C_GetTokenInfo C_Initialize C_InitToken C_OpenSession C_WaitForSlotEvent Objetos Mecanismos Assinatura (RSA): Verificao (RSA): Encriptao (RSA): Decriptao(RSA): Digest (funes Hash SHA1, MD2, MD5): Apendice B: Funes no padro para o PKCS#11 DLL Apendice C: Informao de LOG Apndice D: Arquivos de Convenincia Apndice E: Configuraes do Registro Apendice F: Atributos de Certificado (Uso da Chave) Apendice G: Configurando o Firefox para utilizar a biblioteca Charismathics PKCS#11

53 53 54 54 54 55 55 55 55 56 57 58 58 59 59 59 59 60 60 60 61 61 62 65 65 65 65 66 66 67 69 70 71 72 73

1 Prefcio
Obrigado por comprar nosso midleware Charismathics Smart Security Interface (CSSI) Charismathics Smart Security Interface prov os mdulos que voc precisa para integrar diferentes smart cards, tokens USB e chips TPM dentro de suas aplicaes. A funcionalidade de nosso midleware comea com funes para a administrao do smart card, incluindo mdulos que apiam o sistema operacional para utilizar tokens. Esta verso suporta apenas o perfil PKCS#15.

Charismathics Smart Security Interface compreendido dos seguintes mdulos: A ferramenta de administrao Charismathics Smart Security Interface Manager. A ferramenta de usurio Charismathics Smart Security Interface Utility. A ferramenta de registro para o registro automtico dos certificados. A CSSI Extension Tool para adicionar novas associaes ATR/OS (CSSI Extension Tool). O CSP, sigla em ingls para provedor de servios criptogrficos. Mdulo PKCS#11.

Com a ferramenta de usurio Charismathics Smart Security Interface Utility, voc pode mudar seu PIN de usurio e pode registrar seu smart card ou USB Token. Voc pode administrar suas chaves e certificados do smart card usando a ferramenta de Administrao Charismathics Security Token configurator. Voc pode gerar, importar ou exportar chaves e certificados. Alm disso, voc pode exibir informaes sobre o contedo do smart card, trocar/desbloquear o PIN do smart card, e inclusive criar novos perfis. Charismathics Smart Security Interface-CSP permite a voc expandir as aplicaes e servios dentro de um ambiente Microsoft e seu uso com um smart card. Charismathics Smart Security Interface-PKCS#11 permite a voc usufruir de aplicaes e servios adicionais, que usam este padro. Mdulos PKCS#11 podem ser usados em ambientes Netscape e Novell (por exemplo). Charismathics Key Storage Proveider, implementao do Crypto Next Generation, com suporte para Windows Server 2008, Windows Vista e verses posteriores. Suporte aos algoritmos Hashing SHA256, SHA384 e SHA 512.

Especialmente, voc pode expandir o uso das seguintes aplicaes atravs da CSSI: Login com smart cards para Windows Domains ou Novell eDirectory SSL- Autenticao por smart card (Internet Explorer, Netscape, ) E-mail seguros com cartes (PGP, Netscape Messenger, Outlook, Outlook Express,) VPN com smart cards (Microsoft, Cisco, )

Este manual importante para administradores de sistema e desenvolvedores de aplicativos, que desenvolvem suas prprias aplicaes e acessam mdulos da Charismathics Smart Security Interface, ex. PKCS#11. Informaes adicionais sero encontradas nos apndices deste manual.

2 Sobre este Manual

Se voc adquiriu a Charismathics Smart Security Interface na edio de Administrador , voc achar uma descrio da ferramenta de administrao no captulo Ferramenta de administrao: Charismathics Security Token Configurator, explicando como administrar chaves e certificados, trocar PINs, desbloquear, inicializar e personalizar smart cards. Alm disso, voc encontrar informaes adicionais, relativas Ferramenta de Registro, CSSI Extension Tool, CSP e PKSC#11, alm de aplicaes que talvez possam ser expandidas (atualizadas) por tokens. Desenvolvedores de aplicaes podem encontrar informaes adicionais em como acessar a biblioteca dos mdulos como, por exemplo, no Apndice Funes de acordo com Padro PKCS#11, voc encontra funes para acesso ao mdulo PKCS#11 da Charismathics Smart Security Interface. Se a inteno for desenvolver uma aplicao proprietria, no Apndice Atributos de Certificado Uso Chave, por exemplo, voc encontra uma descrio conscisa dos atributos do certificado, e informao sobre seu emprego fundamental. Contudo, uma explicao de como configurar ambientes Microsoft ou de outros fabricantes, excede o objetivo deste manual. Neste caso, consulte a documentao do fabricante correspondente. Nota: Para entender este manual voc precisa de conhecimento bsico em Tecnologia da Informao (TI) e correspondente segurana. Especialmente, voc deve estar familiarizado com os seguintes termos: certificado, chave privada, pblica, e secreta, assinatura digital, PKI, etc... Por favor, consulte o glossrio IT & Security na homepage de nossa empresa: http://www.charismathics.com se voc quiser consolidar seu conhecimento.

3 Instalao
Antes que voc instale a Charismathics Smart Security Interface, o leitor de cartes deve estar instalado de acordo com as diretrizes do seu fabricante, e deve estar completamente operacional. A instalao da Charismathics Smart Security Interface executada a partir do CD de instalao.

3.1

Instalao no Ambiente Windows

O processo de instalao pode ser iniciado clicando duas vezes sobre SETUP, localizado no CD de instalao, na pasta ..\CSTC_Verso Windows\ Charismathics SSI_4.9.2.msi. A instalao do CSSI4.9.2 feita automaticamente no idioma portugus. O usurio pode alterar o caminho padro de instalao se necessrio. Uma vez iniciado o processo de instalao, o instalador apresenta o contrato de licena que, depois de aceito pelo usurio, continua a instalao de forma automtica. O log completo da instalao gerado no sistema na pasta %temp% com o nome chainstall.txt. O arquivo de log inclui mensagens para grupos de aes realizados durante a instalao. Tambm inclui mensagens indicando o sucesso ou o fracasso da instalao. Se qualquer problema for encontrado durante o processo de instalao, o instalador fornece imediatamente uma mensagem de erro em portugus. Este mesmo arquivo do LOG charismathics\Log_ddmmaa.txt. de instalao gerado em formato txt no diretrio c:\

Nota: Para informaes mais detalhadas sobre as rotinas e aes realizadas durante a instalao verifique o arquivo de log da instalao.

3.1.1

Componentes instalados

A instalao do CSSI 4.8.1-Charismathics, instrumento configurador de token de segurana, instala os seguintes componentes: Local padro de instalao. Como padro na pasta: \arquivos de programa\charismathics\smart security interface\. o Secintmgr.exe: a ferramenta de administrao de carto inteligente - Charismathics Security Token Configurator. o CSSIExtension: a ferramenta utilizada para adicionar um novo ATR no carto, se necessrio. o CSPregtool.exe: Propaga automaticamente o certificado para a rea de armazenamento de certificados. No necessria no ambiente Windows Vista e acima, uma vez que nestes casos, a propagao do certificado realizada pelos servios do prprio sistema. o Manual do Usurio. o Pasta com strings de localizao. Pasta System32 o O CSP, verso de 32 bits, instalado no seguinte local: \Windows\System32 cmCSP.dll. o A biblioteca PKCS11, verso de 32 bits, instalada no seguinte local: \Windows\System32\cmP11.dll. o KSP key storage provider - verso de 32 bits, instalado no seguinte local: \Windows\System32 mcKSP.dll. As seguintes chaves de Registro so criadas durante a instalao: o Registro da pasta de instalao do CSSI: [HKEY_LOCAL_MACHINE\SOFTWARE SOFTWARE\ charismathics\ smart security interface\ o Registro de entradas do CSP da Charismathics:
6

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Charismathic s Smart Security Interface CSP Entradas do smart card (carto inteligente): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\Smartcard\

3.1.2

Requerimentos de Instalao

Se no outro explicitamente requerido, siga os seguintes: Microsoft Ou Ou Ou Ou Ou Windows NT 4.0 Windows 2000 Windows XP Windows Server 2003 Windows Vista Windows 7 com Service Pack 6a com Service Pack 4 com Service Pack 2

