Manual ePass2000FT12

EPASS2000 - MANUAL DO USURIO
Verso 2.57
As informaes contidas neste manual esto sujeitas a alteraes sem aviso prvio e no representam um compromisso por parte de PRONOVA CONSULTORIA EM TECNOLOGIA DA INFORMAO LTDA. Nenhuma parte deste manual poder ser reproduzida de qualquer forma ou meio, eletrnico ou mecnico, incluindo fotocpia, gravao ou sistemas de armazenamento e recuperao, sem o prvio consentimento, por escrito, de PRONOVA CONSULTORIA EM TECNOLOGIA DA INFORMAO LTDA. Windows marca registrada da Microsoft Corporation Pentium marca registrada da Intel Corporation ePassNG marca registrada da Feitian Technologies Inc., Ltd. ROCKEY marca registrada da Feitian Technologies Inc., Ltd. AMD marca registrada da Advanced Micro Devices Protoken marca registrada da Pronova Solues Inteligentes
Pronova Consultoria em Tecnologia da Informao Ltda. & Feitian Technologies Co., Ltd.
Todos os produtos da FEITIAN Technologies Co., Ltd. (FEITIAN) e Pronova Solues Inteligentes (PRONOVA) incluindo, sem limitar-se a, cpias de avaliao, disquetes, CD-ROMs, hardware, software e documentao, e todos os futuros pedidos, esto sujeitos aos termos desta Licena. Se voc no est de acordo com os termos aqui expostos, por favor, proceda a devoluo do pacote completo e dentro do prazo de quinze dias teis e reembolsaremos o custo do produto, exceto o frete e os encargos administrativos. Ao utilizar o produto voc declara conhecer e aceitar os termos e condies do presente, que se formalizar em um contrato de Licena entre voc e a FEITIAN, que tambm ter alcance aos distribuidores, revendas ou representantes da FEITIAN e da PRONOVA, com o alcance aqui convencionado. 1. Uso Permitido Voc pode fundir, relacionar e/ou fazer link do Software com outros programas
com o nico propsito de proteger esses programas de acordo com o uso descrito no Guia do Desenvolvedor que est junto com o produto, ou que pode ser encontrado no site web da FEITIAN (www.ftsafe.com) ou da PRONOVA (www.pronova.com.br). Voc pode realizar cpias do Software com o fim de utiliz-las como cpias de segurana ou backup. 2. Uso proibido O Software ou o hardware fornecido pela FEITIAN/PRONOVA ou qualquer outra
parte do Produto no pode ser reproduzida, copiada, reinventada, desasemblada, descompilada, revisada, melhorada e modificada de qualquer forma, exceto como especificamente se permite no presente. Voc no pode praticar engenharia reversa ao Software ou qualquer parte do produto, ou tentar descobrir o cdigo fonte do Software. Voc no pode usar o meio tico ou magntico includo com o produto com o propsito de transferir ou guardar dados que no fazem parte original de Produto, ou uma melhora ou atualizao de Produto fornecida pela FEITIAN ou pela PRONOVA.

POLTICA DE GARANTIA PRONOVA IMPORTANTE-LEIA ESTA GARANTIA DO FABRICANTE COM ATENO PARA ENTENDER SEUS DIREITOS E OBRIGAES! O termo "Dispositivo de Hardware" significa o produto de hardware Pronova. O termo "Voc" significa uma pessoa fsica ou jurdica que ser referida nesta Garantia Limitada como "Voc" e "Seu(s)/Sua(s)". A. GARANTIAS. 1. Garantia Expressa. Voc estar sujeito aos termos e condies desta Garantia Limitada e, em substituio a quaisquer outras (se houver) garantias expressas, a Pronova garante a Voc, sob condies normais de uso e servio, na data da aquisio identificada no recibo ou no comprovante de pagamento e pelo perodo de tempo especificado abaixo para o Dispositivo de Hardware aplicvel (doravante denominados o "Prazo de Garantia"), que o Dispositivo de Hardware ser executado substancialmente em conformidade com o descrito na embalagem e na documentao da Pronova que o acompanha. A PRONOVA assegura total cobertura contra defeito de fabricao para os produtos fornecidos ao cliente no territrio brasileiro, durante o perodo da garantia. Prazo de Garantia Garantia Legal - 90 (noventa) dias A garantia legal praticada pela PRONOVA obedece aos dispositivos relacionados no artigo 26 do Cdigo de Defesa do Consumidor (CDC), e direito do consumidor que apresente a reclamao comprovadamente formulada no prazo de 90 (noventa) dias da data de aquisio do produto PRONOVA para troca do produto e/ou servio adquirido por igual ou equivalente superior. A reposio dos produtos em garantia estar sujeita s condies de retorno do produto, observando a garantia legal, conforme art. 50 do CDC. PRAZO TOTAL DA GARANTIA: (I) Para todos os conjuntos de Tokens USB: 90 (noventa) dias;
Os dispositivos criptogrficos (tokens e cartes) e leitores de carto inteligente vendidos pela PRONOVA tem garantia contra defeitos de fabricao pelo prazo de 90 (noventa) dias contados a partir da data de aquisio do produto PRONOVA. Os dispositivos criptogrficos (tokens e cartes) armazenam o seu Certificado Digital protegendo-o contra acessos indevidos. AS SENHAS (PIN, PUK, SENHA, FRASE SENHA OU PASSWORD) PARA ACESSO A ESSES DISPOSITIVOS SO SOMENTE DE CONHECIMENTO E RESPONSABILIDADE DO TITULAR OU RESPONSVEL DO CERTIFICADO DIGITAL, E A PRONOVA NO MANTM CPIAS OU POSSUI MEIOS DE RECUPER-LAS. CASO O DISPOSITIVO CRIPTOGRFICO SEJA BLOQUEADO OU INUTILIZADO DEVIDO PERDA DAS SENHAS, SEU CONTEDO SER PERDIDO. A REPOSIO DESTES DISPOSITIVOS (E DE SEU CONTEDO) NO COBERTA PELA POLTICA DE GARANTIA PRONOVA. Caso o Servio de Suporte Tcnico PRONOVA constate defeito de fabricao que requeira a substituio do dispositivo criptogrfico durante o perodo de vigncia desta garantia, a PRONOVA: - Efetuar troca do dispositivo criptogrfico, sem custo adicional para o cliente; e - No emitir um novo certificado, sem custo adicional para o cliente, caso o defeito de fabricao acarrete na perda do Certificado Digital. Essa Garantia Limitada no cobrir, bem como no ser fornecido qualquer tipo de garantia para aspectos subjetivos ou estticos do Dispositivo de Hardware. A garantia expressa prevista acima constitui a nica garantia expressa concedida a Voc e fornecida em substituio a todas as outras condies e garantias, sejam expressas ou implcitas (exceto quaisquer garantias implcitas existentes que no possam ser recusadas), inclusive aquelas criadas por qualquer outra documentao ou embalagem. Qualquer informao ou sugesto (oral ou escrita) fornecida pela Pronova, por seus agentes, afiliadas ou subsidirias ou por seus funcionrios ou agentes, no criar qualquer garantia ou condio ou ampliar o escopo desta Garantia Limitada. 2. Limitao da Vigncia das Garantias Implcitas. Se Voc for um consumidor estrangeiro, tambm poder ter uma condio e/ou garantia implcita de acordo com a legislao de algumas jurisdies, a qual limitada pela vigncia do presente Prazo de Garantia. B. RECURSO EXCLUSIVO. Sujeito legislao aplicvel e s disposies a seguir, e desde que Voc, durante o Prazo de Garantia, devolva o Dispositivo de Hardware Pronova, com uma cpia do recibo ou comprovante vlido de pagamento, a Pronova ir, a seu critrio: (i) reparar ou substituir o Dispositivo de Hardware; ou (ii) indeniz-Io pelos danos diretos sofridos por Voc, limitando-se a responsabilidade ao valor efetivamente pago por Voc pelo Dispositivo de Hardware.

