Académique Documents
Professionnel Documents
Culture Documents
Verso 2.57
As informaes contidas neste manual esto sujeitas a alteraes sem aviso prvio e no representam um compromisso por parte de PRONOVA CONSULTORIA EM TECNOLOGIA DA INFORMAO LTDA. Nenhuma parte deste manual poder ser reproduzida de qualquer forma ou meio, eletrnico ou mecnico, incluindo fotocpia, gravao ou sistemas de armazenamento e recuperao, sem o prvio consentimento, por escrito, de PRONOVA CONSULTORIA EM TECNOLOGIA DA INFORMAO LTDA. Windows marca registrada da Microsoft Corporation Pentium marca registrada da Intel Corporation ePassNG marca registrada da Feitian Technologies Inc., Ltd. ROCKEY marca registrada da Feitian Technologies Inc., Ltd. AMD marca registrada da Advanced Micro Devices Protoken marca registrada da Pronova Solues Inteligentes
Pronova Consultoria em Tecnologia da Informao Ltda. & Feitian Technologies Co., Ltd.
Todos os produtos da FEITIAN Technologies Co., Ltd. (FEITIAN) e Pronova Solues Inteligentes (PRONOVA) incluindo, sem limitar-se a, cpias de avaliao, disquetes, CD-ROMs, hardware, software e documentao, e todos os futuros pedidos, esto sujeitos aos termos desta Licena. Se voc no est de acordo com os termos aqui expostos, por favor, proceda a devoluo do pacote completo e dentro do prazo de quinze dias teis e reembolsaremos o custo do produto, exceto o frete e os encargos administrativos. Ao utilizar o produto voc declara conhecer e aceitar os termos e condies do presente, que se formalizar em um contrato de Licena entre voc e a FEITIAN, que tambm ter alcance aos distribuidores, revendas ou representantes da FEITIAN e da PRONOVA, com o alcance aqui convencionado. 1. Uso Permitido Voc pode fundir, relacionar e/ou fazer link do Software com outros programas
com o nico propsito de proteger esses programas de acordo com o uso descrito no Guia do Desenvolvedor que est junto com o produto, ou que pode ser encontrado no site web da FEITIAN (www.ftsafe.com) ou da PRONOVA (www.pronova.com.br). Voc pode realizar cpias do Software com o fim de utiliz-las como cpias de segurana ou backup. 2. Uso proibido O Software ou o hardware fornecido pela FEITIAN/PRONOVA ou qualquer outra
parte do Produto no pode ser reproduzida, copiada, reinventada, desasemblada, descompilada, revisada, melhorada e modificada de qualquer forma, exceto como especificamente se permite no presente. Voc no pode praticar engenharia reversa ao Software ou qualquer parte do produto, ou tentar descobrir o cdigo fonte do Software. Voc no pode usar o meio tico ou magntico includo com o produto com o propsito de transferir ou guardar dados que no fazem parte original de Produto, ou uma melhora ou atualizao de Produto fornecida pela FEITIAN ou pela PRONOVA.
Os dispositivos criptogrficos (tokens e cartes) e leitores de carto inteligente vendidos pela PRONOVA tem garantia contra defeitos de fabricao pelo prazo de 90 (noventa) dias contados a partir da data de aquisio do produto PRONOVA. Os dispositivos criptogrficos (tokens e cartes) armazenam o seu Certificado Digital protegendo-o contra acessos indevidos. AS SENHAS (PIN, PUK, SENHA, FRASE SENHA OU PASSWORD) PARA ACESSO A ESSES DISPOSITIVOS SO SOMENTE DE CONHECIMENTO E RESPONSABILIDADE DO TITULAR OU RESPONSVEL DO CERTIFICADO DIGITAL, E A PRONOVA NO MANTM CPIAS OU POSSUI MEIOS DE RECUPER-LAS. CASO O DISPOSITIVO CRIPTOGRFICO SEJA BLOQUEADO OU INUTILIZADO DEVIDO PERDA DAS SENHAS, SEU CONTEDO SER PERDIDO. A REPOSIO DESTES DISPOSITIVOS (E DE SEU CONTEDO) NO COBERTA PELA POLTICA DE GARANTIA PRONOVA. Caso o Servio de Suporte Tcnico PRONOVA constate defeito de fabricao que requeira a substituio do dispositivo criptogrfico durante o perodo de vigncia desta garantia, a PRONOVA: - Efetuar troca do dispositivo criptogrfico, sem custo adicional para o cliente; e - No emitir um novo certificado, sem custo adicional para o cliente, caso o defeito de fabricao acarrete na perda do Certificado Digital. Essa Garantia Limitada no cobrir, bem como no ser fornecido qualquer tipo de garantia para aspectos subjetivos ou estticos do Dispositivo de Hardware. A garantia expressa prevista acima constitui a nica garantia expressa concedida a Voc e fornecida em substituio a todas as outras condies e garantias, sejam expressas ou implcitas (exceto quaisquer garantias implcitas existentes que no possam ser recusadas), inclusive aquelas criadas por qualquer outra documentao ou embalagem. Qualquer informao ou sugesto (oral ou escrita) fornecida pela Pronova, por seus agentes, afiliadas ou subsidirias ou por seus funcionrios ou agentes, no criar qualquer garantia ou condio ou ampliar o escopo desta Garantia Limitada. 2. Limitao da Vigncia das Garantias Implcitas. Se Voc for um consumidor estrangeiro, tambm poder ter uma condio e/ou garantia implcita de acordo com a legislao de algumas jurisdies, a qual limitada pela vigncia do presente Prazo de Garantia. B. RECURSO EXCLUSIVO. Sujeito legislao aplicvel e s disposies a seguir, e desde que Voc, durante o Prazo de Garantia, devolva o Dispositivo de Hardware Pronova, com uma cpia do recibo ou comprovante vlido de pagamento, a Pronova ir, a seu critrio: (i) reparar ou substituir o Dispositivo de Hardware; ou (ii) indeniz-Io pelos danos diretos sofridos por Voc, limitando-se a responsabilidade ao valor efetivamente pago por Voc pelo Dispositivo de Hardware.
Atestado de Conformidade EC
O Token USB ePass2000 obedece ao principal requerimento de proteo da Diretiva EMC (Diretiva 89/336/EEC relativa compatibilidade eletromagntica) baseada em um teste voluntrio.
Este certificado se refere somente a um exemplo particular do produto e a documentao tcnica deste fornecida para teste e certificao. Os resultados detalhados e todos os padres usados, bem como o modo de operao esto listados em: Relatrio Teste No. Testes Realizados RBJA04010201-1&2 EN 55022:1998+A1:2000 Classe B EN 55024:1998+A1:2001
Aps a preparao da documentao tcnica necessria, bem como a declarao de conformidade CE a marca exibida acima pode ser fixado no equipamento como estipulado no Artigo 10.1 da Diretiva. Outras diretivas relevantes devem ser observadas. Certificado de Aprovao FCC O Token USB ePass2000 est em conformidade com a Parte 15 Classe B das Regras FCC e Regulamentaes para Equipamentos de Tecnologia da Informao. Relatrio nmero RBJA04010201.
Este equipamento est baseado nos padres USB. WEEE (Waste Electrical and Electronic - Descarte de Equipamentos Eltricos e Eletrnicos) A Diretiva Europia 2002/96/CE exige que o equipamento que exibe este smbolo no produto e/ou na sua embalagem no seja eliminado junto com os resduos municipais no separados. O smbolo indica que este produto deve ser eliminado separadamente dos resduos domsticos regulares. sua responsabilidade eliminar este e qualquer outro equipamento eltrico e eletrnico atravs dos postos de recolhimento designados pelas autoridades governamentais ou locais. A eliminao e reciclagem correta ajudaro a prevenir as conseqncias negativas para o ambiente e para a sade humana. Para obter informaes mais detalhadas sobre a forma de eliminar o sei equipamento antigo, entre em contato com as autoridades locais, servios de eliminao de resduos ou o estabelecimento comercial onde adquiriu o produto.