Nota: Durante a instalao, o mdulo CSP registrado automaticamente no Sistema Operacional Windows. Se houver uma verso de Netscape, Firefox or Thunderbird em seu computador, a Register Tool (ferramenta do registo) pode ajudar-lhe a ativar o suporte a PKCS#11 dentro destas aplicaes. Consulte o Captulo: Ferramenta de Registro para uma informao mais detalhada. As seguintes aplicaes so suportadas: Smart card login para o Windows 2000 ou 2003-Domain: ADS, Enterprise CA, Windows 2000 ou 2003 Servidor e como Cliente: Windows 2000 Professional ou Windows XP Professional Autenticao - SSL com smart card usando Internet Explorer: Microsoft Internet Explorer 5.0, 5.5 ou 6.0, High Encryption Pack, SSL V3 com Strong User Authentication Outlook com assinatura digital e encriptao via smart card: Outlook Express 5.0, 5.5 ou 6.0 Windows Mail Outlook 2000, 2003 Lotus Notes com assinatura digital e encriptao via smart card: Lotus Notes 6.5 or higher Windows VPN-Login com smart card Windows 2000 Server e como Client: Windows 2000 Professional ou Windows 2003 Server e como Client: Windows 2000 ou XP Smart card login para Novell eDirectory Netware 5.1 SP3, eDirectory 8.6.1, Novell Client 4.83 SP1, NMAS EE 2.0 (com o Universal Smartcard Login Method incluso) com NICI 1.5.7 (Server e Client), NMAS 2.1 (com o Universal Smartcard Login Method incluso) com NICI 2.4.1 (Server e Client) ou acima em cada caso. Smart card login to Lotus Notes Lotus Notes 6.5 ou acima SSL- Authentication com smart card e Netscape Netscape Navigator 4.72 (High Encryption), 4.73, 4.76, 6.x Email-Security via smart cards com Netscape Messenger Netscape Messenger 4.72 (High Encryption), 4.73, 4.76, 7.x Thunderbird 1.5 e acima E-Mail-Security via suporte PGP (PKCS#11): PGP Personal Desktop 8.1 for Windows
7

Compatibilidade/Smart card administration da Baltimore-PKI (PKCS#11): Token Manager para Betrusted Unicert V5.2 para Windows Compatibilidade/Smart card administration da Entrust-PKI (PKCS#11): Security Manager Administration 7.0 Compatibilidade/Smart card administration da Ecos-PKI Appliance BB5000 (PKCS#11)

Os produtos mencionados, no precisam de qualquer exigncia de software cliente; por favor, observe no caso de outros produtos que no esto listados acima, os respectivos manuais correspondentes. HD ENCRYPTION / PREBOOT.: O middleware CSSI possui compatibilidade com os seguintes ambientes: Pointsec Utimaco Safeboot PGP Secude

3.1.3

Instalao Desacompanhada

Em vez de executar setup.exe, a instalao pode tambm ser iniciada na modalidade desacompanhada, chamando-se o correspondente arquivo .msi do diretrio de instalao, conforme segue: msiexec /i CSSI x.x - admin edition.msi /qn

3.2

Instalao no Ambiente Linux

Linux Debian Instalao automtica, atravs de sistema prprio Para instalao no Ambiente Linux Debian, acesse a pasta no CD de instalao ..\Verso Linux\CSSI4.9.2_Linux_32-bit\CSSI4.9.2_CSTC\ e siga as etapas descritas a seguir: A instalao feita automaticamente no idioma portugus. O usurio pode alterar o caminho padro de instalao se necessrio. Copie o contedo da rea de instalao no CD para um diretorio da mquina. Pode ser para o home do usurio. O manual do Sistema deve ser copiado juntamente com o arquivo de instalao compactado. Entre em um terminal (alt f2 gnome-terminal). Acesse o diretrio da mquina para o qual os arquivos foram copiados do CD. Descompacte o arquivo com o comando tar zxvpf InstaladorCSSI4.9.2.tar.gz. Entre na pasta InstaladorCSSI4.9.2 criada pelo passo anterior. Como usuario root (comando ./InstalaCSTC.sh). (comando su) executar o arquivo InstalaCSTC.sh

Execute os passos pedidos pelas telas. Reinicie o Ambiente Linux.

Linux OpenSuse Instalao em formato binrio (.RPM) Para instalao no Ambiente Linux OpenSuse, copie o pacote magiccontrol.tar.gz do CD de instalao para um diretorio do Linux. Pode ser para o home do usurio. O manual do Sistema deve ser copiado juntamente com o arquivo de instalao compactado.
8

Antes de descompactar o arquivo de instalao, acesse o Terminal do Gnome no menu Computador/Aplicativos e efetue o comando sudo su, digitando a senha com previlgios para realizar a instalao. V para o diretrio onde o arquivo de instalao foi copiado e realize a descompactao atravs do comando: tar xzvf magiccontrol.tar.gz. Trs arquivos sero descompactados. Executar o comando rpm ivh scManager-0.11-1.i386.rpm para instalar o pacote. Os fontes do pacote de instalao encontram-se no arquivo scManager-0.11_source. O atalho de inicializao do programa est situado no menu Computador\Aplicativos\mais aplicativos\Novos aplicativos\scManager.

Pr-requisitos para instalao do scManager: Instalao das bibliotecas (dependncias) libjpeg, libpcsclite1 e libpng12 no menu Computador/Sistema/Instale Remova Programas. Digite o nome da biblioteca na caixa de procura e efetue a instalao.

Pacotes includos: magiccontrol.tar.gz

Drivers para a leitora Omnikey 3021 syncapi_lnx-1.5.0.tar.gz ifdokccid_lnx-3.6.0.tar.gz ctdeuti_lnx-5.1.0.tar.gz

Linux Ubuntu Instalao em formato binrio (.DEB) Para instalao no Ambiente Linux Ubuntu, copie o pacote magiccontrol.tar.gz do CD de instalao para um diretrio do Linux. Pode ser para o home do usurio. O manual do Sistema deve ser copiado juntamente com o arquivo de instalao compactado. Antes de descompactar o arquivo de instalao, acesse o Terminal do Gnome no menu Computador/Aplicativos e efetue o comando sudo su, digitando a senha com previlgios para realizar a instalao. V para o diretrio onde o arquivo de instalao foi copiado e realize a descompactao atravs do comando: tar xzvf magiccontrol.tar.gz. Trs arquivos sero descompactados. Executar o comando dpkg i scManager-0.11-ubuntu10.10.deb para instalar o pacote. Os fontes do pacote de instalao encontram-se no arquivo scManager-0.11_source. O atalho de inicializao do programa est situado no menu Aplicativos\Acessrios\scManager.

Pr-requisitos para instalao do scManager: Instalao da biblioteca pcscd em Aplicativos/Acessrios/Terminal, atravs do usurio sudo su, digitando o comando apt-get install pcscd para a instalao do pacote.

Pacotes includos:
9

magiccontrol.tar.gz

Drivers para a leitora Omnikey 3021 syncapi_lnx-1.5.0.tar.gz ifdokccid_lnx-3.6.0.tar.gz ctdeuti_lnx-5.1.0.tar.gz

3.2.1
Linux

Componentes instalados

O pacote de instalao CSSI4.9.2 para Linux contempla as seguintes pastas e componentes: Pasta Application: Abaixo desta pasta esto as ferramentas de administrao do carto: scManager e biblioteca PKCS11. Pasta Debs: Esta pasta inclui os pacotes para libccid, pcsclite, PCSCd packages, libglib, libtiff e wxWidgets. Qualquer pacote faltante no seu sistema pode ser instalado atravs dos pacotes desta rea. Pasta Language: Inclui da localizao da referncia para o idioma Portugus / Brasil para o CSTC ferramenta de administrao de cartes. Componente ./InstalaCSTC.sh : Corresponde ao script (comandos) para instalao do pacote CSSI.

Os components que fazem parte da aplicao CSSI4.9.2 para Linux so: scManager: Instalado na pasta /opt/CSTC. A ferramenta Charismathics Security Token Configurator (scManager), a ferramenta administrativa utilizada para iniciar smart cards, gerenciar certificados e dados e gerenciar os PINs do carto. Aps realizar a instalao, o pacote scManager aparecer no Desktop como um atalho. libcmP11.so: Instalado na pasta /opt/CSTC /lib. a biblioteca charismathics PKCS11. scManager.mo: Inclui a localizao da /usr/local/share/locale/pt.

referncia

para

idioma

Portugus.

Est

instalado

na

pasta

Aps a instalar o Sistema, um LOG completo da instalao criado na pasta \\root\charismathics\ log_instalacaoddmmaa_hhmm.log, contendo registro das atividade geradas durante o processo de instalao, o sucesso ou falha em cada etapa da instalao e relatando informaes relativas s causas da impossibilidade de instalao do arquivo.