(ii) Qualquer Dispositivo de Hardware reparado ou substitudo conforme esta Garantia Limitada ter garantia pelo Prazo de Garantia original remanescente ou por 30 (trinta) dias, a partir da data de devoluo do item para Voc, o que for maior. Salvo previso expressa em contrrio pela legislao aplicvel, Voc dever arcar com os custos relacionados ao transporte (inclusive embalagem) do produto dentro do prazo da garantia; e C. ISENO DE OUTRAS GARANTIAS. A garantia expressa especificada acima a nica garantia expressa oferecida a Voc e fornecida em substituio a todas as outras condies e garantias expressas ou implcitas (se houver), inclusive aquelas criadas por qualquer outra documentao ou embalagem. Nenhuma outra garantia fornecida em relao ao Dispositivo de Hardware ou aos servios de garantia por qualquer pessoa, incluindo, mas no se limitando a, a Pronova, os seus agentes, as afiliadas e os fornecedores. Nenhuma informao ou sugesto (oral ou escrita) fornecida pela Pronova, por seus agentes, afiliadas ou subsidirias ou por seus funcionrios ou agentes, dever criar uma garantia ou condio ou ampliar o escopo desta Garantia Limitada. Tambm no h garantias ou condies de titularidade, uso pacfico ou noviolao de direitos de autor no Dispositivo de Hardware. D. EXCLUSO DE OUTROS DANOS. NA EXTENSO MXIMA PERMITIDA PELA LEGISLAO APLICVEL, A PRONOVA, SEUS AGENTES, AFILIADAS E/OU FORNECEDORES NO SERO RESPONSVEIS POR QUALQUER: (i) DANO CONSEQENCIAL OU INCIDENTAL; (ii) DANOS POR LUCROS CESSANTES, INTERRUPO DE NEGCIOS, PERDA DE DADOS, INFORMAES CONFIDENCIAIS OU OUTRAS, PERDA DE PRIVACIDADE, QUALQUER INABILIDADE NO USO DO DISPOSITIVO DE HARDWARE, NO TODO OU EM PARTE, DANOS PESSOAIS OU QUALQUER FALHA NO CUMPRIMENTO DE QUALQUER OBRIGAO (INCLUINDO MAS NO SE LIMITANDO A QUALQUER OBRIGAO GERADA EM RELAO A CASO DE NEGLIGNCIA E QUEBRA DO PRINCPIOS DE BOA-F E DO ESFORO DE APRIMORAMENTO); (iii) DANO INDIRETO, ESPECIAL OU PUNITIVO DECORRENTE DO OU DE QUALQUER FORMA RELACIONADO COM O DISPOSITIVO DE HARDWARE. (iii) QUALQUER TIPO DE INFORMAO QUE VENHA A SER ARMAZENADA NOS EQUIPAMENTOS COMERCIALIZADOS PELA PRONOVA. AS EXCLUSES ACIMA SERO APLICADAS MESMO QUE A PRONOVA OU QUALQUER AGENTE, AFILIADA OU FORNECEDOR TENHA SIDO ALERTADO SOBRE A POSSIBILIDADE DE OCORRNCIA DE TAIS PERDAS OU DANOS, E MESMO QUE HAJA FALHA, DANO (INCLUSIVE NEGLIGNCIA), RESPONSABILIDADE OBJETIVA OU PELO FATO DO PRODUTO, DECLARAO FALSA OU QUALQUER OUTRO MOTIVO. E. EXCLUSES DE COBERTURA. A Garantia Limitada no ser aplicvel e a Pronova, seus agentes, afiliadas e/ou fornecedores no tero qualquer responsabilidade relativa a esta Garantia Limitada se o Dispositivo de Hardware: (i) for usado para fins comerciais (inclusive aluguel ou arrendamento); (ii) for modificado ou adulterado; (iii) for danificado por motivos de fora maior, alta-tenso, uso indevido, abuso, negligncia, acidente, desgaste, manipulao indevida, aplicao errada ou outras causas no relacionadas a defeitos no Dispositivo de Hardware; (iv) for danificado por programas, informaes, vrus ou arquivos ou durante envios ou transmisses; (v) no for usado de acordo com a documentao e as instrues de uso que o acompanham; ou (vi) for reparado, modificado ou alterado por outra pessoa que no seja um representante da assistncia tcnica autorizada da Pronova e se a assistncia tcnica no autorizada causar ou contribuir para o surgimento de qualquer defeito ou dano. F. REGISTRO. No necessrio registrar a aquisio do Dispositivo de Hardware para que essa Garantia Limitada tenha validade. G. BENEFICIRIO. Na extenso mxima permitida pela lei aplicvel, a Garantia Limitada ser concedida exclusivamente a Voc, o primeiro adquirente do Dispositivo de Hardware, no existindo outros beneficirios da Garantia Limitada. Salvo previso expressa em contrrio na lei, esta Garantia limitada no ser destinada, bem como no ser aplicvel a qualquer outra pessoa, inclusive qualquer pessoa para a qual Voc faa uma transferncia do Dispositivo de Hardware. H. INFORMAES ADICIONAIS. A Pronova a entidade que fornece esta Garantia Limitada. Para receber instrues sobre como executar esta Garantia Limitada, entre em contato com uma subsidiria Pronova de sua localidade ou escreva para; Pronova Solues Inteligente, Avenida das Amricas 500, bloco 4, sala 302, Barra da Tijuca, Rio de Janeiro, RJ, CEP 22.640-100, ou visite a Pronova na Internet no endereo http//www.pronova.com.br

Outras exigncias: 1. Voc dever enviar um comprovante de pagamento na forma de uma fatura (ou uma cpia) ou um recibo autntico com data evidenciando que Voc o beneficirio desta Garantia Limitada e que a Sua solicitao est sendo feita dentro do Prazo de Garantia. 2. Para execuo da Garantia Limitada, Voc dever levar ou enviar o item na sua embalagem original ao local especificado pela Pronova. Salvo previso expressa em contrrio prevista na legislao aplicvel, Voc arcar com os custos relacionados ao transporte (inclusive embalagem) do servio dentro do prazo da garantia. Caso no siga as instrues acima, Voc poder ter despesas adicionais, poder perder a sua garantia ou podero ocorrer atrasos. As informaes contidas neste documento, incluindo URLs e outras referncias a sites na Internet, esto sujeitas a alteraes sem aviso prvio. Salvo indicao em contrrio, os exemplos de empresas, organizaes, produtos, nomes de domnio, endereos de email, logotipos, pessoas, lugares e acontecimentos aqui mencionados so fictcios e nenhuma associao com qualquer empresa, organizao, produto, nome de domnio, endereo de e-mail, logotipo, pessoa ou acontecimento real intencional ou deve ser inferida. Obedecer a todas as leis de direitos autorais aplicveis responsabilidade do usurio. Sem limitar os direitos autorais, nenhuma parte deste documento pode ser reproduzida, armazenada ou introduzida em um sistema de recuperao, ou transmitida de qualquer forma por qualquer meio (eletrnico, mecnico, fotocpia, gravao ou qualquer outro), ou para qualquer propsito, sem a permisso expressa e por escrito da Pronova. A Pronova pode ter patentes ou requisies para obteno de patente, marcas comerciais, direitos autorais ou outros direitos de propriedade intelectual que abrangem o contedo deste documento. A posse deste documento no lhe confere nenhum direito sobre as citadas patentes, marcas comerciais, direitos autorais ou outros direitos de propriedade intelectual, salvo aqueles expressamente mencionados em um contrato de licena, por escrito, da Pronova. 2004 Pronova Solues Inteligentes. Todos os direitos reservados. ePass, ePassNG, EnterSafe, ePass1000, ePass2000, ePass3000, Rockey e BioPass3000 so marcas registradas ou comerciais da Feitian Technologies Co., Inc. na Repblica Popular da China e/ou em outros pases. Pronova e ProToken so marcas registradas ou comerciais da Pronova Consultoria em Tecnologia da Informao Ltda. na Repblica Federativa do Brasil e/ou em outros pases. Os nomes de produtos e de empresas reais aqui mencionados podem ser marcas comerciais de seus respectivos proprietrios. A Pronova concede ao comprador deste produto o direito de reproduzir uma (1) cpia do "Manual de Instrues" impresso para cada Dispositivo de Hardware adquirido na embalagem.
Atestado de Conformidade EC
O Token USB ePass2000 obedece ao principal requerimento de proteo da Diretiva EMC (Diretiva 89/336/EEC relativa compatibilidade eletromagntica) baseada em um teste voluntrio.
Este certificado se refere somente a um exemplo particular do produto e a documentao tcnica deste fornecida para teste e certificao. Os resultados detalhados e todos os padres usados, bem como o modo de operao esto listados em: Relatrio Teste No. Testes Realizados RBJA04010201-1&2 EN 55022:1998+A1:2000 Classe B EN 55024:1998+A1:2001
Aps a preparao da documentao tcnica necessria, bem como a declarao de conformidade CE a marca exibida acima pode ser fixado no equipamento como estipulado no Artigo 10.1 da Diretiva. Outras diretivas relevantes devem ser observadas. Certificado de Aprovao FCC O Token USB ePass2000 est em conformidade com a Parte 15 Classe B das Regras FCC e Regulamentaes para Equipamentos de Tecnologia da Informao. Relatrio nmero RBJA04010201.
Este equipamento est baseado nos padres USB. WEEE (Waste Electrical and Electronic - Descarte de Equipamentos Eltricos e Eletrnicos) A Diretiva Europia 2002/96/CE exige que o equipamento que exibe este smbolo no produto e/ou na sua embalagem no seja eliminado junto com os resduos municipais no separados. O smbolo indica que este produto deve ser eliminado separadamente dos resduos domsticos regulares. sua responsabilidade eliminar este e qualquer outro equipamento eltrico e eletrnico atravs dos postos de recolhimento designados pelas autoridades governamentais ou locais. A eliminao e reciclagem correta ajudaro a prevenir as conseqncias negativas para o ambiente e para a sade humana. Para obter informaes mais detalhadas sobre a forma de eliminar o sei equipamento antigo, entre em contato com as autoridades locais, servios de eliminao de resduos ou o estabelecimento comercial onde adquiriu o produto.
Programa Logo Microsoft Windows

Este dispositivo foi aprovado nos testes Windows HCT, realizados nos Laboratrios de Provas de Hardware Windows (WHQL), os quais determinam que os produtos atendem a todos os requisitos do Programa de Logos do Windows.
Check Point OPSEC