Entrust Ready
Os Tokens ePass so dispositivos criptogrficos seguros e portteis, ideais para Entrust/PKI e outras aplicaes tais como: autenticao de dois fatores, codificao de e-mail, sites seguros (SSL), logon VPN e muito mais. Foi outorgado aos Tokens ePass o status Entrust Ready com as aplicaes o Entrust Entelligence client e Entrust Authority Securtity Manager.
1. Glossrio .................................................................................................... 11 2. Lista de Acrnimos..................................................................................... 14 3. Sobre a Pronova Solues Inteligentes ..................................................... 17 4. Sobre a Feitian Technologies Inc., Ltd....................................................... 17 5. Sobre o Token USB ePass2000 ................................................................ 17 5.1 Descrio Fsica Externa do ePass2000 ................................................. 17 6. Instalando o software do Token USB ePass2000...................................... 23 6.1 Instalao nos sistemas Windows 2000, Windows XP, Windows Vista e Windows 2003................................................................................................ 23 6.2 Instalao nos sistemas Windows 98SE e Windows ME......................... 26 6.3 Instalao por linha de comando ............................................................. 27 6.4 Instalando o ePass2000 em mquinas com Linux................................... 27 6.5 Instalando o ePass2000 em mquinas com Mac OS .............................. 27 6.6 Monitor de Certificados - Configurando o Tempo de Vida do PIN atravs ....................................................................................................................... 28 6.7 Monitor de Certificados - Alterando o PIN................................................ 29 6.8 Monitor de Certificados Visualizando Detalhes do Certificado.............. 30 6.9 Monitor de Certificados Removendo um Certificado do Repositrio do Windows......................................................................................................... 30 6.10 Monitor de Certificados Devolvendo um Certificado do Repositrio do Windows......................................................................................................... 31 7.1.2 Excluindo dados gravados no Token ePass2000 ................................. 33 11. Utilizando o Mozilla Firefox para alterar o PIN do ePass2000 ................. 48 12. Importando um certificado digital para o ePass2000 a partir de um arquivo ....................................................................................................................... 50 13. Configurando o Microsoft Outlook para usar um certificado armazenado no ePass2000 ................................................................................................ 53 14. Configurando o Outlook Express para usar um certificado armazenado no ePass2000 ..................................................................................................... 55 15. Integrando o ePass2000 com o Mozilla Thunderbird............................... 61 16. Configurando sua conta de e-mail no Mozilla Thunderbird para fazer uso do certificado digital armazenado no ePass2000........................................... 62 17. Adicionando a identidade digital do remetente ao catlogo de endereos do Windows.................................................................................................... 63 18. Enviando uma mensagem criptografada usando o Outlook Express ...... 65 19. Adicionando uma identificao digital sua lista de contatos do Microsoft Outlook ........................................................................................................... 68 20. Enviar uma mensagem com uma assinatura digital para um destinatrio da Internet usando o Microsoft Outlook ......................................................... 70 21. Enviar uma mensagem criptografada para um destinatrio da Internet usando o Microsoft Outlook............................................................................ 70 22. Removendo o software do ePass2000 .................................................... 71 23. Perguntas e Respostas Comuns.............................................................. 71 24. Suporte Tcnico ....................................................................................... 74 25. Contatos ................................................................................................... 74
10
1. Glossrio
Assinatura Digital: Resultado de uma transformao criptogrfica de dados, que quando implementada apropriadamente, prov os seguintes servios de segurana: autenticao da origem, integridade de dados e no repudiao do signatrio. Atribuio de chaves (key establishment): Processo que possibilita atribuir uma chave simtrica para uso criptogrfico aos participantes legtimos de uma sesso de comunicao. A atribuio de chaves pode ser realizada por meio de duas tcnicas: Negociao de Chaves ou Transferncia de Chaves. Autoridade Certificadora (AC): Entidade idnea autorizada a emitir, renovar e cancelar certificados digitais. responsvel pela administrao das chaves pblicas. Autoridade de Registro (AR): uma entidade operacionalmente vinculada determinada Autoridade Certificadora Habilitada, responsveis pela confirmao da identidade dos solicitantes dos certificados e-CPF e e-CNPJ. Certificado Digital: Documento eletrnico assinado digitalmente por uma autoridade certificadora, e que contm diversos dados sobre o emissor e o seu titular. A funo precpua do certificado digital a de vincular uma pessoa ou uma entidade a uma chave pblica. Chave criptogrfica: Cdigo ou parmetro usado em conjunto com um algoritmo criptogrfico, determinando as seguintes operaes: Transformao de dados em texto claro para um formato cifrado e vice-versa; Assinatura digital computada a partir de dados; Verificao de uma assinatura digital computada a partir de dados; Gerao de um cdigo de autenticao computado a partir de dados; ou Um acordo para troca de um segredo compartilhado.
Chave Criptogrfica em texto claro: representa uma chave criptogrfica no cifrada. Chave secreta: Chave criptogrfica, usada com um algoritmo criptogrfico de chave secreta, que est unicamente associada a uma ou mais entidades e no deveria tornarse pblica. Cdigo de Autenticao: corresponde a um verificador de integridade criptogrfico que comumente referenciado como MAC (Message Authentication Code). Co-assinatura: A co-assinatura (ou sign) aquela gerada independente das outras assinaturas. Contra-assinatura: A contra-assinatura (ou countersign) aquela realizada sobre uma assinatura j existente. Na especificao PKCS#7, a contra-assinatura adicionada na forma de um atributo no autenticado (countersignature attribute) no bloco de informaes (signerInfo) relacionado a assinatura j existente. Elemento de Dado: Corresponde a um item de informao para o qual so definidos um nome, uma descrio de contedo lgico, um formato e uma codificao [ISO/IEC 78164]. Entidade usuria externa: Um indivduo ou processo que realiza acesso a um mdulo criptogrfico independentemente do papel assumido. ePass2000: Dispositivo criptogrfico portvel integrado com smart card e porta USB, o qual foi desenvolvido pela Feitian. Uma das vantagens deste dispositivo sobre os cartes inteligentes a portabilidade, bem como suporte a aplicaes PKI. ePassNG: Nova gerao de produto (middleware framework) desenvolvido pela Feitian.