3.2.2

Configurando a biblioteca Charismathics PKCS#11

No CD de instalao, acesse a pasta ..\Verso Linux\CSSI4.9.2_Linux_32-bit\Install PKCS11CSSI4.9.2_Linux_32bit\, copie o mdulo libcmP11.so para uma pasta de sua preferncia. Voc pode utilizar qualquer aplicao que permita especificar um modulo externo de segurana, para instalar o mdulo PKCS#11. Exemplos de aplicao: Firefox,Thunderbird, etc. Especificamente, para instalar o mdulo PKCS#11 no Firefox, acesse o Apendice E: Configurando o Firefox para utilizar a biblioteca Charismathics PKCS#11 para obter maiores informaes. Ainda, caso deseje criar um arquivo de LOG, especifique a varivel de ambiente SCINTERFACE com o nome de arquivo e caminho desejado. Por exemplo: #export SCINTERFACE=/tmp/cmP11.log
10

ou adicione a linha "export SCINTERFACE=/tmp/cmP11.log" no arquivo de ambiente para configurao de variveis /etc/profile

11

3.3

Cartes Inteligentes suportados

Charismathics Smart Security Interface suporta os seguintes smart cards/tokens: ABACOS 2.0 ACOS EMV A03 Aladdin eToken Pro CardOS M4.01a CardOS V4.2C Cosmo V5.4 JCOP 20 JCOP 31 NetKey PKS/2000/E4 Sm@rtCafe 2.0, 2.1, 3.0 ACOS A-Trust Card ActivIdentity Card Axalto Cyberflex Access V2c CardOS V4.20 CardOS V4.30 G&D Sm@rtCafe Express JCOP 21 JCOP 41 Oberthur CosmopolIC V5.2 StarCOS 2.3/2.4/3.0/3.1 ACOS edu.Card Aladdin eToken CardOS M4.01 CardOS V4.2B CardOS V4.3B GemXpresso Pro R3.2 JCOP 30 jTOP JCX32 plusID 60 token

e TPM chips: Infineon TPM 1.1 & 1.2 Broadcom TPM 1.1 & 1.2

3.4

Leitores de Cartes testados

Por favor, observe se o seu leitor de carto foi instalado de acordo com as especificaes do fabricante e est operando completamente. Charismathics Smart Security Interface foi testado com os seguintes leitores de cartes: ACS38 USB Eutron Digipass 860 Fujtsu Siemens Computer Smartcase SCR USB KOBIL KAAN advanced Omnikey Cardman 2020 USB Omnikey Cardman 3620 USB ORGA Card Mouse USB SCM SCR 3340 (Express-Card) SCM SCR333 charismathics plugncrypt Fujtsu Siemens Computer Smartcase KB SCR PRO Fujtsu Siemens Computer Smartcase SCR USB internal Omnikey Cardman 1010 serial Omnikey Cardman 3021 USB Omnikey Cardman 3621/3821 SCM SCR 331 USB SCM SCR 532 seriell/USB SCM SCR335 USB Eutron cryptoidentity CCID Fujtsu Siemens Computer Smartcase KBPC CX Fujtsu Siemens Computer Smartcase Token USB Omnikey Cardman 2011 serial Omnikey Cardman 3121 USB Omnikey Cardmann CM4040 (PC-Card) SCM SCR 3310 USB SCM SCR241 PCMCIA

Adicionalmente, um grande nmero de leitores no mencionados explicitamente acima, mas construdos com base no hardware compatvel, so suportados. Nota: Somente PC/SC drivers so suportador. No h suporte para CT-API-drivers. Se a chave RSA 2048 for usada, ento o leitor do smartcard deve suportar a APDU extendida.

12

3.5

PIN de Entrada Seguro

Alguns leitores de carto vm equipado com seu prprio PIN-pad. Este PIN-pad pode ser usado para SPE, se um dos seguintes dispositivos for usado: Cherry Keyboard G83-6644 Omnikey 3621 USB OmniKey 3821 USB

Certifique-se por favor, que seus windows device drivers esto atualizados, se voc quiser usar PC/SC 2.0 com SPE. Para ativar SPE, edite o registro da seguinte forma: [HKEY_LOCAL_MACHINE\SOFTWARE\charismathics\smart security interface] Para ativar SPE, use: "USE_PINPAD"=hex:01 Para desativar SPE, use: "USE_PINPAD"=hex:00 Embora CSSI suporte os PINs alfanumricos em geral, SPE somente suporta dgitos. Por favor, tenha certeza de que os PINs usados para o carto, possam ser conectados usando-se SPE, se voc pretender utiliz-lo.

13

4 Ferramenta de administrao Charismathics Security Token Configurator

Esta ferramenta da verso/edio administrador oferece as seguintes funes: mudana de Pins, desbloqueio de smart cards, gerao de perfis, chaves e certificados, e assim por diante.

4.1

Interface do Usurio

Depois de abrir a ferramenta de administrao da Charismathics Security Token Configurator voc ver a seguinte interface:

O painel esquerdo indica a lista dos leitores de carto que esto conectados ao sistema. So exibidos, os leitores de carto e os leitores virtuais de token USB, indicados na mesma janela. Uma vez que um token foi inserido, a hierarquia extendida. Selecionar um item na hierarquia exposta indica suas propriedades no painel direito. As propriedades so indicadas de forma tabular com parmetros e seu valor associado.

14

4.1.1

Menu Gerenciador

Funo Abrir Carto: Para ver o contedo de um token/smart card, selecione o leitor que contm o smart card ou o Token USB na hierarquia e selecione Abrir Carto do menu Gerenciador. Click sobre o (cone +) na frente do leitor, para expandir a hierarquia, o que servir a mesma finalidade. No incio, somente a informao pblica est disponvel, por exemplo: Label do Carto, o perfil e a memria livre. Funo Criar Perfil de Carto: Esta opo exclui o perfil atual (se presente), e cra um novo perfil no smart card ou no Token USB. Esta caracterstica descrita em detalhes no tem Preparando um Carto. As seguintes regras devem ser observadas no preenchimento dos campos: Perfil: Apenas o perfil PKCS#15 est habilitado nesta verso. PUK, Confirme PUK, PIN do Usurio, Confirme PIN do Usurio o Comprimento mnimo de 6 e mximo de 16 carcteres. o Conter no mnimo 1 caracter alfabtico maisculo (A..Z). o Conter no mnimo 1 caracter alfabtico minsculo (a..z). o Conter no mnimo 1 caracter numrico (0..9). o Permitir a utilizao de caracteres especiais. Nmero Serial: Preenchido automaticamente pelo sistema nesta verso. Nome do Usurio: No possui restries.

15

16

4.1.2

Consideraes especficas para o Ambiente Linux

Aps realizar o login no smart card atravs do menu Carto Login, para habilitar o as opes do sub-menu, clique na pasta Certificados, conforme apresentado abaixo. Todas as opes de menu sero habilitadas.

Se o carto no estiver inicializado ou se no possuir nenhum perfil carregado, no Linux, a tela aparecer, conforme apresentado abaixo, se voc clicar em Abrir Carto.

17

Para inicializar um carto vazio, no clique em Abrir Carto, clique em Criar Perfil de Carto, conforme apresentado abaixo:

Esta opo esta disponvel apenas cartes no inicializados e cartes com o PUK bloqueado.

18

4.1.3

Menu Editar / Menu de Contexto

O ndice e a disponibilidade do menu "Editar" muda de acordo com o item selecionado no painel principal da tela. A maioria das funes do menu "Editar" so tambm acessveis atravs do (clicando-se com o) boto direito do mouse sobre o item apresentado na hierarquia (tela). Veja tambm o tem 4.9 Funes Adicionais.

4.1.4

Menu Carto

Para que o menu "Carto" contenha todas as entradas (opes) ativas, o Carto deve ter sido aberto anteriormente. Por exemplo, usando o menu Gerenciador "Abrir Carto". Funo Login: Antes de iniciar as operaes com o Carto, o usurio requerido para realizar o login no dispositivo. O Login requer o pin do usurio. Uma vez logado, esta opo desabilitada e as informaes adicionais / demais opes tornam-se disponveis dentro do painel da hierarquia e da vista das propriedades. Falhando-se em fornecer o PIN do usurio correto cinco vezes sequencialmente, o carto/token travado/bloqueado. Para desbloqueio do PIN do Usurio, acesse Para destravar/desbloquear o PIN do usurio.

19

Aps acessar o dispositivo com sucesso, os certificados podem ser registados no carto atravs do Ambiente Operacional. Para cada certificado que no registrado com o Ambiente Operacional, mas armazenado no Carto, o usurio ser indagado se o certificado deve ser registrado. Funo Logout: Esta opo funciona de forma contrria opo Login, bloqueando o acesso as funes restritas do Carto/Token USB.

Funo Trocando o PIN de Usurio:

20

Funo Trocando o PUK :

Na primeira troca do PUK, o sistema, por segurana, solicita uma nova digitao do PIN do Usurio, conforme apresentado na tela a seguir:

21

Funo Desbloquear PIN do Usurio:

22

Estas funes funcionam de forma muito similar. Estas funes esto sempre disponveis e todas requerem um PIN de autorizao para fazer uma mudana. O valor mudado tem que ser entrado/prenchido 02 (duas) vezes para evitar erros. Todos os valores so mascarados com asteriscos para fornecer privacidade.