O Token USB ePass2000 possui a certificao OPSEC (Open Platform for Security) da Check Point Software Technologies Ltd. (NASDAQ: CHKP), lder mundial em segurana atravs de Internet. Com a certificao OPSEC, o Token USB ePass2000 se integra de forma transparentemente com as solues lderes da Check Point do mercado: VPN-1 , FireWall-1 e Next-Generation .
Entrust Ready
Os Tokens ePass so dispositivos criptogrficos seguros e portteis, ideais para Entrust/PKI e outras aplicaes tais como: autenticao de dois fatores, codificao de e-mail, sites seguros (SSL), logon VPN e muito mais. Foi outorgado aos Tokens ePass o status Entrust Ready com as aplicaes o Entrust Entelligence client e Entrust Authority Securtity Manager.
EPASS2000 - MANUAL DO USURIO ndice
1. Glossrio .................................................................................................... 11 2. Lista de Acrnimos..................................................................................... 14 3. Sobre a Pronova Solues Inteligentes ..................................................... 17 4. Sobre a Feitian Technologies Inc., Ltd....................................................... 17 5. Sobre o Token USB ePass2000 ................................................................ 17 5.1 Descrio Fsica Externa do ePass2000 ................................................. 17 6. Instalando o software do Token USB ePass2000...................................... 23 6.1 Instalao nos sistemas Windows 2000, Windows XP, Windows Vista e Windows 2003................................................................................................ 23 6.2 Instalao nos sistemas Windows 98SE e Windows ME......................... 26 6.3 Instalao por linha de comando ............................................................. 27 6.4 Instalando o ePass2000 em mquinas com Linux................................... 27 6.5 Instalando o ePass2000 em mquinas com Mac OS .............................. 27 6.6 Monitor de Certificados - Configurando o Tempo de Vida do PIN atravs ....................................................................................................................... 28 6.7 Monitor de Certificados - Alterando o PIN................................................ 29 6.8 Monitor de Certificados Visualizando Detalhes do Certificado.............. 30 6.9 Monitor de Certificados Removendo um Certificado do Repositrio do Windows......................................................................................................... 30 6.10 Monitor de Certificados Devolvendo um Certificado do Repositrio do Windows......................................................................................................... 31 7.1.2 Excluindo dados gravados no Token ePass2000 ................................. 33 11. Utilizando o Mozilla Firefox para alterar o PIN do ePass2000 ................. 48 12. Importando um certificado digital para o ePass2000 a partir de um arquivo ....................................................................................................................... 50 13. Configurando o Microsoft Outlook para usar um certificado armazenado no ePass2000 ................................................................................................ 53 14. Configurando o Outlook Express para usar um certificado armazenado no ePass2000 ..................................................................................................... 55 15. Integrando o ePass2000 com o Mozilla Thunderbird............................... 61 16. Configurando sua conta de e-mail no Mozilla Thunderbird para fazer uso do certificado digital armazenado no ePass2000........................................... 62 17. Adicionando a identidade digital do remetente ao catlogo de endereos do Windows.................................................................................................... 63 18. Enviando uma mensagem criptografada usando o Outlook Express ...... 65 19. Adicionando uma identificao digital sua lista de contatos do Microsoft Outlook ........................................................................................................... 68 20. Enviar uma mensagem com uma assinatura digital para um destinatrio da Internet usando o Microsoft Outlook ......................................................... 70 21. Enviar uma mensagem criptografada para um destinatrio da Internet usando o Microsoft Outlook............................................................................ 70 22. Removendo o software do ePass2000 .................................................... 71 23. Perguntas e Respostas Comuns.............................................................. 71 24. Suporte Tcnico ....................................................................................... 74 25. Contatos ................................................................................................... 74
10
1. Glossrio
Assinatura Digital: Resultado de uma transformao criptogrfica de dados, que quando implementada apropriadamente, prov os seguintes servios de segurana: autenticao da origem, integridade de dados e no repudiao do signatrio. Atribuio de chaves (key establishment): Processo que possibilita atribuir uma chave simtrica para uso criptogrfico aos participantes legtimos de uma sesso de comunicao. A atribuio de chaves pode ser realizada por meio de duas tcnicas: Negociao de Chaves ou Transferncia de Chaves. Autoridade Certificadora (AC): Entidade idnea autorizada a emitir, renovar e cancelar certificados digitais. responsvel pela administrao das chaves pblicas. Autoridade de Registro (AR): uma entidade operacionalmente vinculada determinada Autoridade Certificadora Habilitada, responsveis pela confirmao da identidade dos solicitantes dos certificados e-CPF e e-CNPJ. Certificado Digital: Documento eletrnico assinado digitalmente por uma autoridade certificadora, e que contm diversos dados sobre o emissor e o seu titular. A funo precpua do certificado digital a de vincular uma pessoa ou uma entidade a uma chave pblica. Chave criptogrfica: Cdigo ou parmetro usado em conjunto com um algoritmo criptogrfico, determinando as seguintes operaes: Transformao de dados em texto claro para um formato cifrado e vice-versa; Assinatura digital computada a partir de dados; Verificao de uma assinatura digital computada a partir de dados; Gerao de um cdigo de autenticao computado a partir de dados; ou Um acordo para troca de um segredo compartilhado.
Chave Criptogrfica em texto claro: representa uma chave criptogrfica no cifrada. Chave secreta: Chave criptogrfica, usada com um algoritmo criptogrfico de chave secreta, que est unicamente associada a uma ou mais entidades e no deveria tornarse pblica. Cdigo de Autenticao: corresponde a um verificador de integridade criptogrfico que comumente referenciado como MAC (Message Authentication Code). Co-assinatura: A co-assinatura (ou sign) aquela gerada independente das outras assinaturas. Contra-assinatura: A contra-assinatura (ou countersign) aquela realizada sobre uma assinatura j existente. Na especificao PKCS#7, a contra-assinatura adicionada na forma de um atributo no autenticado (countersignature attribute) no bloco de informaes (signerInfo) relacionado a assinatura j existente. Elemento de Dado: Corresponde a um item de informao para o qual so definidos um nome, uma descrio de contedo lgico, um formato e uma codificao [ISO/IEC 78164]. Entidade usuria externa: Um indivduo ou processo que realiza acesso a um mdulo criptogrfico independentemente do papel assumido. ePass2000: Dispositivo criptogrfico portvel integrado com smart card e porta USB, o qual foi desenvolvido pela Feitian. Uma das vantagens deste dispositivo sobre os cartes inteligentes a portabilidade, bem como suporte a aplicaes PKI. ePassNG: Nova gerao de produto (middleware framework) desenvolvido pela Feitian.
11
Este novo middleware suporta todas as sries dos produtos ePass. Fcil de ser atualizado com novo suporte de hardware, bem como suporte a aplicaes PKI. FIPS (Federal Information Processing Standards): correspondem a padres e diretrizes desenvolvidos e publicados pelo NIST (National Institute of Standards and Technology) para uso de sistemas computacionais no mbito governamental federal norte-americano. O NIST desenvolve os padres e diretrizes FIPS, quando h requisitos obrigatrios do governo federal, tais como, segurana e interoperabilidade, e no h padres ou solues industriais aceitveis. Firmware: Programas e componentes de dados de um mdulo que esto armazenados em hardware (ROM, PROM, EPROM, EEPROM ou FLASH, por exemplo) e no podem ser dinamicamente escritos ou modificados durante a execuo. Fronteira criptogrfica (cryptographic boundary): A fronteira criptogrfica um permetro explicitamente definido que estabelece os limites fsicos de um mdulo criptogrfico. Hardware: Parte ou equipamento fsico usado para processar programas e dados. ICP-Brasil: conjunto de tcnicas, prticas e procedimentos, a ser implementado pelas organizaes governamentais e privadas brasileiras com o objetivo de garantir a autenticidade, a integridade e a validade jurdica de documentos em forma eletrnica, das aplicaes de suporte e das aplicaes habilitadas que utilizem certificados digitais, bem como a realizao de transaes eletrnicas seguras. Identificador de Registro: Valor associado a um registro que pode ser usado para referenciar aquele registro. Diversos registros poderiam ter o mesmo identificador dentro de um EF [ISO/IEC 7816-4]. Integridade: propriedade que determina que dados no devem ser modificados ou apagados de uma maneira no autorizada e indetectvel. Interface: representa um ponto lgico de entrada e sada de dados, que prov acesso aos servios disponveis pelos mdulos criptogrficos. Interface CryptoAPI: Interface de operao de criptografia desenvolvida pela Microsoft. Esta interface oferece ao dispositivo idenpendncia ou implementao de encapsulamento de algoritmos criptogrficos, permitindo aos desenvolvedores uma fcil utilizao destes algoritmos em suas aplicaes PKI, incluindo criptografia de dados, verificao de certificados e assinatura digital na plataforma Windows. ITI: autarquia federal vinculada Casa Civil da Presidncia da Repblica. O ITI a Autoridade Certificadora Raiz - AC Raiz da Infra-Estrutura de Chaves Pblicas Brasileira - ICP-Brasil. Como tal a primeira autoridade da cadeia de certificao, executora das Polticas de Certificados e normas tcnicas e operacionais aprovadas pelo Comit Gestor da ICP-Brasil. Middleware: Software que usado amarrar uma aplicao. Mdulo criptogrfico (cryptographic module): Conjunto de hardware, software e/ou firmaware que implementa funes ou processos criptogrficos, abrangendo algoritmos criptogrficos e de gerao de chaves. Mdulo criptogrfico de chip nico (Single-chip Cryptographic Module): representa uma materializao fsica na qual um chip nico de circuito integrado (Integrated Circuit Chip - ICC) poderia ser usado como dispositivo independente (standalone), ou poderia estar embutido/confinado dentro de um produto (material de rea delimitada), que est ou no fisicamente protegido. Por exemplo, mdulos criptogrficos de chip nico incluem os cartes inteligentes (Smart Cards).
12
Negociao de chaves (key agreement): Protocolo que possibilita atribuir uma chave simtrica aos participantes legtimos em funo de valores secretos definidos por cada um dos participantes, de forma que nenhum dos participantes possa predeterminar o valor da chave. Neste mtodo, a chave no transferida, nem mesmo de forma cifrada. Exemplo clssico desta classe de protocolo o algoritmo Diffie-Hellman. Nmero de Identificao Pessoal (Personal Identification Number - PIN): um cdigo alfanumrico ou senha usada para autenticar uma identidade. Nmero de Registro: Nmero seqencial atribudo a cada registro, que serve para identificar unicamente o registro dentro de seu EF [ISO/IEC 7816-4]. Oficial de segurana: uma entidade ou processo que age como tal, realizando funes criptogrficas de iniciao ou gerenciamento. Parmetros crticos de segurana (PCS): Representam informaes sensveis e relacionadas a segurana, tais como, chaves criptogrficas privadas, chaves simtricas de carter secreto, chaves de sesso e dados de autenticao (senhas e PIN, por exemplo), cuja divulgao ou modificao podem comprometer a segurana de um mdulo criptogrfico. PC/SC: especificao para integrao de cartes inteligentes (smart card) em sistemas de computao PKCS#11: padro utilizado como interface para invocar operaes criptogrficas em hardware e utilizado para prover suporte aos tokens. Registro: Cadeia (string) de bytes que pode ser manuseada como um todo pelo carto inteligente e referenciada por um nmero de registro ou por um identificador de registro [ISO/IEC 7816-4]. Senha: uma cadeia de caracteres (letras, nmeros e outros smbolos) usada para autenticar uma identidade ou para verificar autorizaes de acesso. Software: Programas e componentes de dados usualmente armazenados em mdias que podem ser apagadas (disco rgido, por exemplo), os quais podem ser dinamicamente escritos e modificados durante a execuo. Token: Nome geral de todos os dispositivos criptogrficos, tais como cartes inteligentes (smart cards), dispositivos que possuem senhas e funcionalidades de armazenamento de certificados etc. Token USB: Dispositivo criptogrfico com conector USB, portvel e de fcil uso. TSP (Token Service Provider): Camada de hardware abstrata presente no framework ePassNG. Esta camada interfaces comuns de entrada e sada para todos os tipos de dispositivos. O design pode prover uma determinada expanso contra as diferenas de hardware. Transporte de chaves (key transport): Protocolo que possibilita que uma chave simtrica seja transferida aos participantes legtimos da entidade geradora para parceiros. Neste mtodo, a chave definida por uma das entidades e repassada para as demais. Unidade de Dado: O menor conjunto de bits que pode ser referenciado de forma no ambgua [ISO/IEC 7816-4]. Usurio: um indivduo ou processo que age como tal com o intuito de obter acesso a um mdulo criptogrfico para executar servios.
13
2. Lista de Acrnimos
AES Advanced Encryption Standard APDU Application Protocol Data Unit API Application Programming Interface ATR Answer To Reset CBC Cipher Block Chaining CE Consumer electronics CFCA China Financial Certificate Authority CLK Clock DES Data Encryption Standard DF Dedicated File EEPROM Electrically Erasable Programmable Read-Only Memory EF Elementary File FCC Federal Communications Commission FIPS Federal Information Processing Standards GND Ground ICC Integrated Circuit Chip ICP Infra-Estrutura de Chaves Pblicas ICP-Brasil Infra-Estrutura de Chaves Pblicas Brasileira IEC International Electrotechnical Commission IKE Internet key exchange IN Instruo Normativa
14
IPSec Internet Protocol Security I/O Input/Output ISO Internation Organization for Standardization ITL Information Technology Laboratory ITI Instituto Nacional de Tecnologia da Informao IV Initialization Vector JCE Java Cryptography Extension LCR Lista de Certificados Revogados LEA Laboratrio de Ensaios e Auditoria LSITEC Laboratrio de Sistemas Integrveis Tecnolgico MAC Message Authentication Code MAP Modular Arithmetic Processor MF Master File MSCAPI Microsoft Crypto API NIST National Institute of Standards and Technology OPSEC Operations security PC Personal Computer PCS Parmetros Crticos de Segurana PIN Personal Identification Number PPS Protocol and Parameters Selection PUK PIN Unlock Key RFU Reserved for Future Use
15
RNG Random Number Generator RSA Rivest Shamir and Adleman RST Reset SHA Secure Hash Algorithm SO Sistema Operacional SP Service Provider SSL Secure Sockets Layer TLV Tag Length Value TSP Token Service Provider TTL Time To Live USB Universal Serial Bus VPP Variable Supply Voltage
16
3. Sobre a Pronova Solues Inteligentes