11
Este novo middleware suporta todas as sries dos produtos ePass. Fcil de ser atualizado com novo suporte de hardware, bem como suporte a aplicaes PKI. FIPS (Federal Information Processing Standards): correspondem a padres e diretrizes desenvolvidos e publicados pelo NIST (National Institute of Standards and Technology) para uso de sistemas computacionais no mbito governamental federal norte-americano. O NIST desenvolve os padres e diretrizes FIPS, quando h requisitos obrigatrios do governo federal, tais como, segurana e interoperabilidade, e no h padres ou solues industriais aceitveis. Firmware: Programas e componentes de dados de um mdulo que esto armazenados em hardware (ROM, PROM, EPROM, EEPROM ou FLASH, por exemplo) e no podem ser dinamicamente escritos ou modificados durante a execuo. Fronteira criptogrfica (cryptographic boundary): A fronteira criptogrfica um permetro explicitamente definido que estabelece os limites fsicos de um mdulo criptogrfico. Hardware: Parte ou equipamento fsico usado para processar programas e dados. ICP-Brasil: conjunto de tcnicas, prticas e procedimentos, a ser implementado pelas organizaes governamentais e privadas brasileiras com o objetivo de garantir a autenticidade, a integridade e a validade jurdica de documentos em forma eletrnica, das aplicaes de suporte e das aplicaes habilitadas que utilizem certificados digitais, bem como a realizao de transaes eletrnicas seguras. Identificador de Registro: Valor associado a um registro que pode ser usado para referenciar aquele registro. Diversos registros poderiam ter o mesmo identificador dentro de um EF [ISO/IEC 7816-4]. Integridade: propriedade que determina que dados no devem ser modificados ou apagados de uma maneira no autorizada e indetectvel. Interface: representa um ponto lgico de entrada e sada de dados, que prov acesso aos servios disponveis pelos mdulos criptogrficos. Interface CryptoAPI: Interface de operao de criptografia desenvolvida pela Microsoft. Esta interface oferece ao dispositivo idenpendncia ou implementao de encapsulamento de algoritmos criptogrficos, permitindo aos desenvolvedores uma fcil utilizao destes algoritmos em suas aplicaes PKI, incluindo criptografia de dados, verificao de certificados e assinatura digital na plataforma Windows. ITI: autarquia federal vinculada Casa Civil da Presidncia da Repblica. O ITI a Autoridade Certificadora Raiz - AC Raiz da Infra-Estrutura de Chaves Pblicas Brasileira - ICP-Brasil. Como tal a primeira autoridade da cadeia de certificao, executora das Polticas de Certificados e normas tcnicas e operacionais aprovadas pelo Comit Gestor da ICP-Brasil. Middleware: Software que usado amarrar uma aplicao. Mdulo criptogrfico (cryptographic module): Conjunto de hardware, software e/ou firmaware que implementa funes ou processos criptogrficos, abrangendo algoritmos criptogrficos e de gerao de chaves. Mdulo criptogrfico de chip nico (Single-chip Cryptographic Module): representa uma materializao fsica na qual um chip nico de circuito integrado (Integrated Circuit Chip - ICC) poderia ser usado como dispositivo independente (standalone), ou poderia estar embutido/confinado dentro de um produto (material de rea delimitada), que est ou no fisicamente protegido. Por exemplo, mdulos criptogrficos de chip nico incluem os cartes inteligentes (Smart Cards).
12
Negociao de chaves (key agreement): Protocolo que possibilita atribuir uma chave simtrica aos participantes legtimos em funo de valores secretos definidos por cada um dos participantes, de forma que nenhum dos participantes possa predeterminar o valor da chave. Neste mtodo, a chave no transferida, nem mesmo de forma cifrada. Exemplo clssico desta classe de protocolo o algoritmo Diffie-Hellman. Nmero de Identificao Pessoal (Personal Identification Number - PIN): um cdigo alfanumrico ou senha usada para autenticar uma identidade. Nmero de Registro: Nmero seqencial atribudo a cada registro, que serve para identificar unicamente o registro dentro de seu EF [ISO/IEC 7816-4]. Oficial de segurana: uma entidade ou processo que age como tal, realizando funes criptogrficas de iniciao ou gerenciamento. Parmetros crticos de segurana (PCS): Representam informaes sensveis e relacionadas a segurana, tais como, chaves criptogrficas privadas, chaves simtricas de carter secreto, chaves de sesso e dados de autenticao (senhas e PIN, por exemplo), cuja divulgao ou modificao podem comprometer a segurana de um mdulo criptogrfico. PC/SC: especificao para integrao de cartes inteligentes (smart card) em sistemas de computao PKCS#11: padro utilizado como interface para invocar operaes criptogrficas em hardware e utilizado para prover suporte aos tokens. Registro: Cadeia (string) de bytes que pode ser manuseada como um todo pelo carto inteligente e referenciada por um nmero de registro ou por um identificador de registro [ISO/IEC 7816-4]. Senha: uma cadeia de caracteres (letras, nmeros e outros smbolos) usada para autenticar uma identidade ou para verificar autorizaes de acesso. Software: Programas e componentes de dados usualmente armazenados em mdias que podem ser apagadas (disco rgido, por exemplo), os quais podem ser dinamicamente escritos e modificados durante a execuo. Token: Nome geral de todos os dispositivos criptogrficos, tais como cartes inteligentes (smart cards), dispositivos que possuem senhas e funcionalidades de armazenamento de certificados etc. Token USB: Dispositivo criptogrfico com conector USB, portvel e de fcil uso. TSP (Token Service Provider): Camada de hardware abstrata presente no framework ePassNG. Esta camada interfaces comuns de entrada e sada para todos os tipos de dispositivos. O design pode prover uma determinada expanso contra as diferenas de hardware. Transporte de chaves (key transport): Protocolo que possibilita que uma chave simtrica seja transferida aos participantes legtimos da entidade geradora para parceiros. Neste mtodo, a chave definida por uma das entidades e repassada para as demais. Unidade de Dado: O menor conjunto de bits que pode ser referenciado de forma no ambgua [ISO/IEC 7816-4]. Usurio: um indivduo ou processo que age como tal com o intuito de obter acesso a um mdulo criptogrfico para executar servios.
13
2. Lista de Acrnimos
AES Advanced Encryption Standard APDU Application Protocol Data Unit API Application Programming Interface ATR Answer To Reset CBC Cipher Block Chaining CE Consumer electronics CFCA China Financial Certificate Authority CLK Clock DES Data Encryption Standard DF Dedicated File EEPROM Electrically Erasable Programmable Read-Only Memory EF Elementary File FCC Federal Communications Commission FIPS Federal Information Processing Standards GND Ground ICC Integrated Circuit Chip ICP Infra-Estrutura de Chaves Pblicas ICP-Brasil Infra-Estrutura de Chaves Pblicas Brasileira IEC International Electrotechnical Commission IKE Internet key exchange IN Instruo Normativa
14
IPSec Internet Protocol Security I/O Input/Output ISO Internation Organization for Standardization ITL Information Technology Laboratory ITI Instituto Nacional de Tecnologia da Informao IV Initialization Vector JCE Java Cryptography Extension LCR Lista de Certificados Revogados LEA Laboratrio de Ensaios e Auditoria LSITEC Laboratrio de Sistemas Integrveis Tecnolgico MAC Message Authentication Code MAP Modular Arithmetic Processor MF Master File MSCAPI Microsoft Crypto API NIST National Institute of Standards and Technology OPSEC Operations security PC Personal Computer PCS Parmetros Crticos de Segurana PIN Personal Identification Number PPS Protocol and Parameters Selection PUK PIN Unlock Key RFU Reserved for Future Use
15
RNG Random Number Generator RSA Rivest Shamir and Adleman RST Reset SHA Secure Hash Algorithm SO Sistema Operacional SP Service Provider SSL Secure Sockets Layer TLV Tag Length Value TSP Token Service Provider TTL Time To Live USB Universal Serial Bus VPP Variable Supply Voltage
16
LED
Com exceo ao Windows XP Starter Edition, o qual, segundo a Microsoft Brasil, no possui o servio carto inteligente disponvel para instalao.