23

4.1.5

Menu Certificado

A maioria das opes do menu certificado so tambm acessveis atravs do menu de contexto (boto direito do mouse), para qualquer certificado, chave pblica ou privada, apresentados no painel.

Funo Importar Certificado: Aps ter selecionado este item, escolha o certificado para importar. Se o certificado puder ser associado com um par de chaves privada/publica, o mesmo ser introduzido automaticamente no recipiente (container) correto. Se no, o certificado adicionado em "Certificados" na hierarquia. No h nenhuma maneira de associar manualmente um certificado com um par de chaves no relacionado a ele.

24

Funo Apresentar Certificado: Mostra toda a informao contida dentro do certificado. Selecione um nome de campo na rea superior do visor para mostrar o seu valor na rea inferior do visor.

Funo Exportar Certificado: Exporta o certificado no formato BASE64 ou DER para um arquivo a escolha do usurio. A associao com o par de chaves recuperada, caso o certificado seja importado outra vez, atravs do menu Importar Certificado.

25

Funo Registar Certificado: Esta opo regista o certificado no Windows (funo no utilzada no ambiente Linux), caso ainda no tenha sido realizado. A seguinte mensagem apresentada aps o registro do Certificado:

Caso o Certificado j esteja registrado no Ambiente Operacional, a seguinte mensagem apresentada (voc pode definir se deseja manter ou substituir o registro atual):

26

Funo Criar Certificado Requisitar: A fim de receber um certificado para um par de chaves publica/ privada, possvel preparar um pedido de certificado. Este pedido armazenado em um arquivo BASE53 ou DER encriptado. Veja o item e 4.5 "Gerando e Importando certificados" para uma descrio do processo.

Funo Criar certificado (self signed) com assinatura prpria: O processo de pedido similar ao Criar Certificado Requisitar. Porm o pedido no armazenado em um arquivo a ser processado por uma Autoridade Certificadora, mas apenas em um arquivo certificado padro.

27

Uma vez iniciado o processo, o sistema solicita informaes a respeito de qual ser o uso das Chaves no Certificado.

E a seguir, qual o perodo em que o Certificado ser vlido. Aps obter estas informaes, o Certificado gerado.

28

29

4.1.6

Menu Sobre

Funo Sobre: Indica a informao geral da verso do CSSI edio administrador.

Funo OS Suportado: Indica a lista dos sistemas operacionais de smart cards suportados pelo CSSI. Esta lista inclui somente as associaes predefinidas.

30

Funo PKCS#11 Informao: Informao sobre o mdulo PKCS#11, que parte do CSSI.

Funo CSP Informao: Informao sobre o CSP.

31

Funo Manual: Este manual.

4.2

Modificando os PINs

H 2 PINs em um smart card: o PIN do Usurio e o PUK. No so todos os cartes e tokens que suportam a mudana de todos os PINs. O CSSI suporta PINs alfanumricos e no restringido aos dgitos numricos no geral. H diferentes funes para utilizar com estes 2 PINs: O PIN do Usurio deve ser fornecido, se a pessoa quer escrever no carto (ex. Gerar Chaves, armazenar um certificado), apagar objetos ou quando as funes criptogrficas (ex. encriptar ou desencriptar) so usadas. Consulte tabela abaixo sobre o PIN do Usurio / Comprimento do PIN do Usurio. Importante: Aps 5 (cinco) entradas erradas o PIN do Usurio, ser bloqueado. Um PIN do Usurio bloqueado pode ser desbloqueado pelo PUK. O PUK ser usado somente para desbloquear o PIN do Usurio. No h nenhuma funo do tipo Criar ou Deletar associada ao PUK. Importante: Aps 3 (trs) entradas erradas do PUK(SO PIN), o mesmo ser bloqueado.

4.2.1

PIN do Usurio Timeout Verso Windows

O tempo em que as chaves do carto permanecem ativas pode ser alterado atravs do menu PIN do Usurio Timeout (intervalo de expirao), conforme apresentado abaixo: Primeiramente o sistema apresenta o intervalo de expirao (timeout) vigente:

32

Se voc optar por selecionar um novo intervalo, o sistema apresentar a seguinte tela, onde voc poder selecionar entre um tempo mnimo para realizar uma operao (5 minutos) e o tempo mximo de ativao das chaves (30 minutos).

4.2.2

PIN do Usurio Timeout - Verso Linux

O tempo em que as chaves do carto permanecem ativas pode ser alterado atravs de modificao na varivel de ambiente USER_PIN_TIMEOUT_SECONDS, que se encontra no arquivo uder/etc/environment.

33

O mximo valor aceito para o timeout de 1800 segundos. Voc pode alterar este valor, alterando o valor da varivel USER_PIN_TIMEOUT_SECONDS. Aps modificar o valor, o Ambiente Linux necessita ser reiniciado para que a mudana seja efetivada.

4.3

Desbloqueando Cartes

Como medida de segurana, um smart card bloqueado, se um usurio digitar 5 (cinco) vezes consecutivas o PIN de Usurio errado. Isto prov segurana, porque uma pessoa sem autorizao pode conferir todos os possveis PINs por tentativa e erro, se voc perdesse seu smart card ou se o mesmo fosse roubado. Mas poderia acontecer, que voc como dono legtimo do smart card entrou 5 (cinco) vezes o PIN do Usurio errado. Neste caso o smart card ser bloqueado tambm. Consequentemente, voc pode desbloquear o carto com a Charismathics Smart Security Interface, se voc souber o PUK. Voc precisa do PUK para desbloquear um PIN de usurio. Voc acha a funo Liberar PIN de usurio no Menu "Carto", como apresentado na figura seguinte:

4.3.1

Gerao de uma Chave Secreta

Para gerar uma chave secreta de encriptao, acesse, o menu Editar - Chaves Secretas - Criar Chave Secreta" ou acesse atravs do menu de contexto, conforme apresentado na figura abaixo:

34

Aqui, voc pode gerar chaves Triple-DES e chaves DES. Observao: Algoritmos com no mnimo 128 bits (Triple-DES) so recomendados. De acordo com os padres de comprimento de chaves atuais. Chaves de comprimento menor no so seguras.

4.3.2

Importando uma Chave Secreta

Se voc possuir uma chave secreta que voc quer utilizar, voc pode importar a mesma, utilizando-se do menu "Editar", atravs do item "Armazenar Chave Secreta. A Chave Secreta deve ser especificada no formato hexadecimal correto: 192 ou 128 bits para Triple-DES, e 64 bits para DES. Observe que um nico dgito haxa-decimal cobre 4 bits. A chave importada inserindo-se os bits no campo "Chave Secreta (hexadecimal), conforme apresentado na figura abaixo:

35

4.4

Gerando e Importando Certificados

Para usar o smart card para assinaturas digitais ou encriptao, voc precisa de um par de chaves que inclua uma chave privada e uma chave pblica. A chave pblica dever ser acessvel para comunicao entre parceiros/contatos profissionais (por exemplo) atravs de um certificado. Estes certificados podem ser gerados e administrados pela ferramenta de administrao. Em princpio, h vrias possibilidades: 1. Voc pode assinar o certificado que corresponde a uma chave pblica por voc mesmo, ou fazer um certificado requisitado, de forma que uma Autoridade Certificadora ir autenticar a chave pblica. 2. Voc atualmente tem uma chave e/ou um certificado, ento, voc pode importar os certificados, se necessrio junto com a chave correspondente.

4.4.1

Gerando Certificados com assinatura prpria e Certificado requisitado

Voc pode gerar o certificado que pertence a uma chave pblica assinando por s mesmo ou fazer um certificado requisitado, de forma que uma Autoridade Certificadora ir autenticar a chave pblica. Para este fim, voc deve selecionar a chave privada, e escolher a opo Criar Certificado Requisitar ou Criar Certificado (self signed) com Assinatura Prpria , do menu "Certificado, conforme apresentado abaixo:

Funo Criar Certificado Requisitar:

36

Funo Criar Certificado (self signed) com Assinatura Prpria

Para gerar um Pedido de Certificado (Autoridade Certificadora) ser requisitado que voc entre com os dados nos campos correspondentes. No caso de um Pedido de Certificado, voc deve criar um arquivo a ser enviado para a AC (Autoridade Certificadora), que dever assinar o certificado. Ento, voc armazenar o pedido como um arquivo .P10 em um diretrio, e dever seguir as instrues da Autoridade correspondente para obter o pretendido certificado assinado. Uma vez que o certificado for retornado do emissor, voc tem que importar o certificado, escolhendo a opo "Importar Certificado. Nota: H uma explanao dos atributos de certificado e como empregar as chaves no Apndice deste manual.
37

38

4.4.2

Importao de Certificados

Caso voc possua seu(s) prprio(s) certificado(s), que voc tenciona empregar, voc pode import-los atravs do menu "Certificado" atravs do item "Importar Certificado". Certificados, que pertencem h par de chaves, so diretamente atribudos para o "Container" associado depois da importao. Certificados sem chaves como, por exemplo, certificados de AC, so atribudos para a pasta Certificados.