A Pronova Solues Inteligentes formada por uma equipe com mais de 15 anos de experincia no mercado de Segurana da Informao. Somos pioneiros neste setor, no qual sempre nos destacamos pela qualidade dos produtos que oferecemos aliada ao bom atendimento, formao de parcerias, lanamento de novas tecnologias, alm de servios de consultoria. Ao longo deste perodo, lanamos e comercializamos no Brasil produtos desenvolvidos e utilizados em larga escala no mercado internacional. Atendemos as mais variadas necessidades de proteo, como armazenamento e transmisso segura de informaes, monitoramento de contedo hostil, alm de proteo de software contra pirataria, entre outros.
4. Sobre a Feitian Technologies Inc., Ltd.

A Feitian Technologies Co., Ltd. iniciou suas operaes em 1998 com o desenvolvimento do Sistema de Proteo de Software ROCKEY. Ao longo de suas atividades, a Feitian se tornou rapidamente o principal provedor de chaves de proteo de software na China e aumentou exponencialmente suas vendas no mercado mundial.
5. Sobre o Token USB ePass2000

O ePass2000 um dispositivo USB que foi desenvolvido para oferecer autenticao, verificao e servios de criptografia de informaes, alm de suporte para criptografia de e-mails, assinatura digital e uso de SSL no Internet Explorer, Outlook, Outlook Express, Netscape Communicator ou qualquer outro software baseado em padres Microsoft Crypto API ou PKCS#11. Como os demais produtos existentes no mercado, o ePass2000 notavelmente verstil e o seu kit de desenvolvimento (SDK Software Developer's Kit) pode ser usado para criar diversas outras aplicaes. O ePass2000 um token USB de autenticao aderente as normas do Comit Gestor da ICP* Brasil que pode ser utilizado em Windows 98SE, 2000, ME, XP , 2003, Mac OS 8/9/X e Linux. Da mesma forma que um carto inteligente (smart card), pode executar poderosos clculos de criptografia. As rotinas de criptografia executadas pelo ePass2000 que fazem uso das chaves privadas usam uma rea de memria do tipo non-swappaple.
5.1 Descrio Fsica Externa do ePass2000

Corpo do Token Conector USB
LED
Orifcio para prender o Token a um chaveiro ou cordo
Capa do Conector USB
5.2 Sobre o chip criptogrfico do ePass2000

O chip criptogrfico do ePass2000 um microcontrolador serial de acesso especialmente projetado para aplicaes seguras e portveis. O chip inclui tambm um MAP o qual est baseado em um processador de arquitetura de 1088bits. Ele processa multiplicao modular, squaring e clculos adicionais de at 2176bits operands.
Com exceo ao Windows XP Starter Edition, o qual, segundo a Microsoft Brasil, no possui o servio carto inteligente disponvel para instalao.
17
EPASS2000 - MANUAL DO USURIO O MAP (Modular Arithmetic Processor) e o acelerador DES foram projetados para acelerar os clculos criptogrficos usando algoritmos de chave pblica e de chaves secretas. Este produto est baseado em uma CPU de 8bits e inclui chips de memrias: ROM Usurio, RAM Usurio e EEPROM Usurio com o estado da arte em recursos de segurana. As memrias ROM, RAM e EEPROM podem ser configuradas com regras de acesso customizados. Acesso para qualquer rea de memria para outra rea est protegida por hardware firewalls. Regras de acesso so definidas pelo Usurio e podem ser selecionadas por opes de mscaras ou durante o ciclo de vida do produto. O chip inclui um acelerador DES o qual acessado via biblioteca de software do sistema criptogrfico. Assim como os demais chips criptogrficos, as interfaces seriais so plenamente compatveis com o padro ISO7816 para todas as aplicaes smart card disponveis. Em adio, chip inclui uma interface serial USB e duas interfaces (I/O) seriais ISO7816-3. Um bloco de clculo CRC tambm est disponvel e disponvel para acesso direto pelo Usurio. Por fim, este produto fabricado usando a mais confivel tecnologia CMOS EEPROM. Por fim, o chip criptogrfico do ePass2000 prov um mtodo para sobrescrever com zeros binrios os valores de todas as chaves simtricas, chaves assimtricas privadas e PCSs. Aps a concluso desta operao de sobrescrita, as chaves eliminadas no podem mais ser acessadas.
5.3 Diagrama do Chip Criptogrfico
RAM
EEPROM
ROM Usurio
Sistema ROM e Bibliotecas Criptogrficas
Acelerado r DES
MAP
Firewall de Acesso a Memria
Firewall do Sistema ROM, MAP e DES
BUS Interno
Mdulo CRC
Mdulo Gerador Relgio CLK
Trs Timers de 8bits
Security Admin
GUN A & GUN B
CPU de 8bits GND
Duas interfaces seriais
Interface USB
RESET
Vcc
I/O
D+
D-
No ePass2000 as chaves privadas dos certificados digitais so armazenadas em uma rea de memria prpria que s pode ser acessada quando o usurio se autentica no ePass2000 com o seu PIN (Personal Identification Number). O middleware do ePass2000 ir associar automaticamente o par de chaves gerado ao certificado digital. O ePass2000 utiliza os algoritmos simtricos de criptografia DES e 3-DES (k1, k2 e k3) implementados no prprio hardware e isto garante a segurana dos pares de chaves armazenados no ePass2000 durante a execuo de clculos de criptografia. Para maiores informaes sobre a cifragem das chaves privadas no ePass2000, solicite a Pronova Solues Inteligentes o documento Hardware Description.
18
EPASS2000 - MANUAL DO USURIO A seguir os principais recursos oferecidos pelo Token USB ePass2000
Gerao no prprio dispositivo (on board) do par de chaves RSA 1024 bits; Suporte nativo para os algoritmos RSA, MD5, SHA1, DES e 3DES; Suporte aos padres Microsoft CAPI e PKCS#11; Suporte ao mecanismo de autenticao tipo challenge/response (desafio/resposta) CSP (Cryptographic Services Provider) para Windows Compatvel com Windows 2000 PC/SC; Middleware para Windows e Linux Gerao de nmeros aleatrios em hardware; Assinatura digital realizada em hardware; Suporte para mltiplas aplicaes PKI, inclusive ICP-Brasil; Suporte para mltiplos armazenamentos de chaves; Interface padro USB tipo A 1.0 compatvel com 2.0; Certificaes CE, FCC, Microsoft WHQL, CFCA, OPSEC e FIPS (para o chip criptogrfico); Chassi de plstico resistente (tamper evident); resistente a gua; Capa protetora do conector USB; Gerenciamento atravs de um PIN e de um PUK; Software de Gerenciamento do dispositivo em Portugus do Brasil.
5.4 Especificaes Tcnicas

Sistemas Operacionais: Windows 98SE, 2000, ME, XP , 2003, Vista, MacOS 8/9/X e Linux (kernel 2.4 ou mais recente) Microsoft Internet Explorer 5.5 (e superiores), Netscape Navigator e Mozilla Firefox 1.5 e verses mais recentes. PKCS#11 v2.10, MS CAPI, PC/SC, X.509 v3, SSL v3, IPSec/IKE, ISO 7816 3-4, FCC, CE, CFCA, OPSEC e FIPS 140-2 8 bits 32 KB RSA, DES, 3DES, DAS, MD5 e SHA-1 Armazenamento de dados seguro e criptografado 50mm x 17mm x 7mm 6g < 250 mW 0 at 70C -40 at 85C 0 at 100% - 0 at 100% sem condensao Universal Serial Bus, tipo A, 1.0 compatvel com 2.0 Plstico reforado, prova de violao (tamper evident) 10 anos Sim Sim Sim
**
Navegadores Suportados
Certificaes e Padres: Processador: Memria: Algoritmos On-Board: Nvel de Segurana do Chip: Dimenses: Peso: Dissipao de Energia: Temperatura de Operao: Temperatura de Armazenamento: Faixa de umidade: Conector: Chassi: Reteno de Dados de memria: Capa protetora do conector USB Nmero Serial impresso no chassi LED
**
Com exceo a edio Starter Edition, o qual, segundo a Microsoft Brasil, no possui o servio carto inteligente disponvel para instalao. A verso do driver est disponvel para 32bits e 64bits.
19
5.5 Requisitos mnimos do sistema:

Para que seja possvel fazer uso do ePass2000, verifique se seu sistema possui os seguintes requisitos mnimos:
Windows 98SE, ME, 2000, 2003, XP**, Vista**, MacOS 8/9/X ou Linux (kernel 2.4 ou mais recente). O sistema operacional dever oferecer suporte ao servio carto inteligente (smart card) para que seja possvel a utilizao do Token USB ePass2000. Pelo menos 10 MB Pelo menos uma porta USB tipo A livre O usurio dever ter privilgios de administrador para ter direito de instalar dispositivos no sistema operacional
Sistema Operacional Servio Carto Inteligente Espao em disco Porta USB Direitos
5.6 Vantagens do Token USB ePass2000

Conexo direta na porta USB sem interface intermediria para leitura; Altos Nveis de Segurana: a funo criptogrfica on board do dispositivo, baseada no algoritmo RSA, muito mais segura que uma soluo baseada em software. Toda informao sensvel permanece armazenada na memria protegida do dispositivo. Todas as operaes de assinatura e criptografia so realizadas dentro do dispositivo. A chave privada NUNCA deixa a memria segura do dispositivo, o que garante que ela no ser copiada por um hacker, por exemplo. A avanada tecnologia de encapsulamento do chip tambm garante a segurana fsica dos dados armazenados no mdulo criptogrfico. Integrao Transparente: so oferecidos dois padres industriais reconhecidos: PKCS#11 e Microsoft Crypto API. O Token USB pode ser integrado com qualquer aplicao com qualquer um destes padres. Alm disso, este dispositivo otimizado para trabalhar com solues de software de terceiros. Em adio, o ePass2000 possui memria segura para armazenar simultaneamente certificados digitais, chaves privadas, senhas e outras credenciais pessoais, ou seja, suporte a mltiplas aplicaes PKI. Exportao automtica de certificados armazenados para o certificate store dos sistemas operacionais Windows 98SE, Windows ME, Windows 2000, Windows XP e verses mais recentes; Alta confiabilidade: o ePass2000 pode armazenar de forma segura credenciais por pelo menos 10 anos.
20
5.7 Recursos do Hardware

Criptografia: o dispositivo suporta os seguintes algoritmos: RSA 1024 bits (assinatura e verificao), DES e 3DES; SHA-1 e MD5. Gerao do par de chaves: o par de chaves RSA gerado no prprio dispositivo e este processo no dura mais que 20 segundos. Gerador de nmeros aleatrios: o dispositivo faz uso de um gerador de nmeros aleatrios real para criar o par de chaves e o MAC (Message Authentication Code). Acesso multi-nvel: existem 16 nveis de acesso do sistema de arquivos do ePass2000. O sistema de arquivos permite que usurios definam um ou mais privilgios de segurana para o gerenciamento de chave.
5.8 Arquitetura ePassNG

O framework ePassNG oferece interfaces de programao padro PKCS$#11 e Microsoft Crypto API para a camada superior de aplicaes PKI. ISVs podem desenvolver suas prprias aplicaes PKI baseadas nestas interfaces. Alm disso, as interfaces providas pelo framework ePassNG podem ser integradas de forma transparente com qualquer aplicao padro PKI atravs de simples configurao. A seguir uma breve descrio do framework ePassNG.
A arquitetura do sistema consiste em cinco camadas, a saber: Hardware, Ncleo do Driver, Abstrata do Hardware, Interface de Aplicao e Aplicao.
21
EPASS2000 - MANUAL DO USURIO Camada Hardware: esta camada a infra-estrutura de toda a arquitetura. Ela contm vrios tokens incluindo seus circuitos de hardware, programas firmware e fios. Qualquer tipo de token em conformidade com o padro PC/SC pode ser suportado por esta camada de hardware, como por exemplo, o ePass1000, o ePass2000_FT11, o ePass2000_FT12, o ePass3000, o ePass3000ND e vrios outros leitores de smart card e combinaes de smart cards e tokens USB de terceiros. Seu recurso comum estar apto a ser controlado atravs do sistema de operao do Gerenciador de Recursos Smart Card. Tokens tambm podem ser dispositivos HID (Human Interface Device), como por exemplo, o ePassND (chave USB introduzida pela Feitian, a qual dispensa a instalao de driver. ND significa non-driver), flash memory USB e arquivos uniformes no disco rgido. Diferentes tipos de tokens ou mltiplos tokens do mesmo tipo podem trabalhar juntos. Camada Ncleo do Driver: esta camada responsvel pelo gerenciamento das comunicaes de dados e pedidos do acesso dos processos da camada TSP entre o computador cliente e a camada de Hardware. Para tokens do tipo PC/SC esta camada funciona como um driver de hardware, driver PC/SC e operao de sistema de Gerenciador de Recursos Smart Card. Para tokens do tipo HID, esta camada pode ser tratada como sistema de operao de drivers built-in. Camada Abstrata do Hardware: esta camada prove a interface abstrata padro para a camada Interface de Aplicao. Comunicaes entre o computador e diferentes dispositivos (incluindo token) usam a mesma interface provida por esta camada. Este projeto oculta de forma eficaz a diferena entre hardwares. A implementao de software desta camada chamada TSP (Token Service Provider). Camada Interface de Aplicao: esta camada prove as implementaes dos padres das interfaces PKCS#11 e Microsoft Crypto API para a camada superior de aplicaes PKI. Alm disso, interface de aplicao PC/SC em conformidade com o padro Microsoft PC/SC tambm oferecida. Desenvolvedores podem escrever aplicaes com seu conjunto familiar de funes PC/SC. Esta interface independente da plataforma e pode ser aplicada em todas as plataformas compatveis com ePassNG. Camada Aplicao: esta camada oferece vrias aplicaes ePassNG e outras aplicaes, pois ePassNG oferece diferentes tipos de padres de interfaces de programao; ela compatvel com a maioria das aplicaes existentes e alm disso, desenvolvedores podem usar os conjuntos de interfaces familiares para projetarem suas prprias aplicaes.
5.9 O que o PUK (PIN Unlock Key)

NOTA: o valor do PUK do ePass2000 at 09/07/2006 era rockey (sem as aspas). A partir de 10/07/2007 com a introduo runtime verso 1.0.6.710, o valor de fbrica do PUK foi alterado para 12345678(sem as aspas). Esta modificao foi realizada para atender aos requisitos II.11 e II.16 do Manual de Condutas Tcnicas Volume I - Detalhamento dos Requisitos Tcnicos para Cartes Inteligentes (Smart Cards), Leitoras de Cartes Inteligentes e Tokens Criptogrficos no mbito da ICP-Brasil. O PUK (PIN Unlock Key) a senha mster que permite ao usurio recuperar o PIN do Usurio e, tambm formatar o setor PKI do ePass2000. O valor de fbrica 12345678 (sem as aspas). Por questes de segurana, este PIN Unlock Key possui um nmero mximo de tentativas de acerto. Tenha cuidado para no exceder as 5 (cinco) tentativas, pois se o PUK for travado, ser 1 necessrio reinicializar o ePass2000 com uma ferramenta chamada ePassNG Init , a qual ir apagar todo o contedo que estiver armazenado no seu ePass2000. Por questes de segurana e de privacidade, recomendamos que o PUK seja alterado assim que seja possvel, ou seja, na primeira utilizao. Depois que esta alterao for realizada, o PUK dever ser guardado em um local seguro. Esta senha mster deve ter no mnimo 8 (oito) caracteres.
O instalador desta ferramenta se encontra no diretrio FORMATADOR do CD-ROM de instalao!
22
5.10 O que o PIN do Usurio?

NOTA: o valor do PIN do ePass2000 at 09/07/2006 era 1234 (sem as aspas). A partir de 10/07/2007 com a introduo runtime verso 1.0.6.710, o valor de fbrica do PIN foi alterado para 12345678(sem as aspas). Esta modificao foi realizada para atender aos requisitos II.4 e II.16 do Manual de Condutas Tcnicas Volume I - Detalhamento dos Requisitos Tcnicos para Cartes Inteligentes (Smart Cards), Leitoras de Cartes Inteligentes e Tokens Criptogrficos no mbito da ICP-Brasil. O PIN do Usurio a senha que ser utilizada pelo usurio do dispositivo todas as vezes que for necessrio ter acesso s informaes pessoais que esto armazenadas no chip criptogrfico. O valor de fbrica do PIN do Usurio 12345678 (sem as aspas) e da mesma forma que o PUK, tambm existe um nmero determinado de acertos desta senha, mas neste caso podem ser feitas at 5 (cinco) tentativas consecutivas de acerto desta senha. Ao contrrio do PUK, voc poder destravar o PIN do Usurio (mais informaes, consulte o tpico Gerenciador PKI - Destravando o PIN"). Conforme normas estabelecidas pelo Comit Gestor da ICP-Brasil, o PIN do ePass2000 poder conter caracteres alfanumricos, com suporte ao idioma Portugus do Brasil.
6. Instalando o software do Token USB ePass2000 6.1 Instalao nos sistemas Windows 2000, Windows XP, Windows Vista e Windows 2003
Para instalar o software do ePass2000, basta inserir CD-ROM fornecido, aguardar a execuo do Instalador e seguir as instrues abaixo detalhadas. Se voc no possui o CD-ROM, entre em contato com a Pronova Solues Inteligentes e solicite o instalador. Nota: se sua unidade de CD-ROM estiver com a funo execuo automtica desabilitada, certamente ser necessrio executar de forma manual o arquivo ePass2000.exe. a) Clique no boto Avanar da janela de boas vindas
23
b) Para continuar com a instalao, leia com ateno o Contrato de Licena e clique no boto Concordo.
c) Se for fazer logon em rede ou VPN usando o Token como um carto inteligente, habilite a opo Suporte para sistema de smartcard logon em rede ou VPN. Caso contrrio no habilite esta opo . Para continuar clique no boto Instalar.
Para fazer smartcard logon necessrio ter um certificado digital para esta finalidade. Ressaltamos ainda que esta funcionalidade somente suportada nos sistemas operacionais Windows 2000, XP e 2003. Com relao a VPN, para esta integrao ocorrer necessrio que o cliente de VPN da sua soluo de firewall j esteja instalado e configurado.
24
c) Aguarde que o instalador copie para a sua mquina os arquivos necessrios para utilizar o ePass2000;
d) Clique no boto Terminar para concluir a instalao do Runtime e reiniciar o seu computador, caso seja necessrio.
e) Ao final do novo boot, conecte o seu ePass2000 em uma porta USB livre e aguarde que o sistema operacional reconhea este novo hardware. Durante o processo de reconhecimento do novo hardware o LED (luz) do ePass2000 ficar piscando.
25
6.2 Instalao nos sistemas Windows 98SE e Windows ME