17
EPASS2000 - MANUAL DO USURIO O MAP (Modular Arithmetic Processor) e o acelerador DES foram projetados para acelerar os clculos criptogrficos usando algoritmos de chave pblica e de chaves secretas. Este produto est baseado em uma CPU de 8bits e inclui chips de memrias: ROM Usurio, RAM Usurio e EEPROM Usurio com o estado da arte em recursos de segurana. As memrias ROM, RAM e EEPROM podem ser configuradas com regras de acesso customizados. Acesso para qualquer rea de memria para outra rea est protegida por hardware firewalls. Regras de acesso so definidas pelo Usurio e podem ser selecionadas por opes de mscaras ou durante o ciclo de vida do produto. O chip inclui um acelerador DES o qual acessado via biblioteca de software do sistema criptogrfico. Assim como os demais chips criptogrficos, as interfaces seriais so plenamente compatveis com o padro ISO7816 para todas as aplicaes smart card disponveis. Em adio, chip inclui uma interface serial USB e duas interfaces (I/O) seriais ISO7816-3. Um bloco de clculo CRC tambm est disponvel e disponvel para acesso direto pelo Usurio. Por fim, este produto fabricado usando a mais confivel tecnologia CMOS EEPROM. Por fim, o chip criptogrfico do ePass2000 prov um mtodo para sobrescrever com zeros binrios os valores de todas as chaves simtricas, chaves assimtricas privadas e PCSs. Aps a concluso desta operao de sobrescrita, as chaves eliminadas no podem mais ser acessadas.
RAM
EEPROM
ROM Usurio
Acelerado r DES
MAP
BUS Interno
Mdulo CRC
Security Admin
Interface USB
RESET
Vcc
I/O
D+
D-
No ePass2000 as chaves privadas dos certificados digitais so armazenadas em uma rea de memria prpria que s pode ser acessada quando o usurio se autentica no ePass2000 com o seu PIN (Personal Identification Number). O middleware do ePass2000 ir associar automaticamente o par de chaves gerado ao certificado digital. O ePass2000 utiliza os algoritmos simtricos de criptografia DES e 3-DES (k1, k2 e k3) implementados no prprio hardware e isto garante a segurana dos pares de chaves armazenados no ePass2000 durante a execuo de clculos de criptografia. Para maiores informaes sobre a cifragem das chaves privadas no ePass2000, solicite a Pronova Solues Inteligentes o documento Hardware Description.
18
EPASS2000 - MANUAL DO USURIO A seguir os principais recursos oferecidos pelo Token USB ePass2000
Gerao no prprio dispositivo (on board) do par de chaves RSA 1024 bits; Suporte nativo para os algoritmos RSA, MD5, SHA1, DES e 3DES; Suporte aos padres Microsoft CAPI e PKCS#11; Suporte ao mecanismo de autenticao tipo challenge/response (desafio/resposta) CSP (Cryptographic Services Provider) para Windows Compatvel com Windows 2000 PC/SC; Middleware para Windows e Linux Gerao de nmeros aleatrios em hardware; Assinatura digital realizada em hardware; Suporte para mltiplas aplicaes PKI, inclusive ICP-Brasil; Suporte para mltiplos armazenamentos de chaves; Interface padro USB tipo A 1.0 compatvel com 2.0; Certificaes CE, FCC, Microsoft WHQL, CFCA, OPSEC e FIPS (para o chip criptogrfico); Chassi de plstico resistente (tamper evident); resistente a gua; Capa protetora do conector USB; Gerenciamento atravs de um PIN e de um PUK; Software de Gerenciamento do dispositivo em Portugus do Brasil.
Navegadores Suportados
Certificaes e Padres: Processador: Memria: Algoritmos On-Board: Nvel de Segurana do Chip: Dimenses: Peso: Dissipao de Energia: Temperatura de Operao: Temperatura de Armazenamento: Faixa de umidade: Conector: Chassi: Reteno de Dados de memria: Capa protetora do conector USB Nmero Serial impresso no chassi LED
**
Com exceo a edio Starter Edition, o qual, segundo a Microsoft Brasil, no possui o servio carto inteligente disponvel para instalao. A verso do driver est disponvel para 32bits e 64bits.
19
Sistema Operacional Servio Carto Inteligente Espao em disco Porta USB Direitos
20
A arquitetura do sistema consiste em cinco camadas, a saber: Hardware, Ncleo do Driver, Abstrata do Hardware, Interface de Aplicao e Aplicao.
21
EPASS2000 - MANUAL DO USURIO Camada Hardware: esta camada a infra-estrutura de toda a arquitetura. Ela contm vrios tokens incluindo seus circuitos de hardware, programas firmware e fios. Qualquer tipo de token em conformidade com o padro PC/SC pode ser suportado por esta camada de hardware, como por exemplo, o ePass1000, o ePass2000_FT11, o ePass2000_FT12, o ePass3000, o ePass3000ND e vrios outros leitores de smart card e combinaes de smart cards e tokens USB de terceiros. Seu recurso comum estar apto a ser controlado atravs do sistema de operao do Gerenciador de Recursos Smart Card. Tokens tambm podem ser dispositivos HID (Human Interface Device), como por exemplo, o ePassND (chave USB introduzida pela Feitian, a qual dispensa a instalao de driver. ND significa non-driver), flash memory USB e arquivos uniformes no disco rgido. Diferentes tipos de tokens ou mltiplos tokens do mesmo tipo podem trabalhar juntos. Camada Ncleo do Driver: esta camada responsvel pelo gerenciamento das comunicaes de dados e pedidos do acesso dos processos da camada TSP entre o computador cliente e a camada de Hardware. Para tokens do tipo PC/SC esta camada funciona como um driver de hardware, driver PC/SC e operao de sistema de Gerenciador de Recursos Smart Card. Para tokens do tipo HID, esta camada pode ser tratada como sistema de operao de drivers built-in. Camada Abstrata do Hardware: esta camada prove a interface abstrata padro para a camada Interface de Aplicao. Comunicaes entre o computador e diferentes dispositivos (incluindo token) usam a mesma interface provida por esta camada. Este projeto oculta de forma eficaz a diferena entre hardwares. A implementao de software desta camada chamada TSP (Token Service Provider). Camada Interface de Aplicao: esta camada prove as implementaes dos padres das interfaces PKCS#11 e Microsoft Crypto API para a camada superior de aplicaes PKI. Alm disso, interface de aplicao PC/SC em conformidade com o padro Microsoft PC/SC tambm oferecida. Desenvolvedores podem escrever aplicaes com seu conjunto familiar de funes PC/SC. Esta interface independente da plataforma e pode ser aplicada em todas as plataformas compatveis com ePassNG. Camada Aplicao: esta camada oferece vrias aplicaes ePassNG e outras aplicaes, pois ePassNG oferece diferentes tipos de padres de interfaces de programao; ela compatvel com a maioria das aplicaes existentes e alm disso, desenvolvedores podem usar os conjuntos de interfaces familiares para projetarem suas prprias aplicaes.
22
6. Instalando o software do Token USB ePass2000 6.1 Instalao nos sistemas Windows 2000, Windows XP, Windows Vista e Windows 2003
Para instalar o software do ePass2000, basta inserir CD-ROM fornecido, aguardar a execuo do Instalador e seguir as instrues abaixo detalhadas. Se voc no possui o CD-ROM, entre em contato com a Pronova Solues Inteligentes e solicite o instalador. Nota: se sua unidade de CD-ROM estiver com a funo execuo automtica desabilitada, certamente ser necessrio executar de forma manual o arquivo ePass2000.exe. a) Clique no boto Avanar da janela de boas vindas
23
b) Para continuar com a instalao, leia com ateno o Contrato de Licena e clique no boto Concordo.
c) Se for fazer logon em rede ou VPN usando o Token como um carto inteligente, habilite a opo Suporte para sistema de smartcard logon em rede ou VPN. Caso contrrio no habilite esta opo . Para continuar clique no boto Instalar.