4.5

Criando Perfis

Se voc quiser usar um smart card, deve haver um perfil neste smart card. Em um primeiro passo, voc deve configurar o perfil neste smart card. Click sobre o menu Gerenciador - Criar Perfil de Carto" para criar o perfil. Esta verso permite apenas a criao de um novo perfil para cartes no inicializados ou cartes que possuam o PUK bloqueado.

39

40

4.6

Preparando um Carto (Inicializao e Personalizao)

Para que um usurio possa empregar o seu smart card, o carto deve estar preparado, ex. o smart card deve ser inicializado e deve ser personalizado. Em um primeiro passo voc tem que criar um perfil no smart card e em segundo passo, criar/configurar chaves e certificados no smart card.

4.6.1

Primeiro Passo: Criando um Perfil (Inicializao)

Como um primeiro passo, voc deve criar/configurar um perfil em um smart card vazio. Voc deve proceder como descrito na seo Criando Perfis.

4.6.2

Segundo Passo: Criando Chaves e Certificados (Personalizao)

Como um segundo passo, voc deve criar uma chave de usurio e um certificado no smart card. Voc tem a possibilidade para gerar chaves e certificados ou import-los. Para este propsito, voc tem uma descrio na seo Gerando e Importando Chaves" e na Gerao na seo Gerando e Importando Certificados".

41

4.7
4.7.1

Funes adicionais
Diretrio Certificados

O Diretrio "Certificados" apresenta todos os certificados que no correspondem diretamente a um determinado par de chaves. Estes so os certificados intermedirios que tm que ser importados para dentro deste diretrio. Para esta finalidade, selecione a opo "Importar Certificado", no menu "Certificado", ou escolha o menu contexto, usando o boto direito do mouse.

Um smart card o ambiente mais seguro para a chave privada. Alm disso, o smart card necessario para aplicaes com pelo menos logins ou autenticaes dirias. Assim, o carto deve estar com voc ou frequentemente (sempre) ao redor. Assim, faz sentido armazenar dados sensveis ou necessrios nesta mdia, ex. Um arquivo de texto com seus PINS. Para criar dados selecione o item Criar Dados dentro do menu Editar, ento, uma janela adicional ser mostrada para voc, onde voc pode criar seus dados.

4.7.2

Diretrio Dados

42

Voc somente ter a possibilidade para acessar os dados atuais, se o devido login for efetuado no smart card. Os dados existentes podem ser apagados, atualizados ou exportados atravs do Menu Editar.

4.7.3

Funo "Abrir Carto"

A funo "Abrir Carto" do menu "Gerenciador", transfere dados do smart card para a interface do usurio. Isto recomendado, se voc trabalha com smart cards ou leitores de carto diferentes.

43

4.7.4

Funo "Apagar Tudo" e "Apagar Objeto"

Voc pode apagar todos os objetos, como chaves e certificados, com a funo "Apagar tudo" do menu "Editar. A funo "Apagar Objeto" lhe d a possibilidade para remover objetos, chaves e certificados.

Voc tambm obtm esta segunda funo no menu de contexto (boto direito do mouse) selecionando o objeto que voc deseja apagar. Para tanto, click com o boto direito do mouse e selecione o item "Apagar Objeto". Abaixo, processo utilizado para apagar um Container.

44

4.7.5

Funo Configure Container (recipiente) Padro

A funo "Definir Container Padro" do menu "Editar relevante para voc, somente se voc usa um smart card para login em um domnio Windows-2000 via CSP. Se voc no escolheu um container como padro, o Windows ir assumir a primeira chave da lista para o login em um domnio Windows-2000 via CSP. Se voc escolheu um container como padro, ele ser mostrado em negrito na rea interface da ferramenta de administrao, conforme figura abaixo:

4.7.6

Funo "Trocando Label do Container

Atravs do menu Editar - Troque a etiqueta do Container, voc pode renomear a etiqueta do Container, conforme apresentado na figura abaixo:

45

4.7.7

Funo "Mostrar Certificado"

Se voc quiser exibir um certificado, use a funo "Apresentar Certificado" do menu "Certificado". Voc obtm esta funo sobre o menu de contexto tambm: selecionando o certificado que voc quer mostrar, click com o boto direito do mouse e escolha o item "Apresentar Certificado". Ento voc obtm a informao contida no certificado:

4.7.8

Funo "Exportar Certificado"

Se voc quiser empregar um certificado para outras aplicaes, voc pode export-lo do smart card com a funo "Exportar Certificado" do menu "Certificado". Voc tambm pode obter esta funo atravs do
46

menu de contexto: selecione o certificado que voc deseja exportar, click com o boto direito do mouse e selecione o item "Exportar Certificado.

4.7.9

Funo "Registrar Certificado"

A funo "Registrar Certificado" do menu "Certificado" instala o certificado, que voc quer registrar para disponibiliz-lo para aplicaes Windows (como Internet Explorer ou Outlook Express). Voc tambm pode obter esta funo sobre o menu de contexto: selecionando o certificado, que voc quer registrar, e com o boto direito do mouse, selecione o item "Registrar Certificado". Adicionalmente, voc pode efetuar as configuraes que devem ser aplicadas no registro do certificado usando a Ferramenta de Registro. Leia o Capitulo Ferramenta de Registro.

47

4.7.10 Funo "Verifique Chave Privada"

Com esta funo, voc pode testar chaves geradas, ex. para assinar e descriptografar. Primeiro voc deve estar logado, ento, selecione a chave privada que voc quer testar e escolha a funo Verifique Chave Privada do menu Editar. Para testar a chave de desencriptao, digite um texto (qualquer) no campo Texto pleno e click no boto Inicio. Se o texto desencriptado o mesmo que o escrito no campo Texto pleno, a chave de desencriptao est trabalhando corretamente.

48

Para testar a chave de assinatura, voc pode escolher o algoritmo hash. Se o resultado verdadeiro, a chave de assinatura trabalha corretamente.

4.7.11 Funo "Verificar Chave Secreta"

Com esta funo, voc pode testar as chaves geradas para encriptao. Primeiro voc deve estar logado, ento, selecione a chave privada que voc quer testar e escolha a funo Verifique Chave Secreta do menu Editar. Voc pode escolher o modo de criptografia a ser utilizado para testar a chave. As diferentes verses so o Cipher Block Chaining (CBC) e o Electronic CodeBook (ECB). E voc pode escolher ISO ou PKCS5 como base (Padding). Para testar a chave de encriptao, digite um texto (qualquer) no campo Texto pleno e click no boto Inicio. Se voc sabe o vetor hexadecimal, voc pode inser-lo, seno o mesmo ser preenchido com zeros (padro). Se o texto desencriptado o mesmo que o escrito no campo Texto pleno , a chave de encriptao est trabalhando corretamente.

49

4.8

Menu Sobre

Para informao sobre a verso da Ferramenta de Registro e do fabricante deste middleware charismathics gmbh, selecione a opo "Sobre (About)" no pop-up menu:

50

4.9

Menu Sair

Com Sair no pop-up menu voc pode terminar a execuo da Ferramenta de Registro.

51

5 Charismathics Extension Tool

A Charismathics Extension Tool (Ferramenta de extenso Charismathics) pode ser usada para associar o sistema operacional do carto com novas ATRs, sem uma associao vlida. A operao correta do smart card, no pode ser garantida.

Siga estas etapas para fazer uma nova associao ATR / OS (SO) do carto: Introduza o smart card no leitor 1. A ATR do carto indicada no campo superior a. Se um OS est associado com a ATR, o campo OS bloqueado, e no pode ser mudado enquanto o smart card estiver no leitor. b. Se nenhum OS est associado com o ATR, selecione o OS correto, ou... to perto quanto possvel. 2. Clique no boto SALVAR para armazenar a informao Se o sistema operacional atual no carto for desconhecido ou no disponvel, selecione um que combine o OS mais proximo. Por exemplo, selecione a entrada genrica do SO "JCOP", se o nmero de verso exato de JCOP xx no for conhecido.

52

6 CSP da Charismathics Smart Security Interface

O sistema operacional Windows suporta funcionalidades criptogrficas como encriptar e assinatura digital pelo denominado Crypto-API. Alm disso, CSPs (Provedores de Servio Criptogrficos) habilitam programas para suportar smart cards. Durante a instalao da Charismathics Smart Security Interface Charismathics Smart Security Interface - CSP (abrev. cmCSP) ser adicionada. A cmCSP ativa certos programas e funcionalidades presentes no Sistema Operacional Windows, como Outlook Express, Internet Explorer, Network Login e VPN-login para usar Smart Cards, USB Tokens e TPMs. Eles sero explicados seguir. Nota: Aqui, voc no achar uma descrio de como configurar seu ambiente Microsoft para o uso de smart cards ou Tokens USB. Por favor, consulte os Arquivos de Ajuda para Outlook Express e o Internet Explorer. Para configurar o Network Login e o VPN-login para smart cards, consulte a documentao do Windows 2000 Server. Se voc precisar de ajuda para implementao ou realizao de trabalhos com nossa tecnologia, o time da charismathics pode ajud-lo. Sinta-se livre para contactar a Charismathics.