Para instalar o software do ePass2000, basta inserir CD-ROM fornecido, aguardar a execuo do Instalador e seguir as instrues abaixo detalhadas. Se voc no possui o CD-ROM, entre em contato com a Pronova Solues Inteligentes e solicite o instalador. Nota: se sua unidade de CD-ROM estiver com a funo autorun desabilitada, certamente ser necessrio executar de forma manual o arquivo ePass2000.exe. a) Clique no boto Avanar da janela de boas vindas
b) Aguarde que o instalador copie para a sua mquina os arquivos necessrios para utilizar o ePass2000, bem como o sistema operacional reconhea os novos recursos que esto sendo instalados; c) Clique no boto Terminar para concluir a instalao do Runtime e reiniciar o seu computador.
26
6.3 Instalao por linha de comando

Para os administradores de rede que necessitem fazer a instalao do software do ePass2000 atravs de scritps, o instalador do ePass2000 suporta a execuo atravs de linha de comando. Os seguintes parmetros hoje oferecidos so:
Com base nestas informaes, se voc desejar instalar o software do ePass2000 em modo silencioso, basta adicionar o parmetro s ao final da sintaxe de execuo.
6.4 Instalando o ePass2000 em mquinas com Linux

Copiar do CD de instalao ou baixar o pacote de instalao a partir da pgina de downloads do site da PRONOVA; Descompactar o pacote de instalao copiado do CD de instalao ou baixado do site da PRONOVA; Abrir uma tela do terminal; Logar como usurio root. Normalmente usado o comando sudo su; Ir at o diretrio criado pela descompactao do arquivo; No diretrio raiz criado pela descompactao do arquivo, executar o comando ./install Ao final da instalao, reiniciar o computador; Ao final do novo boot, conectar o Token ePass2000 a uma porta USB livre;
Procedimentos Adicionais
Abrir o arquivo instpk.html com o navegador Mozilla Firefox. Este arquivo responsvel pela adio do Mdulo PKCS#11 do ePass2000 estar no diretrio Doc abaixo da raiz do diretrio criado a partir da descompactao do arquivo que ser baixado do site da PRONOVA. Adicionar a cadeia de certificados da Autoridade Certificadora que emitiu o certificado digital que est armazenado no ePass2000. Estas instrues DEVEM ser obtidas com o suporte tcnico da Autoridade Certificadora.
NOTA: o middleware do ePass2000 para Linux oferece integrao de certificados armazenados no dispositivo com o NSS (Network Security Services) no ambiente Linux Kernel 2.4 ou verses mais recentes e estveis.
6.5 Instalando o ePass2000 em mquinas com Mac OS

Copiar do CD de instalao ou baixar o pacote de instalao a partir da pgina de downloads do site da PRONOVA; 27
EPASS2000 - MANUAL DO USURIO Descompactar o pacote de instalao copiado do CD de instalao ou baixado do site da PRONOVA; Abrir uma tela do terminal; Logar como usurio root. Normalmente usado o comando sudo su; Ir at o diretrio criado pela descompactao do arquivo; No diretrio raiz criado pela descompactao do arquivo, executar o comando ./install Ao final da instalao, reiniciar o computador; Ao final do novo boot, conectar o Token ePass2000 a uma porta USB livre;
Procedimentos Adicionais
Abrir o arquivo instpk.html com o navegador Mozilla Firefox. Este arquivo responsvel pela adio do Mdulo PKCS#11 do ePass2000 estar na raiz do diretrio criado a partir da descompactao do arquivo que ser baixado do site da PRONOVA. Adicionar a cadeia de certificados da Autoridade Certificadora que emitiu o certificado digital que est armazenado no ePass2000. Estas instrues DEVEM ser obtidas com o suporte tcnico da Autoridade Certificadora.
6.6 Monitor de Certificados - Configurando o Tempo de Vida do PIN atravs

Voc poder definir o tempo de vida do PIN do seu ePass2000. Este recurso pode ser configurado a partir do cone do Monitor de Certificados que est localizado na rea de notificao do Windows. Para dar incio a configurao, com o seu dispositivo conectado em uma porta USB, d dois cliques no cone do Monitor de Certificados do ePass2000. Na janela do Monitor de Certificados do ePass2000, d um clique no boto PIN Timeout
28
EPASS2000 - MANUAL DO USURIO Na janela Configurao do Tempo de Vida do PIN, selecione a opo Tornar o PIN do Token inativo aps e no campo a seguir digite o valor em minutos desejado. Para concluir esta operao, clique no boto OK.
6.7 Monitor de Certificados - Alterando o PIN

Sempre que voc desejar, voc poder usar o boto Alterar PIN disponvel no Monitor de Certificados para proceder a alterao do PIN do seu ePass2000. Este recurso pode ser configurado a partir do cone do Monitor de Certificados que est localizado na rea de notificao do Windows. Para alterar o PIN, com o seu dispositivo conectado em uma porta USB, d dois cliques no cone do Monitor de Certificados do ePass2000. Na janela do Monitor de Certificados do ePass2000, d um clique no boto Alterar PIN
Na janela Alterar PIN, digite o Atual PIN do seu ePass2000. Nos campos seguintes digite o NOVO PIN para o seu ePass2000. Para concluir esta operao, clique no boto OK. Se os dados informados estiverem corretos, voc ir visualizar a mensagem de que o PIN foi alterado com sucesso.
29
6.8 Monitor de Certificados Visualizando Detalhes do Certificado

Voc poder usar o boto Ver disponvel no Monitor de Certificados para visualizar os detalhes gerais de cada certificado que estiver armazenado no seu ePass2000. Com o seu dispositivo conectado em uma porta USB, d dois cliques no cone do Monitor de Certificados do ePass2000 e na janela do Monitor de Certificados do ePass2000, selecione o seu certificado e d um clique no boto Ver
6.9 Monitor de Certificados Removendo um Certificado do Repositrio do Windows

Todos os certificados armazenados no ePass2000 so automaticamente transferidos para o repositrio do Windows quando o Token ePass2000 conectado a porta USB do computador. Todavia, se voc desejar que nem todos os certificados sejam transferidos automaticamente, voc poder fazer uso do recurso Remover do Monitor de Certificados. Para isso, com o seu dispositivo conectado em uma porta USB, d dois cliques no cone do Monitor de Certificados do ePass2000. Na janela do Monitor de Certificados do ePass2000, selecione o seu certificado e d um clique no boto Remover
NOTA: o uso deste recurso no exclui nenhum certificado digital ou informao armazenada na memria do ePass2000.
30
6.10 Monitor de Certificados Devolvendo um Certificado do Repositrio do Windows

Sempre que voc selecionar um certificado e o boto Protocolar estiver habilitado, isso sinal que o certificado no est sendo transferido de forma automtica para o repositrio do Windows. Para que este certificado volte a ser transferido automaticamente para o repositrio do Windows, selecione-o e depois clique no boto Protocolar.
NOTA: o uso deste recurso no exclui nenhum certificado digital ou informao armazenada na memria do ePass2000.
7. Gerenciador PKI do ePass2000

O Gerenciador PKI do ePass2000 uma ferramenta de administrao que possui duas verses, uma para Administradores e outra para Usurios. A verso para Administradores possui todas as funes que requerem que o uso do PUK (PIN Unlock Key). A verso para Usurios, possui as funes que requerem apenas o PIN (Personal Identification Number) com o detalhe de no permitir que nenhum dado armazenado no ePass2000 seja excludo.
31
7.1 Gerenciador PKI Login

A Funo Login do Gerenciador PKI a porta de entrada para permitir o acesso do usurio do ePass2000 aos dados privados que esto armazenados na memria protegida e tambm a funo Renomear token.
7.1.1 Visualizando certificados e dados gravados no Token ePass2000

Uma vez autenticado no ePass2000, ou seja, depois de ter clicado no boto Login e de ter digitado o PIN do ePass2000, o usurio redirecionado para a rea Seus certificados, como ilustrado na imagem abaixo.
Autenticado
32
EPASS2000 - MANUAL DO USURIO Se voc no se autenticar, ou seja, se no clicar no boto Login e clicar diretamente em Gerenciamento de Dados, voc no ir visualizar as chaves privadas armazenadas no seu ePass2000, como ilustrado na imagem abaixo. Destacamos que quando voc no est autenticado, os nicos botes que ficaro habilitados ao clicar em um objeto exibido so Exportar e Ver
No autenticado Se voc desejar exportar a parte pblica de seu certificado digital do Token para um arquivo .CER, basta selecionar o seu certificado e em seguida clicar no boto Exportar e seguir as instrues do Gerenciador PKI do ePass2000.
7.1.2 Excluindo dados gravados no Token ePass2000

Com o seu dispositivo conectado, execute o Gerenciador a partir do atalho criado em INICIAR | PROGRAMAS | Pronova | ePassNG | Gerenciador do Token. Clique no slot referente ao seu ePass2000 para que as opes de operao sejam exibidas.
33
EPASS2000 - MANUAL DO USURIO Para ter uma viso total de todos os dados, voc ter que se autenticar no ePass2000. Clique no boto Login e em seguida informe o PIN do seu ePass2000.
Uma vez autenticado, voc ser redirecionado automaticamente para a rea Gerenciamento de dados. Se voc no se autenticar e clicar diretamente em Gerenciamento de Dados, voc no ir visualizar as chaves privadas armazenadas no seu ePass2000. Para apagar um certificado digital e seu respectivo par de chaves, selecione o topo da estrutura e a seguir clique no boto Apagar
O Gerenciador ir alertar voc com relao a este procedimento. Se voc estiver certo, clique no boto Sim do contrrio, clique no boto No.
34
EPASS2000 - MANUAL DO USURIO Se desejar apagar um objeto especfico, selecione apenas este objeto e clique no boto Apagar
7.2 Gerenciador PKI Alterar PIN