Para fazer smartcard logon necessrio ter um certificado digital para esta finalidade. Ressaltamos ainda que esta funcionalidade somente suportada nos sistemas operacionais Windows 2000, XP e 2003. Com relao a VPN, para esta integrao ocorrer necessrio que o cliente de VPN da sua soluo de firewall j esteja instalado e configurado.
24
c) Aguarde que o instalador copie para a sua mquina os arquivos necessrios para utilizar o ePass2000;
d) Clique no boto Terminar para concluir a instalao do Runtime e reiniciar o seu computador, caso seja necessrio.
e) Ao final do novo boot, conecte o seu ePass2000 em uma porta USB livre e aguarde que o sistema operacional reconhea este novo hardware. Durante o processo de reconhecimento do novo hardware o LED (luz) do ePass2000 ficar piscando.
25
b) Aguarde que o instalador copie para a sua mquina os arquivos necessrios para utilizar o ePass2000, bem como o sistema operacional reconhea os novos recursos que esto sendo instalados; c) Clique no boto Terminar para concluir a instalao do Runtime e reiniciar o seu computador.
26
Com base nestas informaes, se voc desejar instalar o software do ePass2000 em modo silencioso, basta adicionar o parmetro s ao final da sintaxe de execuo.
Procedimentos Adicionais
Abrir o arquivo instpk.html com o navegador Mozilla Firefox. Este arquivo responsvel pela adio do Mdulo PKCS#11 do ePass2000 estar no diretrio Doc abaixo da raiz do diretrio criado a partir da descompactao do arquivo que ser baixado do site da PRONOVA. Adicionar a cadeia de certificados da Autoridade Certificadora que emitiu o certificado digital que est armazenado no ePass2000. Estas instrues DEVEM ser obtidas com o suporte tcnico da Autoridade Certificadora.
NOTA: o middleware do ePass2000 para Linux oferece integrao de certificados armazenados no dispositivo com o NSS (Network Security Services) no ambiente Linux Kernel 2.4 ou verses mais recentes e estveis.
EPASS2000 - MANUAL DO USURIO Descompactar o pacote de instalao copiado do CD de instalao ou baixado do site da PRONOVA; Abrir uma tela do terminal; Logar como usurio root. Normalmente usado o comando sudo su; Ir at o diretrio criado pela descompactao do arquivo; No diretrio raiz criado pela descompactao do arquivo, executar o comando ./install Ao final da instalao, reiniciar o computador; Ao final do novo boot, conectar o Token ePass2000 a uma porta USB livre;
Procedimentos Adicionais
Abrir o arquivo instpk.html com o navegador Mozilla Firefox. Este arquivo responsvel pela adio do Mdulo PKCS#11 do ePass2000 estar na raiz do diretrio criado a partir da descompactao do arquivo que ser baixado do site da PRONOVA. Adicionar a cadeia de certificados da Autoridade Certificadora que emitiu o certificado digital que est armazenado no ePass2000. Estas instrues DEVEM ser obtidas com o suporte tcnico da Autoridade Certificadora.
28
EPASS2000 - MANUAL DO USURIO Na janela Configurao do Tempo de Vida do PIN, selecione a opo Tornar o PIN do Token inativo aps e no campo a seguir digite o valor em minutos desejado. Para concluir esta operao, clique no boto OK.
Na janela Alterar PIN, digite o Atual PIN do seu ePass2000. Nos campos seguintes digite o NOVO PIN para o seu ePass2000. Para concluir esta operao, clique no boto OK. Se os dados informados estiverem corretos, voc ir visualizar a mensagem de que o PIN foi alterado com sucesso.
29
NOTA: o uso deste recurso no exclui nenhum certificado digital ou informao armazenada na memria do ePass2000.
30
NOTA: o uso deste recurso no exclui nenhum certificado digital ou informao armazenada na memria do ePass2000.
31
Autenticado
32
EPASS2000 - MANUAL DO USURIO Se voc no se autenticar, ou seja, se no clicar no boto Login e clicar diretamente em Gerenciamento de Dados, voc no ir visualizar as chaves privadas armazenadas no seu ePass2000, como ilustrado na imagem abaixo. Destacamos que quando voc no est autenticado, os nicos botes que ficaro habilitados ao clicar em um objeto exibido so Exportar e Ver
No autenticado Se voc desejar exportar a parte pblica de seu certificado digital do Token para um arquivo .CER, basta selecionar o seu certificado e em seguida clicar no boto Exportar e seguir as instrues do Gerenciador PKI do ePass2000.
33
EPASS2000 - MANUAL DO USURIO Para ter uma viso total de todos os dados, voc ter que se autenticar no ePass2000. Clique no boto Login e em seguida informe o PIN do seu ePass2000.
Uma vez autenticado, voc ser redirecionado automaticamente para a rea Gerenciamento de dados. Se voc no se autenticar e clicar diretamente em Gerenciamento de Dados, voc no ir visualizar as chaves privadas armazenadas no seu ePass2000. Para apagar um certificado digital e seu respectivo par de chaves, selecione o topo da estrutura e a seguir clique no boto Apagar
O Gerenciador ir alertar voc com relao a este procedimento. Se voc estiver certo, clique no boto Sim do contrrio, clique no boto No.
34
EPASS2000 - MANUAL DO USURIO Se desejar apagar um objeto especfico, selecione apenas este objeto e clique no boto Apagar
35
Clique no boto Alterar PIN para ter acesso a janela Alterar PIN.
Se voc estiver usando seu ePass2000 pela primeira vez, certamente ele ainda dever estar com o PIN de fbrica que 12345678 (sem as aspas). Neste caso, no campo Digite o ATUAL PIN, digite 12345678 e nos campos Digite um NOVO PIN e Confirme o NOVO PIN digite o PIN mais apropriado para voc. Por questes de segurana, recomendamos que este PIN tenha no mnimo 8 caracteres e que seja composto de letras e nmeros. Depois de preencher todos os campos clique no boto OK e aguarde que a mensagem PIN alterado com sucesso! seja exibida (imagem 8.4).
(imagem 8.4)
36
Esta funo somente ficar habilitada, aps a sua autenticao no dispositivo. Clique no boto Login e em seguida informe o PIN do seu ePass2000.
37
Uma vez autenticado no ePass2000, clique com o boto direito do mouse no slot do seu Token e em seguida selecione a opo Renomear token
Na janela Renomear token, digite o novo nome (label) para o ePass2000 e clique no boto OK.
Ao final, voc receber visualizar a mensagem de que a operao foi realizada com sucesso.
38
39
EPASS2000 - MANUAL DO USURIO Se esta for a sua primeira utilizao, no campo Digite o ATUAL PUK, digite 12345678 que o valor de fbrica do PUK. No campo Digite um NOVO PUK digite o valor que voc deseja para o seu dispositivo. Confirme este valor no campo Confirme o NOVO PUK. Para concluir esta operao, clique no boto OK e aguarde a exibio da mensagem PUK do Token alterado com sucesso (imagem 7.4):
(imagem 7.4)
ATENO: antes de iniciar este procedimento tenha absoluta certeza de que est de posse do PUK do dispositivo! Se ocorrer cinco tentativas de acesso com o PUK incorreto, o seu Token ser totalmente travado e ser necessrio re-formatar o seu ePass2000, perdendo assim todas as informaes que esto armazenadas no equipamento.
40
EPASS2000 - MANUAL DO USURIO No campo Digite o PUK do Token, digite o PUK do seu dispositivo. Nos campos Digite um NOVO PIN e Confirme o NOVO PIN digite um novo PIN para o seu ePass2000. Aps preencher todos os campos, clique no boto OK e aguarde que a mensagem PIN do Token destravado com sucesso! (imagem 8.1.4).