6.1

Procedimentos Gerais

Se voc quiser usar um produto Microsoft em conexo com CSP pela primeira vez, em um certo computador, voc deve registrar o certificado que voc quer usar. Por favor, leia o Capitulo Ferramente de Registro ou a funo Registrar Certificado se voc deseja saber mais como registrar seu prprio certificado. O smart card deve conter chaves e certificados. H vrias diferentes possibilidades para obt-los. Gerao de Par de Chaves e certificado correspondente, diretamente no smart card com as funes para os browsers padro, como Internet Explorer ou Netscape. Alm disto, o Carto acessado atravs dos mdulos da Charismathics Smart Security Interface, ex. correspondentemente em cmCSP ou cmP11. Importar as Chaves e Certificados existentes, diretamente no smart card, que foram gerados por outras Autoridades Certificadoras ou Centros de Confiana. Gerao do Par de Chaves e correspondente Certificado auto-assinado, diretamente no smart card, pela Ferramenta Administradora Charismathics Security Token Configurator. Por favor, observe que o emprego de certificados auto-assinados faz sentido somente em ambientes sem PKI ou para testes.

Nota: Se voc pedir um certificado de um Centro de Confiana, possvel que lhe seja requisitado a escolher um mdulo (dispositivo) de segurana, ex. Token. Neste caso, escolha o Perfil Corporativo, cmCSP ou cmP11. Alm disso, seu smart card deve ser inserido no leitor de carto, de forma que certificados possam ser escritos (armazenados) no smart card. Os programas devem ser configurados, de forma que eles possam trabalhar com suas chaves e certificados. Alguns programas requisitam Certificados Raz, para serem instalados em determinados diretrios, outros requisitam o registro do certificado. Nos captulos seguintes, somente as caractersticas especiais da aplicao correspondente sero explicadas.

6.2

Smart Card Login para um Domnio Windows 2000

A seguir, um breve esboo das etapas envolvidas na configurao do login do smart card ou token USB.
53

Configurao de ADS. Por favor, observe a configurao correta do servidor-DNS. Instalao do Enterprise CA e pelo menos as templates "Enrollment Agent", "Smartcard Logon" e Smartcard User". Ento, um Enrollment-Agent-Certificate deve ser gerado e registrado no computador, onde os smart cards devem ser personalizados. Depois disto, os smart cards para usurios talvez sejam emitidos atravs da Enrollment Station.

6.3

SSL- Autenticao com Smart Card no Internet Explorer

Para usar o(s) certificado(s) armazenado(s) no Carto para conexes SSL, o certificado deve ter sido registado com a Windows Certificate Store. Isto pode ser feito atravs da Ferramenta Administradora Charismathics Security Token Configurator. Para maiores detalhes, acesse o Capitulo Ferramenta de Registro ou a funo "Registrar Certificado".

6.4

Outlook Express com Assinatura Eletrnica e Encriptao via Smart Card

Assinar e Encriptar eletrnicamente, requer o certificado para ser registrado da mesma forma como para conexes SSL. Uma vez que isto feito, o certificado desejado para assinar e encriptar pode ser escolhido atravs de "Ferramentas Clientes email Preferncias - Segurana" ou "Tools Accounts E-Mail Preferences Security". Normalmente, encontram-se pull down menus nas janelas de email do windows, que voc talvez possa fazer uso para click encription (clicar & encriptar) e/ou signing an email (Assinar digitalmente o email) para uso das security functionalities (funcionalidades de segurana). A verificao de e-mails recebidos, assinados digitalmente, usam por instncia o smbolo vermeho (sinete" vermelho) no canto direito da janela do email. Para que o Outlook Express reconhea automaticamente a chave correta, respectivos certificados, os certificados devem ser colocados no livro de endereo, ex. O(s) certificado(s) deve(m) ser importado(s) para dentro das "Digital IDs" (Identidades Digitais): ex. Selecione o nome dentro do livro de endereos e escolha a tab (aba) "Digital IDs" (Identidades Digitais) no menu de contexto. Nesta tab (aba) voc pode importar o certificado para este contato.

6.5

Windows VPN-Login com Smart Card

Voc deve gerar chaves e certificados com Microsoft Enterprise-CA. Alm disso, voc deve registrar o certificado com a Ferramenta de Administrao da Charismathics Smart Security Interface. Para mais informaes, acesse o Capitulo Ferramenta de Registro ou a funo "Registrar Certificado".

54

7 PKCS#11 - Mdulo da Charismathics Smart Security Interface

O uso de software que suportam PKCS#11, ativado pela Ferramenta Administradora Charismathics Security Token Configurator PKCS#11 (abreviado cmP11). A questo de aplicaes e funcionalidades com tokens, como Network Login, SSL, email security (email com segurana) no Netscape e outros produtos, so explicados brevemente. Nota: Aqui no h nenhuma descrio de como configurar cada ambiente para para utilizar o cmP11. Se sua aplicao no coberta aqui, por favor, consulte a documentao que vem com a aplicao. Importante: cmP11 uma DLL com o nome "cmP11.dll e instalada no diretrio de sistema, usualmente este C:\Windows\system32. Observao: Apesar de medidas rgidas para a qualidade de mdulos de PKCS#11 por diferentes fabricantes, charismathics gmbh no pode garantir a compatibilidade de cada Mdulo de PKCS#11 com cada fabricante estrangeiro.

7.1

Metodologia Geral

A seguir, algumas notas gerais para o uso de cmP11. Pr-condio geral, a instalao de cmP11. Isto ser instalado automaticamente pela Charismathics Smart Security Interface. H vrias possibilidades diferentes para obter certificados, que so descritos na seo Procedimentos Gerais. Alternativamente, possivel instalar o mdulo manualmente, com a ajuda do arquivo "registerPKCS11.html" e desinstalar com a ajuda do arquivo "unregisterPKCS11.html". Ambos arquivos esto localizados no diretrio da instalao do CSSI. O diretrio (default) : c:\programm files\charismathics\smart security interface xx\ Nos seguintes captulos, somente as caractersticas especiais da respectiva aplicao, sero explicadas.

7.2

Smart Card Login para o Novell eDirectory

Aqui voc deve ter um conhecimento muito bom na administrao de servidores Novell. Para realizar um login em um smart card ou token USB para um eDirectory, voc explicitamente precisa do produto NMAS e o correspondente Universal Smartcard Login Method.

7.3

SSL- Autenticao com Smart card no Netscape

As notas para a configurao do Netscape, so apresentadas pelo exemplo de verso 7. Exemplo: Netscape 7.01

55

Voc pode chamar "Gerenciar Dispositivos de Segurana no Netscape 7.01 atravs do menu "Edit""Preferences""Privacy & Security""Certificates". A partir daqui, voc pode carregar o cmP11, de forma que aplicaes com SSL e e-mails podero ser usadas com smart cards/tokens: Alm disso, voc pode chamar o Gerenciador de Certificados do Netscape na mesma aba, clicando "Manage Certificates...".

7.4

Segurana de e-mail atravs de Cartes Inteligentes com o Netscapes Messenger

As notas para o uso do Netscape para gerenciar certificados e mdulos esto disponveis no exemplo da verso 7 na seo prvia. Normalmente, h pull-down menus, nas janelas de e-mail, onde voc pode marcar se um e-mail deve ser encriptado e/ou assinado. Funes para verificao de e-mails assinados recebidos, e desencriptao, esto disponveis tambm.

56

8 Referncias
[PKCS#5] [PKCS#11]

http://www.rsasecurity.com/rsalabs/pkcs/index.html http://www.rsasecurity.com/rsalabs/pkcs/index.html

[MS_CA] Como fazer para: Configurar uma Certificate Authority (Autoridade Certificadora) para emitir Smart Card Certificates no Windows 2000: http://support.microsoft.com/default.aspx?scid=kb;en-

us;Q313274&sd=tech
Diretrizes por Habilitar Smart Card Logon com Third-Party Certification Authorities (Autoridade Certificadora Externa): http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281245 [MS_SC] Windows 2000 Server Documentao, Smart card Administrao:

http://www.microsoft.com/windows2000/en/server/help/default.asp?url=/windows2000/en/server/he lp/sag_SC_admin.htm

57

Apndice A: Referncia para Desenvolvedores

Neste apndice, h uma especificao detalhada relativa s funes suportadas do standard PKCS#11. uma sinopse de funes particulares, e uma lista de objetos e mecanismos. Estas informaes so teis e necessrias para programadores, que querem desenvolver suas prprias aplicaes suportando o cmP11.