Para alterar o PIN do Usurio, siga as instrues a seguir: Com o seu dispositivo conectado, execute o Gerenciador a partir do atalho criado em INICIAR | PROGRAMAS | Pronova | ePassNG | Gerenciador do Token. A seguir, clique no slot referente ao seu ePass2000 para que as opes de operao sejam exibidas.
35
Clique no boto Alterar PIN para ter acesso a janela Alterar PIN.
Se voc estiver usando seu ePass2000 pela primeira vez, certamente ele ainda dever estar com o PIN de fbrica que 12345678 (sem as aspas). Neste caso, no campo Digite o ATUAL PIN, digite 12345678 e nos campos Digite um NOVO PIN e Confirme o NOVO PIN digite o PIN mais apropriado para voc. Por questes de segurana, recomendamos que este PIN tenha no mnimo 8 caracteres e que seja composto de letras e nmeros. Depois de preencher todos os campos clique no boto OK e aguarde que a mensagem PIN alterado com sucesso! seja exibida (imagem 8.4).
(imagem 8.4)
36
7.3 Gerenciador PKI Renomear Token

Com o seu dispositivo conectado, execute o Gerenciador a partir do atalho criado em INICIAR | PROGRAMAS | Pronova | ePassNG | Gerenciador do Token. Clique no slot referente ao seu ePass2000 para que as opes de operao sejam exibidas.
Esta funo somente ficar habilitada, aps a sua autenticao no dispositivo. Clique no boto Login e em seguida informe o PIN do seu ePass2000.
37
Uma vez autenticado no ePass2000, clique com o boto direito do mouse no slot do seu Token e em seguida selecione a opo Renomear token
Na janela Renomear token, digite o novo nome (label) para o ePass2000 e clique no boto OK.
Ao final, voc receber visualizar a mensagem de que a operao foi realizada com sucesso.
38
7.4 Gerenciador PKI Alterar PUK

Esta uma tarefa muito simples. Com o seu dispositivo conectado, execute o Gerenciador a partir do atalho criado em INICIAR | PROGRAMAS | Pronova | ePassNG | Gerenciador do Token. No Gerenciador, clique no slot referente ao seu ePass2000.
Clique no boto Alterar PUK ter acesso janela Alterar PUK
39
EPASS2000 - MANUAL DO USURIO Se esta for a sua primeira utilizao, no campo Digite o ATUAL PUK, digite 12345678 que o valor de fbrica do PUK. No campo Digite um NOVO PUK digite o valor que voc deseja para o seu dispositivo. Confirme este valor no campo Confirme o NOVO PUK. Para concluir esta operao, clique no boto OK e aguarde a exibio da mensagem PUK do Token alterado com sucesso (imagem 7.4):
(imagem 7.4)
7.5 Gerenciador PKI Destravar PIN

Se o nmero de tentativas de acerto do PIN foi excedido, voc ter que usar a funo Destravar PIN para definir um novo PIN. Com o seu dispositivo conectado, execute o Gerenciador do ePass2000, clique no slot referente ao seu ePass2000 para que as opes de operao sejam exibidas. Depois, clique no boto Destravar PIN para ter acesso a janela Destravar PIN do Usurio
ATENO: antes de iniciar este procedimento tenha absoluta certeza de que est de posse do PUK do dispositivo! Se ocorrer cinco tentativas de acesso com o PUK incorreto, o seu Token ser totalmente travado e ser necessrio re-formatar o seu ePass2000, perdendo assim todas as informaes que esto armazenadas no equipamento.
40
EPASS2000 - MANUAL DO USURIO No campo Digite o PUK do Token, digite o PUK do seu dispositivo. Nos campos Digite um NOVO PIN e Confirme o NOVO PIN digite um novo PIN para o seu ePass2000. Aps preencher todos os campos, clique no boto OK e aguarde que a mensagem PIN do Token destravado com sucesso! (imagem 8.1.4).
(imagem 8.1.4)
7.6 Gerenciador PKI Formatar Token

Sempre que voc julgar necessrio apagar todo o contedo (certificados e chaves criptogrficas) do ePass2000, faa uso do recurso Formatar Token do Gerenciador. Para tal, execute-o a partir do atalho criado no Grupo Pronova que pode ser acessado a partir do boto Iniciar do Windows. Clique no slot referente ao seu ePass2000 para que as opes de operao sejam exibidas ATENO: esta uma ao irreversvel e que vai apagar todas as informaes que estiverem armazenadas no ePass2000.
41
EPASS2000 - MANUAL DO USURIO Clique no boto Formatar Token para ter acesso a janela Formatar o Token (Inicializar Setor PKI).
No campo Digite o ATUAL PUK do Token digite o PUK. Nos campos Digite um NOVO PIN e Confirme o NOVO PIN, digite um novo PIN para o seu ePass2000. Se desejar que o seu dispositivo tenha um nome especfico, digite o nome desejado no campo Digite um nome para o Token. Depois de preencher todos os campos, clique no boto OK. Uma janela (imagem 9.4) informando que o processo vai apagar todas as informaes do Token ser exibida. Se voc estiver certo de que deseja apagar TODOS os dados que esto armazenados no equipamento, clique no boto Sim para continuar. Do contrrio, clique no boto No para cancelar a operao.
42
(imagem 9.4) Se voc clicou no boto Sim a mensagem Token formatado com sucesso! Todas as informaes que estavam armazenadas no Token foram apagadas ser exibida (imagem 9.5).
(imagem 9.5)
8. Suporte ao Mecanismo de chalenge/response (desafio/resposta)

O ePass2000 um Token USB que suporta mecanismo de desafio/resposta. ilustraremos com funciona este mecanismo com a utilizao do algoritmo MD5. (1) A seguir
(2)
43
EPASS2000 - MANUAL DO USURIO (3)
(4)
(5)
(6)
(7)
44
EPASS2000 - MANUAL DO USURIO (8)
(9)
(10)
(11)
45
10. Instalando um certificado digital emitido por uma Autoridade Certificadora (AC) Microsoft no ePass2000
Este tpico foi escrito para demonstrar o suporte do ePass2000 ao padro Microsoft Crypto API, como tambm para apresentar ao usurio do ePass2000 o CSP (Cryptographic Service Provider Provedor de Solues de Criptografia), o qual requerido por autoridades certificadoras no mbito da ICP-Brasil para a solicitar e gravar o certificado digital, alm de gerar o par de chaves de criptografia RSA ATENO: voc apenas poder executar os passos descritos neste tpico se voc ou sua empresa possuir um servidor Windows 2000 ou Windows 2003 com o servio Autoridade Certificadora (Certificate Authority) instalado e configurado. Se voc no possui esta estrutura instalada em sua rede, procure uma Autoridade Certificadora credenciada ICP-Brasil. Maiores informaes sobre as ACs credenciadas ICPBrasil, consulte www.iti.gov.br e os nossos boletins tcnicos que esto disponveis no CD-ROM de instalao. Instalar um certificado digital no ePass2000 uma tarefa muito simples. Entretanto, importante ressaltar que o processo dever ser concludo no mesmo computador onde o processo de solicitao foi iniciado. Voc poder instalar qualquer certificado digital cujo par de chaves seja de at 1024bits, inclusive ICP-Brasil (desde que solicitado a partir de uma AC credenciada a ICP-Brasil), mas necessrio aqui estar atento capacidade de armazenamento do seu dispositivo, ou seja, a quantidade de certificados armazenados vai variar do tamanho destes e da memria de 32K do seu ePass2000. Com o seu dispositivo conectado em uma porta USB, acesse a pgina web onde ser feita a solicitao do certificado digital. Nosso exemplo far uso da Autoridade Certificadora PRONOVA que roda em uma plataforma Microsoft. No registraremos aqui neste guia as telas iniciais onde o usurio informa o nome, o email, telefone e demais dados cadastrais. Apresentaremos o processo a partir da tela onde o usurio ter que selecionar o CSP (Cryptographic Solution Provider) do dispositivo. Na imagem abaixo, note que estamos selecionando a opo FEITIAN ePassNG RSA Cryptographic Service Provider.
46
Ao clicar no boto Submit da pgina de solicitao do certificado digital, uma tela solicitando o PIN do Usurio ir surgir. Informe o PIN e clique no boto Login.
Se o PIN informado for o correto, observe as mensagens que sero exibidas na rea de notificao do Windows. Ao informar PIN correto o par de chaves ser gerado dentro do seu ePass2000 e ao trmino deste processo o usurio encaminhado para a prxima pgina.
Para concluir a instalao, clique no link Install this certificate e a prxima pgina ser exibida.
Pronto, seu certificado j est armazenado no ePass2000!
ATENO: se voc deseja maiores informaes sobre os procedimentos de solicitao, validao e gravao de seu certificado digital ICP-Brasil em seu ePass2000, consulte a Autoridade Certificadora ou se preferir os nossos boletins tcnicos que esto disponveis no diretrio TOKENS\Boletins_Tecnicos do CD-ROM de instalao do ePass2000.
47
11. Utilizando o Mozilla Firefox para alterar o PIN do ePass2000

a) Clique em Ferramentas da barra de menu e depois em Opes... b) Na janela Opes, clique na opo Avanado e depois no boto Disp. De segurana
c) Na janela Gerenciador de dispositivos de segurana, clique no nome do seu ePassNG e depois no boto Modificar Senha
48
EPASS2000 - MANUAL DO USURIO d) Uma janela chamada Modificar a senha mestra ser exibida. No campo Senha mestra atual digite o atual PIN do Usurio, nos campos seguintes digite o novo PIN do Usurio. Ao final, clique no boto OK para concluir a operao
e) Assim que a operao for concluda, clique no boto OK da janela Aviso
f) Clique no boto OK da janela Gerenciador de dispositivos de segurana g) Clique no boto OK da janela Opes para concluir.
49
12. Importando um certificado digital para o ePass2000 a partir de um arquivo