(imagem 8.1.4)
41
EPASS2000 - MANUAL DO USURIO Clique no boto Formatar Token para ter acesso a janela Formatar o Token (Inicializar Setor PKI).
No campo Digite o ATUAL PUK do Token digite o PUK. Nos campos Digite um NOVO PIN e Confirme o NOVO PIN, digite um novo PIN para o seu ePass2000. Se desejar que o seu dispositivo tenha um nome especfico, digite o nome desejado no campo Digite um nome para o Token. Depois de preencher todos os campos, clique no boto OK. Uma janela (imagem 9.4) informando que o processo vai apagar todas as informaes do Token ser exibida. Se voc estiver certo de que deseja apagar TODOS os dados que esto armazenados no equipamento, clique no boto Sim para continuar. Do contrrio, clique no boto No para cancelar a operao.
42
(imagem 9.4) Se voc clicou no boto Sim a mensagem Token formatado com sucesso! Todas as informaes que estavam armazenadas no Token foram apagadas ser exibida (imagem 9.5).
(imagem 9.5)
(2)
43
(4)
(5)
(6)
(7)
44
(9)
(10)
(11)
45
10. Instalando um certificado digital emitido por uma Autoridade Certificadora (AC) Microsoft no ePass2000
Este tpico foi escrito para demonstrar o suporte do ePass2000 ao padro Microsoft Crypto API, como tambm para apresentar ao usurio do ePass2000 o CSP (Cryptographic Service Provider Provedor de Solues de Criptografia), o qual requerido por autoridades certificadoras no mbito da ICP-Brasil para a solicitar e gravar o certificado digital, alm de gerar o par de chaves de criptografia RSA ATENO: voc apenas poder executar os passos descritos neste tpico se voc ou sua empresa possuir um servidor Windows 2000 ou Windows 2003 com o servio Autoridade Certificadora (Certificate Authority) instalado e configurado. Se voc no possui esta estrutura instalada em sua rede, procure uma Autoridade Certificadora credenciada ICP-Brasil. Maiores informaes sobre as ACs credenciadas ICPBrasil, consulte www.iti.gov.br e os nossos boletins tcnicos que esto disponveis no CD-ROM de instalao. Instalar um certificado digital no ePass2000 uma tarefa muito simples. Entretanto, importante ressaltar que o processo dever ser concludo no mesmo computador onde o processo de solicitao foi iniciado. Voc poder instalar qualquer certificado digital cujo par de chaves seja de at 1024bits, inclusive ICP-Brasil (desde que solicitado a partir de uma AC credenciada a ICP-Brasil), mas necessrio aqui estar atento capacidade de armazenamento do seu dispositivo, ou seja, a quantidade de certificados armazenados vai variar do tamanho destes e da memria de 32K do seu ePass2000. Com o seu dispositivo conectado em uma porta USB, acesse a pgina web onde ser feita a solicitao do certificado digital. Nosso exemplo far uso da Autoridade Certificadora PRONOVA que roda em uma plataforma Microsoft. No registraremos aqui neste guia as telas iniciais onde o usurio informa o nome, o email, telefone e demais dados cadastrais. Apresentaremos o processo a partir da tela onde o usurio ter que selecionar o CSP (Cryptographic Solution Provider) do dispositivo. Na imagem abaixo, note que estamos selecionando a opo FEITIAN ePassNG RSA Cryptographic Service Provider.
46
Ao clicar no boto Submit da pgina de solicitao do certificado digital, uma tela solicitando o PIN do Usurio ir surgir. Informe o PIN e clique no boto Login.
Se o PIN informado for o correto, observe as mensagens que sero exibidas na rea de notificao do Windows. Ao informar PIN correto o par de chaves ser gerado dentro do seu ePass2000 e ao trmino deste processo o usurio encaminhado para a prxima pgina.
Para concluir a instalao, clique no link Install this certificate e a prxima pgina ser exibida.
ATENO: se voc deseja maiores informaes sobre os procedimentos de solicitao, validao e gravao de seu certificado digital ICP-Brasil em seu ePass2000, consulte a Autoridade Certificadora ou se preferir os nossos boletins tcnicos que esto disponveis no diretrio TOKENS\Boletins_Tecnicos do CD-ROM de instalao do ePass2000.
47
c) Na janela Gerenciador de dispositivos de segurana, clique no nome do seu ePassNG e depois no boto Modificar Senha
48
EPASS2000 - MANUAL DO USURIO d) Uma janela chamada Modificar a senha mestra ser exibida. No campo Senha mestra atual digite o atual PIN do Usurio, nos campos seguintes digite o novo PIN do Usurio. Ao final, clique no boto OK para concluir a operao
f) Clique no boto OK da janela Gerenciador de dispositivos de segurana g) Clique no boto OK da janela Opes para concluir.
49
(imagem 13.1)
Clique no boto Login (imagem 13.1) para que a janela Gerenciador de Certificados Login (imagem 13.2) seja exibida. Nela digite o PIN do seu Token e clique no boto Login para continuar.
(imagem 13.2)
50
EPASS2000 - MANUAL DO USURIO De volta a janela do Gerenciador, voc ser redirecionado para Gerenciamento de dados, para continuar clique no boto Importar para que a janela Importar certificado seja exibida.
Clique no boto localizar para informar o local onde est o arquivo .PFX (ou .P12) e a senha deste arquivo.
Boto Localizar
51
EPASS2000 - MANUAL DO USURIO Assim que o certificado for importado para o seu dispositivo, voc ter condies de verificar algumas informaes do certificado.
Voc tambm poder importar para a memria do seu ePass2000 certificados em formato PKCS#7 (arquivo .P7B). Para isso, na janela abrir, voc ter que selecionar a opo arquivos P7B (*.P7B). Caso deseje importar arquivos do tipo .CER, basta alterar o tipo para este formato de arquivo.
52
53
EPASS2000 - MANUAL DO USURIO d) Na janela "Alterar configuraes de segurana" clique no boto "Escolher" que est direita do campo "Certificado de Autenticao". Da lista de certificados disponveis, clique no certificado que corresponde a sua conta de e-mail. Depois no boto "OK";
e) Ainda na janela Alterar configuraes de segurana clique no boto Escolher que est direita do campo "Certificado de Criptografia". Da lista de certificados disponveis, clique no certificado que corresponde a sua conta de e-mail. Depois no boto "OK"; f) Ainda na guia Segurana, clique na opo Adicionar assinatura digital a mensagens enviadas. Para concluir clique no boto "OK".
g) Ao final da seleo a janela "Alterar configuraes de segurana" poder ser fechada. Clique no boto "OK" para continuar. h) Na primeira vez que voc for enviar uma mensagem assinada, ser necessrio informar o PIN do Usurio do seu dispositivo.
54
55
EPASS2000 - MANUAL DO USURIO d) Na guia Segurana, clique no boto Selecionar que est direita do campo Certificado da rea Certificado de autenticao
e) Na janela Selecionar identificao digital padro da conta, selecione o certificado digital referente conta em uso, em seguida clique no boto OK.
boto Exibir
56
EPASS2000 - MANUAL DO USURIO f) De volta a janela Propriedades de..., clique no boto Selecionar que est direita do campo Certificado da rea Preferncias de criptografia
g) Na janela Selecionar identificao digital padro da conta, selecione o certificado digital referente conta em uso, em seguida clique no boto OK.