Funes de acordo com o Padro PKCS#11

A seguir, h trs listas de funes de acordo com o Padro PKCS#11. As listas so : funes suportadas, funes incompletamente suportadas, e, funes no suportadas pela Charismathics Smart Security Interface: Funes Suportadas C_CancelFunction1 C_CloseAllSessions C_CloseSession C_CreateObject C_Decrypt C_DecryptFinal C_DecryptInit C_DecryptUpdate C_DestroyObject C_Digest C_DigestFinal C_DigestInit C_DigestUpdate C_Encrypt C_EncryptFinal C_EncryptInit C_EncryptUpdate C_Finalize C_FindObjects C_FindObjectsFinal C_FindObjectsInit C_GenerateKey C_GenerateKeyPair C_GenerateRandom C_GetAttributeValue C_GetFunctionList C_GetInfo C_GetMechanismInfo C_GetMechanismList C_GetSessionInfo C_GetSlotInfo C_GetSlotList C_InitPIN C_InitToken C_Login C_Logout C_SetAttributeValue C_SetPIN C_Sign C_SignFinal C_SignInit C_SignUpdate
1
2

Funes Suportadas de forma Incompleta C_GetObjectSize C_GetTokenInfo C_Initialize C_OpenSession C_SignRecover2 C_SignRecoverInit 3 C_WaitForSlotEvent

Funes no Suportadas C_CopyObject C_DecryptDigestUpdate C_DecryptVerifyUpdate C_DeriveKey C_DigestEncryptUpdate C_DigestKey C_GetFunctionStatus C_GetOperationState C_SeedRandom C_SetOperationState C_SignEncryptUpdate

retorna CKR_FUNCTION_NOT_PARALLEL use C_Sign 3 use C_SignInit

58

C_UnwrapKey C_Verify C_VerifyFinal C_VerifyInit C_VerifyRecover C_VerifyRecoverInit C_VerifyUpdate C_WrapKey

Sinopse das funes especficas

C_Finalize Parmetros: Descrio: pReserved (CK_VOID_PTR) Sesses sero fechadas. Slots sero fechados. Memria reservada sera liberada. pReserved ser ignorado. C_Finalize ser chamado automaticamente no final. If C_Initialize chamados n vezes em sucesso (sem C_Finalize entre), C_Finalize s sera realizada aps a ensima vez.

Informao Adicional:

C_GetObjectSize Parmetros:

hSession hObject pulSize

CK_SESSION_HANDLE CK_OBJECT_HANDLE CK_ULONG_PTR

Descrio: Informao Adicional:

O tamanho de um objeto sera retornado. O tamanho retornado o tamanho mnimo de um objeto, ou seja, no contm o tamanho extra de atributos como etiqueta (label), ou Id. O tamanho dos objetos privados corresponde ao valor padro (default).

C_GetSlotList Parmetros:

tokenPresent pSlotList pulCount

CK_BBOOL CK_SLOT_ID_PTR CK_ULONG_PTR

Descrio:

Retorna a lista dos slots identificados. Pode ocorrer que Slots instalados, mas no conectados sejam apresentados na lista. O nmero de Slots pode ser obtido passando um ponteiro nulo (Null-Pointer) em pSlotList. Se voc deseja apenas os Slots com um carto inserido defina tokenPresent como Verdadeiro.

C_GetTokenInfo Parmetros:

slotID pInfo

CK_SLOT_ID CK_TOKEN_INFO_PTR

Descrio:

Retorna se um carto est inserido em um Slot. Se o carto no est inserido, CKR_TOKEN_REMOVED sera retornado. Inserir ou remover um carto de um Slot um Evento (see C_WaitForSlotEvent). Se C_GetTokenInfo for chamado, o Evento ser finalizado, mesmo que o carto foi removido e C_GetTokenInfo CKR_TOKEN_NOT_PRESENT retornado.

Caracterstica Especial:

C_Initialize Parmetros: Descrio:

CinitArg

CK_VOID_PTR_PTR

Biblioteca ser iniciada.

59

Slots sero criados. Cartes inseridos ficaro prontos para uso. Informao Adicional: CinitArg esperado no formato CK_C_INITIALIZE_ARGS. A partir disto, as flags so escolhidas, em particular CKF_LIBRARY_CANT_CREATE_OS_THREADS que decide sobre Multi threading. O restante ignorado. Se C_Initialize chamado vrias vezes, CKR_CRYPTOKI_ALREADY_INITIALIZED retornado. O nmero levado em conta (veja C_Finalize).

C_InitToken Parmetros:

slotID pPin ulPinLen pLabel

CK_SLOT_ID CK_UTF8CHAR_PTR CK_ULONG CK_UTF8CHAR_PTR

Descrio:

Token sera inicializado. SO pin dada pelo parmetro pPin, O pin do usurio ser restabelecido para o default 11111111. O tamanho mximo do SO pin 16 digitos. Em caso de inicializao (o token est vazio): o pin do carto ser estabelecido para o mesmo valor do SO pin. Aps a inicializao do token, o pin do carto no poder ser alterado pelo PKCS#11, mas o SO pin poder ser alterado atravs da funo C_SetPIN. Em caso de re-inicializao (o token j foi inicializado): O SO PIN informado ser verificado primeiramente. Aps isto, o PIN do usurio ser restabelecido para o default 11111111, e todos objetos no token sero apagados. O SO PIN e o PIN do carto no sero alterados.

Caracterstica Especial:

C_OpenSession Parmetros:

slotID CK_SLOT_ID flags CK_FLAGS pApplication CK_VOID_PTR Notify CK_NOTIFY phSession CK_SESSION_HANDLE_PTR Abre uma nova sesso no Slot. Notifica e pApplication so ignorados e sero estabelecidos como NULL_PTR. Sesses podero ser apenas abertas, se um carto estiver inserido. Se uma sesso aberta e o carto for removido em seguida, todas sesses no Slot retornaro CKR_DEVICE_REMOVED. Se houver um erro com CKR_ DEVICE_REMOVED, CKR_TOKEN_NOT_RECOGNIZED ou CKR_TOKEN_NOT_PRESENT uma pausa automaticamente realizada neste Slot para todas sesses. Se uma pausa na sesso utilizada novamente, essa sesso ser reaberta automaticamente. Se um carto for inserido ou removido de um Slot, ento esse ser um Evento (veja C_WaitForSlotEvent). Se C_OpenSession chamado, o Evento sera finalizado, mesmo se o catrto tenha sido removido e C_OpenSession retornado CKR_TOKEN_NOT_PRESENT.

Descrio: Informao Adicional:

Caracterstica Especial:

C_WaitForSlotEvent Parmetros:

flags pSlot preserved

CK_FLAGS CK_SLOT_ID_PTR CK_VOID_PTR (= NULL_PTR)

Descrio:

flag = 0; O metodo espera at que um Slot reporte um Evento. Ento ele retorna o Slot com o Evento em pSlot.
60

flag = CKF_DONT_BLOCK O mtodo mostra o Slot com Event em pSlot. Se no h Evento, CKR_NO_EVENT sera retornado. Caracterstica Especial: Se mais Slots tem um Evento, eles sero retornados they will be returned alternadamente. Um Evento persiste at que um acesso ao carto ocorra (e.g. by C_OpenSession ou C_GetToken_Info), mesmo se um erro seja retornado ao carto.

Objetos Todos os objetos sero armazenados no carto (CKA_TOKEN = true). Sesses ou outros objetos de software no sero atendidos. O ID (CKA_ID) indica quais objetos pertencem um ao outro. CKO_CERTIFICATE (CKC_X_509) Certificado em X.509 formato

(**) No retorna erro na tentativa de escrever.

CKO_PRIVATE_KEY (CKK_RSA)

61

(*) S pode ser lido, se um certificado correspondente existir. (**) No retorna erro na tentativa de escrever. (***) No suportado.

CKO_PUBLIC_KEY (CKK_RSA)

(*) S pode ser lido, se um certificado correspondente existir. (**) No retorna erro na tentativa de escrever. (***) No suportado.
62

CKO_DATA Dados Gerais

(**) No retorna erro na tentativa de escrever.

63

Mecanismos Assinatura (RSA): Descrio: Ordem:

Dados de Assinatura C_SignInit, C_SignUpdate, C_SignFinal ou C_SignInit, C_Sign C_Sign opera como se C_SignUpdate e depois C_SignFinal fosse chamado. C_SignUpdate processa os dados imediatamente. Ordem C_SignInit, C_Sign(C_SignUpdate, C_SignFinal), C_Sign (C_SignUpdate, C_SignFinal) onde no primeiro C_Sign (resp. C_SignFinal) NULL_PTR ser passado para a assinatura e apenas o tamanho da assinatura sera retornado. A assinatura ser retornada no segundo C_Sign (resp. C_SignFinal). Se C_SignUpdate for chamado pela segunda vez, os dados devem coincidir com os dados da primeira vez. Uma terceira chamada no possivel. Para outra assinatura C_SignInit deve obrigatoriamente ser chamado primeiro.

Caracterstica Especial:

Verificao (RSA): Descrio:

Verifica a assinatura. VerifyRecover retorna apenas os dados (normalmente como um valor de hash) C_VerifyInit, C_VerifyUpdate, C_VerifyFinal ou C_VerifyInit, C_Verify ou C_VerifyRecoverInit, C_VerifyRecover C_Verify opera como if _VerifyUpdate e ento C_VerifyFinal chamado. C_VerifyUpdate armazena dados apenas temporariamente. C_VerifyRecover retorna os dados assinados. Ordem C_VerifyRecoverInit, C_VerifyRecover, C_VerifyRecover, onde em sua primeira C_VerifyRecover um NULL_PTR ser passado como dado. Ela retorna apenas o tamanho dos dados. Os dados sero retornados no segundo C_VerifyRecover. Uma terceira chamada no possvel. Para mais verificaes C_VerifyRecoverInit deve obrigatoriamente ser chamado primeiro.

Ordem:

Caracterstica Especial:

Encriptao (RSA): Descrio: Ordem:

Encripta os dados. C_EncryptInit, C_EncryptUpdate, C_EncryptFinal ou C_EncryptInit, C_Encrypt C_Encrypt opera como um C_EncryptUpdate e depois que C_EncryptFinal for chamado. C_EncryptUpdate armazena os dados temporariamente. Voc pode obter os dados finalizados com C_EncryptUpdate. Se voc no fizer isto, voc recebe com C_EncryptFinal todos os dados de uma vez. Embora os dados estejam disponveis apenas uma vez!

Caracterstica Especial:

Decriptao (RSA): Descrio: Ordem:

Decripta os dados. C_DecryptInit, C_DecryptUpdate, C_DecryptFinal ou C_DecryptInit, C_Decrypt C_Decrypt como se fosse C_DecryptUpdate e depois que C_DecryptFinal for chamado. C_DecryptUpdate armazena os dados temporariamente. Voc pode obter os dados finalizados com C_DecryptUpdate. Se voc no fizer isto, voc receber C_DecryptFinal com todos dados de uma vez. Embora os dados estejam disponveis apenas uma vez!

Caracterstica Especial:

Digest (funes hash SHA1, SHA2, MD2, MD5):

64

Descrio: Ordem:

Um valor de hash calculado a partir dos dados. C_DigestInit, C_DigestUpdate, C_DigestFinal ou C_DigestInit, C_Digest C_Digest opera como se fosse C_DigestUpdate e depois que C_DigestFinal for chamado. C_DigestUpdate processa os dados imediatamente.

65

Apndice B: Funes no-padro para a DLL PKCS#11

Duas funes no-padro para a inicializao do token so acrescentadas biblioteca PKCS#11 cmP11.

CK_RV EraseProfile

slotID

CK_SLOT_ID /* ID do token no Slot */ pCardPIN CK_BYTE_PTR /* Valor do PIN do carto */ ulCardPINLen CK_ULONG /* tamanho do valor do PIN do carto */ Apaga o perfil existente em um token. Para apagar o perfil, o PIN do carto deve ser verificado.

Descrio:

CK_RV CreateProfile

slotID

CK_SLOT_ID /* ID do token no Slot */ pProfile CK_UTF8CHAR_PTR /* nome do perfil, finalizado com null */ pSerNum CK_BYTE_PTR /* nmero serial */ ulSerNumLen CK_ULONG /* tamanho do nmero serial */ pCardPin CK_BYTE_PTR /* valor do PIN do carto */ ulCardPINLen CK_ULONG /* tamanho do valor do PIN do carto */ pSOPIN CK_BYTE_PTR /* valor do SO PIN */ ulSOPINLen, CK_ULONG /* tamanho do valor do SO PIN */ pUserPIN CK_BYTE_PTR /* valor do PIN do usurio */ ulUserPINLen CK_ULONG /* tamanho do valor do PIN do usurio */ pLabel CK_UTF8CHAR_PTR /* 32-byte etiqueta do token (preenchimento em branco) */ ulUserPINRetry CK_ULONG /* retorna contador do PIN do usurio */ Criar um perfil. Os nomes de perfil disponiveis so CORPORATE, PKCS15, CNS e FINEID. Usualmente, o token deve obrigatoriamente estar vazio ou o perfil anterior dever ser apagado antes que um novo perfil seja escrito no token. Nem todos perfis so suportados por todos smartcards. CardOS V4.x suporta: CORPORATE, PKCS15,CNS CardOS M4.0(a) suporta: CORPORATE JavaCards suporta: CORPORATE, PKCS15, FINEID ACOS suporta: CORPORATE.

Descrio:

Observao:

66

Apndice C: Informaes de LOG

Informaes de LOG servem para encontrar e corrigir erros, mas impactam a performance do sistema. Geralmente, o LOG deve estar desabilitado. O LOG deve ser apenas utilizado por usurios experientes ou quando solicitado. O arquivo de LOG segue o seguinte formato: Cada entrada contm o nome da funo, os parmetros antes e depois da chamada da funo e o resultado da funo. Informaes privadas so ocultas pela string esttica [------------------------------------ ], assim apenas o comprimento legvel. Alm do LOG do sistema, durante a instalao gerado um arquivo de LOG em formato txt no diretrio c:\ charismathics\Log_ddmmaa.txt (Verso Windows) e \\root\charismathics\ log_instalacaoddmmaa_hhmm.log (Verso Linux), contendo registro de sucesso ou falha na instalao, relatando informaes relativas s causas da impossibilidade de instalao do arquivo.

67

Apndice D: Arquivos de Convenincia

Para habilitar o LOG com as configuraes padro, arquivos .reg podem ser encontrados no diretrio de instalao <program files>\Charismathics\smart security interface x.zz\ CSSI_Param.reg contm parmetros de LOG para PKCS#11 e para CSP CSSI_TSS.reg contm parmetros de LOG para TSS/TPM

68

Apndice E: Configuraes de Registro

O LOG controlado pelas entradas de registro armazenadas em
[HKEY_LOCAL_MACHINE\SOFTWARE\charismathics\smart security interface] "LogFile_mode"=dword:00000001

Utilize 1 para habilitar o LOG, 0 para desabilit-lo

"PKCS11_LogFile_name"="c:\\temp\\cmP11.log" "CSP_LogFile_name"="c:\\temp\\cmCSP.log" "TSP_LogFile_name"="c:\\temp\\cmTSP.log" "TCS_LogFile_name"="c:\\temp\\cmTCS.log"

Selecione um arquivo de LOG e um diretrio. Utilize apenas nomes absolutos para o caminho. Lembre de manter a barra ao contrrio \ dobrada.

69

Apndice F: Atributos de Certificado (Uso Chave)

Uma breve explanao das opes, a seguir: 1. Assinatura Digital: O certificado pode ser usado para o autenticao e assinatura digital 2. Admitido para Documentos: O certificado verifica assinaturas, que verificam a responsabilidade e a obrigatoriedade dos documentos (exceto assinaturas de certificados e CRLs da Autoridade Certificadora. 3. Encriptao de Chaves : Encriptao das chaves com a finalidade de sua transmisso. 4. Encriptao de Dados : Encriptao dos dados com a finalidade da transmisso, mas no as chaves. 5. Trocando Chaves: Uso da chave para concordar com outras chaves, por exemplo: uma chave Diffie-Hellman. 6. Somente Encriptar: Esta opo mutuamente exclusiva com todas as outras opes. 7. Somente Desencriptar: Esta opo mutuamente exclusiva com todas as outras opes.

70

Apndice G: Configurando o Firefox para utilizar a biblioteca Charismathics PKCS#11

1. Abra o Firefox.

2. V para Ferramentas Opes.

3. Selecione Avanado Aba Criptografia clique em Dispositivos de Segurana.

4. Clique Localize

em Carregar. e selecione cmP11.dll (normalmente localizada no diretrio System32 do Windows) para configurar o mdulo PKCS#11 no Ambiente Windows.
71

Para o Ambiente Linux, selecione libcmp11.so, encontrada no diretrio de instalao da aplicao (verificar captulo Instalao no Ambiente Linux). Quando carregar a PKCS11 no Firefox / Thunderbird, no insira nenhum caracter especial no campo Nome do modulo (Module Name).

5. Clique em Abrir.

72

6. Uma mensagem de confirmao ser apresentada, clique OK.

7. Uma mensagem de alerta Uma nova segurana foi instalada ser exibida, clique OK.

73