Se voc desejar visualizar as informaes sobre o certificado digital, clique no boto Exibir Certificado
57
EPASS2000 - MANUAL DO USURIO h) Agora que voc informou o Outlook Express os certificados que sero utilizados para assinar e codificar (criptografar) e-mails, basta clicar no boto OK
58
EPASS2000 - MANUAL DO USURIO j) Na janela Opes, clique na guia Segurana. Em seguida habilite a opo Assinar digitalmente todas as mensagens de sada e clique no boto OK
Toda vez que uma nova mensagem for criada observe que um novo cone estar presente. Este indica que a mensagem ser assinada com o certificado disponvel no sistema
59
EPASS2000 - MANUAL DO USURIO k) Toda vez que uma nova mensagem for criada note que um novo cone estar presente. Este indica que a mensagem ser assinada com o certificado digital da conta em uso l) Ao clicar no boto enviar, ser necessrio informar o PIN do seu dispositivo. Digite-o no campo PIN do Usurio e depois clique no boto Login m) Verifique nos itens enviados do Outlook Express se sua mensagem possui o selo indicando que a mensagem foi assinada
60
Para integrar o ePass2000 com o Mozilla Thunderbird, execute os seguintes passos: a) Execute o Mozilla Thunderbird, clique em Ferramentas da barra de menu e depois em Opes b) Na janela Opes, clique em Avanado c) Em seguida, clique no sinal a esquerda de Certificados e depois clique no boto Dispositivos d) Uma nova janela chamada Gerenciador de dispositivos de segurana ser exibida, clique no boto Carregar para continuar. e) Na janela Carregar dispositivo PKCS#11, clique no boto Arquivo para informar a localizao do da biblioteca PKCS#11 (C:\WINDOWS\SYSTEM32\ngp11v211.dll) f) Ao localizar o arquivo, clique sobre o mesmo e depois no boto Abrir. De volta a janela Carregar dispositivo PKCS#11, substitua Novo mdulo PKCS#11 no campo Nome do mdulo por ePassNG e depois clique no boto OK g) Clique no boto OK da janela Confirmar h) A mensagem abaixo ser exibida, clique no boto OK para continuar. i) Um novo mdulo ePass2000 ser apresentado
j) Clique no boto OK da janela Gerenciador de dispositivos de segurana k) Clique no boto OK da janela Opes
Ateno: no esquea de instalar a cadeia de certificados da Autoridade Certificadora que emitiu o seu certificado digital, do contrrio o Mozilla Thunderbird no ir reconhecer o seu certificado como vlido!
61
16. Configurando sua conta de e-mail no Mozilla Thunderbird para fazer uso do certificado digital armazenado no ePass2000
a) Execute o Mozilla Thunderbird, clique em Ferramentas da barra de menu e depois em Configurar contas b) Na janela Configurar contas, clique na opo Segurana e em seguida no boto Selecionar da rea Assinatura digital c) Ao clicar no boto Selecionar ser necessrio informar o PIN do seu dispositivo e depois clique no boto OK para continuar d) Na janela Selecionar certificado sero apresentados os detalhes do certificado armazenado no seu dispositivo. Para continuar, clique no boto OK e) O Mozilla Thunderbird ir perguntar se voc deseja usar o mesmo certificado para criptografar mensagens. Se voc desejar usar o mesmo certificado, clique no boto OK, caso contrrio clique no boto Cancelar. No nosso guia, faremos uso do mesmo certificado, por esta razo orientamos clicar no boto OK g) Antes de concluir, recomendamos que voc habilite a opo Assinar mensagens digitalmente (por padro) h) Ainda na janela Configurar contas, clique no boto Certificados da rea Gerenciamento i) Na janela Gerenciador de certificados, verifique se a entidade certificadora que emitiu o seu certificado digital consta da lista, caso contrrio baixe o certificado da autoridade certificadora e depois clique no boto Importar j) Localize o certificado da sua Autoridade Certificadora e clique no boto Abrir k) Na janela Efetuando o donwload do certificado habilite as finalidades e clique no boto OK l) De volta a janela Gerenciador de certificados, clique no boto OK para continuar m) Para concluir clique no boto OK da janela Configurar contas Pronto, agora o seu Mozilla Thunderbird far uso do certificado digital armazenado no seu ePass2000.
62
b) A janela Mensagem assinada ser exibida. Nesta janela, clique no boto Exibir certificados...
d) Uma janela de confirmao do Outlook Express ser exibida, clique no boto OK para continuar
64
c) Note que um novo cone ser adicionado janela. Para continuar, digite o contedo da mensagem, o assunto e o e-mail da pessoa que j consta no seu catlogo de endereos, a qual teve a identidade digital adicionada ao mesmo. Ao final clique no boto Enviar
65
d) Se voc fechou e abriu o Outlook Express ou desconectou e conectou o seu dispositivo, ser necessrio informar mais uma vez o PIN do Usurio, pois a funo que utiliza a chave privada do certificado ter que ser ativada mais uma vez. Digite-o no campo PIN do Usurio e depois clique no boto Login
e) A tela abaixo apresenta a mensagem enviada com os selos de assinatura e criptografia, alm de uma nota informando que a mensagem est assinada digitalmente, verificada e criptografada.
f)
Ao clicar no cone do cadeado azul uma janela com informaes sobre a mensagem ser exibida. Observe que a rea Criptografia informa que o contedo e anexos esto criptografados e que o algoritmo utilizado foi o 3-DES
66
EPASS2000 - MANUAL DO USURIO g) Se voc desejar que todas as mensagens enviadas sejam criptografadas, v at Ferramentas da barra de menu depois selecione Opes e na janela Opes, habilite o item Criptografar contedo e anexos de todas as mensagens de sada
Nota: no se esquea que para trocar mensagens criptografadas necessrio adicionar a identidade digital do destinatrio ao seu catlogo de endereos.
67
19. Adicionando uma identificao digital sua lista de contatos do Microsoft Outlook
a) Abra uma mensagem que tenha uma identificao digital anexada
Nota: para que o remetente anexe uma identificao digital a uma mensagem, solicite que ele lhe envie uma mensagem de correio eletrnico assinada digitalmente. b) Clique com o boto direito do mouse no campo De e, em seguida, clique em Adicionar a Contatos no menu de atalho
68
EPASS2000 - MANUAL DO USURIO c) Se j houver uma entrada para essa pessoa na sua lista de contatos, selecione a opo Atualizar novas informaes deste contato para o j existente e depois clique no boto OK
Com este procedimento a identificao digital estar agora armazenada com a sua entrada de contato para esse destinatrio. Voc poder, ento, enviar mensagens de correio eletrnico criptografadas para essa pessoa. Para exibir os certificados de um contato, clique duas vezes no nome da pessoa e, em seguida, clique na guia Identificaes Pessoais
69
20. Enviar uma mensagem com uma assinatura digital para um destinatrio da Internet usando o Microsoft Outlook
a) Redija uma mensagem. b) Na mensagem, clique em Opes c) Marque a caixa de seleo Adicionar assinatura digital mensagem sendo enviada d) Para modificar as opes de segurana para essa mensagem, clique no menu Arquivo, clique em Propriedades e, em seguida, clique na guia Segurana e) Habilite a opo Adicionar assinatura digital mensagem e clique no boto OK f) De volta a mensagem, clique em Enviar. Observao: Para adicionar uma assinatura digital a todas as mensagens que voc envia, clique no menu Ferramentas na janela principal do Outlook, clique em Opes e, em seguida, na guia Segurana. Marque a caixa de seleo Adicionar assinatura digital a mensagens sendo enviadas.
21. Enviar uma mensagem criptografada para um destinatrio da Internet usando o Microsoft Outlook
a) Redija uma mensagem. b) Na mensagem, clique em Opes. Marque a caixa de seleo Criptografar o contedo e os anexos da mensagem
c) Clique em Enviar.
70
EPASS2000 - MANUAL DO USURIO Observaes: Para criptografar todas as mensagens enviadas, no menu Ferramentas, clique em Opes e, em seguida, clique na guia Segurana. Marque a caixa de seleo Criptografar contedo e anexos de mensagens sendo enviadas. Para modificar as configuraes de segurana de uma mensagem especfica, clique no menu Arquivo na janela de mensagens e, em seguida, clique em Propriedades.
EPASS2000 - MANUAL DO USURIO R: Certamente a porta USB do seu computador no est instalada fisicamente. Consulte um tcnico para fazer a verificao desta porta USB ou tente conectar o seu ePass2000 em um outro computador. Se o problema persistir entre em contato com a Pronova. f) O Cliente VPN-1 SecuRemote da Check Point no consegue localizar o meu certificado que est armazenado no ePass2000. Se eu insisto, o cliente SecuRemote consegue identificar, mas ao selecionar o certificado ele exibe a mensagem Token Login: Failed to retrieve KeyHolder. O que pode estar errado?
R: Este um problema clssico de ausncia do caminho (path) da autoridade certificadora que emitiu o seu certificado. Sem esta informao, certamente o seu certificado tratado pelo sistema operacional como um certificado invlido. Para resolver este problema, basta instalar o certificado raiz da autoridade certificadora no repositrio do Windows ou importar para o ePass2000 o certificado raiz da AC que emitiu o seu certificado digital. g) Tenho meu certificado digital ICP-Brasil armazenado no ePass2000, mas ao tentar acessar o site da Receita Federal recebo a mensagem necessrio instalar um certificado digital de cliente para ter acesso ao e-CAC. O que pode estar errado? R: Este tipo de comportamento ocorre quando a cadeia de certificados da Autoridade Certificadora no est instalada no seu navegador (Internet Explorer ou Mozilla Firefox). Instale no navegador a cadeia de certificados da AC que emitiu o seu certificado digital, reinicie o seu micro e tente fazer um novo acesso. h) Tenho meu certificado digital ICP-Brasil armazenado no ePass2000, mas quando tento enviar uma declarao para receita via certificado o campo para inserir o PIN no aparece, ocasionando a no transmisso da mesma. O que pode estar errado? R: Este tipo de comportamento ocorre quando a cadeia de certificados da Autoridade Certificadora no est instalada no seu computador. Instale no navegador a cadeia de certificados da AC que emitiu o seu certificado digital, reinicie o seu micro e tente fazer um novo acesso. i) Travei o PUK do meu ePass2000, perdi o meu dispositivo? R: No, voc no perdeu o seu dispositivo. Todavia, para reativar o acesso ao seu ePass2000, ser necessrio reinicializar o seu equipamento para as condies originais de fbrica. Em outras palavras, ao usar a ferramenta ePassNG Init. Procure no CDROM de instalao o instalador desta ferramenta no diretrio Formatador, instale a ferramenta, mas antes de utiliza-la consulte o PDF que poder ser acessado a partir do atalho criado no menu INICIAR do Windows. Lembramos que ao utilizar esta o ePassNG Init todas as informaes que estiverem armazenadas no seu ePass200 sero apagadas e sero restaurados os padres de fbrica do ePass2000.
72
EPASS2000 - MANUAL DO USURIO j) Posso instalar mais de um certificado no meu ePass2000? R: Sim, voc poder instalar mais de um certificado no seu ePass2000, mas tenha em mente que existe uma limitao que a quantidade de memria do seu dispositivo (32K). Normalmente conseguimos colocar at 05 (cinco) ou 06 (seis) certificados. Observe ainda que voc se voc usar seu certificado para codificar mensagens e/ou documentos talvez voc ter que guardar este seu certificado por um tempo aps a expirao deste, para que seja possvel a decodificao destes dados. Tendo em vista que a chave privada gerada no ePass2000 no pode ser exportada, recomendamos que no sejam armazenados no mesmo ePass2000, certificados que no tenham relao entre sim. Por exemplo, um certificado e-CNPJ de uma empresa X mais um certificado e-CNPJ de uma empresa Y. Imagine que a empresa X deseja ter com ela o seu certificado. Como a chave privada parte integrante do certificado eCNPJ, para resolver este impasse ser necessrio revogar o certificado da empresa X. A seguir fazer uma nova aquisio de um e-CNPJ para a empresa X em outro ePass2000. k) O ePass2000 pode ser utilizado em outros sistemas operacionais? R: Sim, o ePass2000 poder ser utilizado nos sistemas operacional Linux ou MacOS. O software necessrio para instalar o ePass2000 nestes sistemas operacionais poder ser encontrado nos diretrios Linux e MacOS do CD-ROM de instalao do ePass2000. As instrues para instalao podero ser encontradas no arquivo README contigo dentro dos arquivos .tar.gz. l) Instalei o software do ePass2000 e no tive nenhum tipo de problema, mas depois que eu reinicio o meu computador o Monitor de Certificados no exibido na rea de notificao do Windows e o meu certificado no fica disponvel para que eu possa fazer uso. O que pode ter ocorrido? R: Certamente, algum anti-vrus ou aplicao que protege a sua mquina est inibindo a execuo do aplicativo epsng_certd.exe que carregado na inicializao do Windows. Verifique nos logs do seu anti-vrus ou aplicao este registro e proceda a liberao do carregamento automtico do programa epsng_certd.exe. m) Fora o manual do ePass2000, existe algum outro tipo de material de consulta? R: Sim, a Pronova disponibiliza alm do Manual vrios boletins tcnicos que podero ser encontrados no diretrio Boletins Tcnicos do CD-ROM de instalao do ePass2000. n) Depois de instalar o software do ePass2000, quando conecto ele na porta USB, um alerta de segurana informando que devo trocar o PIN exibido, isto normal? O que devo fazer?
R: Sim, isto normal. Em decorrncia ao atendimento a novas normas do Comit Gestor da ICP-Brasil, este um recurso que foi adicionado ao software do ePass2000. Este recurso visa forar a troca do PIN de fbrica do ePass2000. Para isso, clique em 73
EPASS2000 - MANUAL DO USURIO OK e preencha os campos corretamente. O) Estou tentando solicitar meu certificado digital no meu computador com o Windows Vista, mas na pgina da Autoridade Certificadora, a lista de CSP no aparece? O que devo fazer? R: Nas verses anteriores do Windows, a DLL responsvel pelo carregamento da lista de CSP era o arquivo xenroll.dll que no Windows Vista passou a se chamar certenroll.dll. A pgina da autoridade certificadora, procura no seu computador a antiga DLL que no existe no Windows Vista. Por esta razo, a lista de CSP no Windows Vista no carregada. Para que voc possa solicitar seu certificado, use uma mquina com uma verso anterior ao Windows Vista, como, por exemplo, o Windows XP. Depois que voc gravar o seu certificado no Token, voc poder us-lo sem problemas no Windows Vista.
25. Contatos
Pronova Solues Inteligentes (Importador e Distribuidor Autorizado) Endereo Telefones Fax E-mail Sites Av. das Amricas 500, bloco 4 (entrada A), Sala 302. Barra da Tijuca. Rio de Janeiro RJ. CEP 22.640-100. Brasil. +55-21-24913688 +55-21-24913688 (ramal 103) suporte@pronova.com.br ou sac@pronova.com.br www.pronova.com.br ou www.lojapronova.com.br
Feitian Technologies Inc., Ltd. (Fabricante) Endereo Telefones Fax Site 3Fl., No.5 Building, Jimen Hotel, Xueyuan Road, Haidian District, Beijing, 100088, Repblica Popular da China +86-10-62360800 e +86-10-62360900 +86-10-82070027 www.FTsafe.com
74