NOTA: certificados digitais do tipo A3 no possuem cpia de segurana em arquivo formato .PFX ou .P12, pois de acordo com as normas da ICP-Brasil o par de chaves DEVE ser gerado dentro de um dispositivo criptogrfico (Token USB ou Carto Inteligente), tal norma determina que a chave privada no poder ser exportada para fora do dispositivo criptogrfico, impedindo assim a gerao deste tipo de arquivo de backup. Se voc possui uma cpia do seu certificado digital em um arquivo .PFX ou .P12 e deseja importlo para o ePass2000 necessrio que voc possua a senha do seu arquivo. De posse deste arquivo e da senha do mesmo, siga os seguintes passos: a) Execute o Gerenciador a partir do atalho criado em no grupo INICIAR | PROGRAMAS | Pronova b) Clique no slot referente ao seu ePass2000 para que as opes de operao sejam exibidas
(imagem 13.1)
Clique no boto Login (imagem 13.1) para que a janela Gerenciador de Certificados Login (imagem 13.2) seja exibida. Nela digite o PIN do seu Token e clique no boto Login para continuar.
(imagem 13.2)
50
EPASS2000 - MANUAL DO USURIO De volta a janela do Gerenciador, voc ser redirecionado para Gerenciamento de dados, para continuar clique no boto Importar para que a janela Importar certificado seja exibida.
Clique no boto localizar para informar o local onde est o arquivo .PFX (ou .P12) e a senha deste arquivo.
Boto Localizar
51
EPASS2000 - MANUAL DO USURIO Assim que o certificado for importado para o seu dispositivo, voc ter condies de verificar algumas informaes do certificado.
Voc tambm poder importar para a memria do seu ePass2000 certificados em formato PKCS#7 (arquivo .P7B). Para isso, na janela abrir, voc ter que selecionar a opo arquivos P7B (*.P7B). Caso deseje importar arquivos do tipo .CER, basta alterar o tipo para este formato de arquivo.
52
13. Configurando o Microsoft Outlook para usar um certificado armazenado no ePass2000

Para que as instrues citadas neste captulo tenham resultado positivo, necessrio observar que o e-mail que est incluso no certificado digital armazenado no Token seja o mesmo da conta do Microsoft Outlook. Siga os passos apresentados neste tpico para que seja possvel fazer uso de um certificado digital armazenado no ePass2000. a) Conecte o seu dispositivo e depois execute o Microsoft Outlook; b) Clique em Ferramentas da barra de menu e depois em Opes;
c) Na janela Opes, clique na guia Segurana e depois no boto Configuraes
53
EPASS2000 - MANUAL DO USURIO d) Na janela "Alterar configuraes de segurana" clique no boto "Escolher" que est direita do campo "Certificado de Autenticao". Da lista de certificados disponveis, clique no certificado que corresponde a sua conta de e-mail. Depois no boto "OK";
e) Ainda na janela Alterar configuraes de segurana clique no boto Escolher que est direita do campo "Certificado de Criptografia". Da lista de certificados disponveis, clique no certificado que corresponde a sua conta de e-mail. Depois no boto "OK"; f) Ainda na guia Segurana, clique na opo Adicionar assinatura digital a mensagens enviadas. Para concluir clique no boto "OK".
g) Ao final da seleo a janela "Alterar configuraes de segurana" poder ser fechada. Clique no boto "OK" para continuar. h) Na primeira vez que voc for enviar uma mensagem assinada, ser necessrio informar o PIN do Usurio do seu dispositivo.
54
14. Configurando o Outlook Express para usar um certificado armazenado no ePass2000

Para que as instrues citadas neste captulo tenham resultado positivo, necessrio observar que o e-mail que est incluso no certificado digital armazenado no Token seja o mesmo da conta do Microsoft Outlook Express. Siga os passos apresentados neste tpico para que seja possvel fazer uso de um certificado digital armazenado no seu dispositivo. a) Conecte o seu dispositivo e depois execute o Outlook Express; b) Clique em Ferramentas da barra de menu e depois em Contas...
c) Na janela Propriedades de... clique na guia Segurana
55
EPASS2000 - MANUAL DO USURIO d) Na guia Segurana, clique no boto Selecionar que est direita do campo Certificado da rea Certificado de autenticao
e) Na janela Selecionar identificao digital padro da conta, selecione o certificado digital referente conta em uso, em seguida clique no boto OK.
Se voc desejar visualizar as informaes sobre o certificado digital, clique no Certificado
boto Exibir
56
EPASS2000 - MANUAL DO USURIO f) De volta a janela Propriedades de..., clique no boto Selecionar que est direita do campo Certificado da rea Preferncias de criptografia
g) Na janela Selecionar identificao digital padro da conta, selecione o certificado digital referente conta em uso, em seguida clique no boto OK.
Se voc desejar visualizar as informaes sobre o certificado digital, clique no boto Exibir Certificado
57
EPASS2000 - MANUAL DO USURIO h) Agora que voc informou o Outlook Express os certificados que sero utilizados para assinar e codificar (criptografar) e-mails, basta clicar no boto OK
i) Clique mais uma vez em Ferramentas da barra de menu e depois em Opes...
58
EPASS2000 - MANUAL DO USURIO j) Na janela Opes, clique na guia Segurana. Em seguida habilite a opo Assinar digitalmente todas as mensagens de sada e clique no boto OK
Toda vez que uma nova mensagem for criada observe que um novo cone estar presente. Este indica que a mensagem ser assinada com o certificado disponvel no sistema
59
EPASS2000 - MANUAL DO USURIO k) Toda vez que uma nova mensagem for criada note que um novo cone estar presente. Este indica que a mensagem ser assinada com o certificado digital da conta em uso l) Ao clicar no boto enviar, ser necessrio informar o PIN do seu dispositivo. Digite-o no campo PIN do Usurio e depois clique no boto Login m) Verifique nos itens enviados do Outlook Express se sua mensagem possui o selo indicando que a mensagem foi assinada
60
15. Integrando o ePass2000 com o Mozilla Thunderbird

ATENO: os procedimentos mencionados a seguir so exclusivos para este cliente de e-mail. A integrao com o Microsoft Outlook e Outlook Express esto em um captulo a parte.
Para integrar o ePass2000 com o Mozilla Thunderbird, execute os seguintes passos: a) Execute o Mozilla Thunderbird, clique em Ferramentas da barra de menu e depois em Opes b) Na janela Opes, clique em Avanado c) Em seguida, clique no sinal a esquerda de Certificados e depois clique no boto Dispositivos d) Uma nova janela chamada Gerenciador de dispositivos de segurana ser exibida, clique no boto Carregar para continuar. e) Na janela Carregar dispositivo PKCS#11, clique no boto Arquivo para informar a localizao do da biblioteca PKCS#11 (C:\WINDOWS\SYSTEM32\ngp11v211.dll) f) Ao localizar o arquivo, clique sobre o mesmo e depois no boto Abrir. De volta a janela Carregar dispositivo PKCS#11, substitua Novo mdulo PKCS#11 no campo Nome do mdulo por ePassNG e depois clique no boto OK g) Clique no boto OK da janela Confirmar h) A mensagem abaixo ser exibida, clique no boto OK para continuar. i) Um novo mdulo ePass2000 ser apresentado
j) Clique no boto OK da janela Gerenciador de dispositivos de segurana k) Clique no boto OK da janela Opes
Ateno: no esquea de instalar a cadeia de certificados da Autoridade Certificadora que emitiu o seu certificado digital, do contrrio o Mozilla Thunderbird no ir reconhecer o seu certificado como vlido!
61
16. Configurando sua conta de e-mail no Mozilla Thunderbird para fazer uso do certificado digital armazenado no ePass2000
a) Execute o Mozilla Thunderbird, clique em Ferramentas da barra de menu e depois em Configurar contas b) Na janela Configurar contas, clique na opo Segurana e em seguida no boto Selecionar da rea Assinatura digital c) Ao clicar no boto Selecionar ser necessrio informar o PIN do seu dispositivo e depois clique no boto OK para continuar d) Na janela Selecionar certificado sero apresentados os detalhes do certificado armazenado no seu dispositivo. Para continuar, clique no boto OK e) O Mozilla Thunderbird ir perguntar se voc deseja usar o mesmo certificado para criptografar mensagens. Se voc desejar usar o mesmo certificado, clique no boto OK, caso contrrio clique no boto Cancelar. No nosso guia, faremos uso do mesmo certificado, por esta razo orientamos clicar no boto OK g) Antes de concluir, recomendamos que voc habilite a opo Assinar mensagens digitalmente (por padro) h) Ainda na janela Configurar contas, clique no boto Certificados da rea Gerenciamento i) Na janela Gerenciador de certificados, verifique se a entidade certificadora que emitiu o seu certificado digital consta da lista, caso contrrio baixe o certificado da autoridade certificadora e depois clique no boto Importar j) Localize o certificado da sua Autoridade Certificadora e clique no boto Abrir k) Na janela Efetuando o donwload do certificado habilite as finalidades e clique no boto OK l) De volta a janela Gerenciador de certificados, clique no boto OK para continuar m) Para concluir clique no boto OK da janela Configurar contas Pronto, agora o seu Mozilla Thunderbird far uso do certificado digital armazenado no seu ePass2000.
62
17. Adicionando a identidade digital do remetente ao catlogo de endereos do Windows

Para que seja possvel a troca de e-mails criptografados usando o Microsoft Outlook e o Outlook Express, necessrio que a identidade digital da pessoa com quem voc deseja trocar e-mails criptografados seja adicionada ao seu catlogo de endereos. Lembramos que no possvel trocar e-mails criptografados se uma das partes no possuir um certificado digital. Para adicionar a identidade digital siga as seguintes instrues: a) Abra a mensagem assinada com um certificado digital que foi enviada pela pessoa com quem voc deseja trocar mensagens criptografadas. Na janela da mensagem assinada, clique no selo.
b) A janela Mensagem assinada ser exibida. Nesta janela, clique no boto Exibir certificados...
c) Na janela Exibir Certificados, clique no boto Adicionar ao Catlogo de endereos 63
d) Uma janela de confirmao do Outlook Express ser exibida, clique no boto OK para continuar
64
18. Enviando uma mensagem criptografada usando o Outlook Express

Uma vez que voc adicionou a identificao digital ao catlogo de endereos, agora possvel enviar uma mensagem criptografada, como demonstraremos a seguir: a) Crie uma nova mensagem b) Clique em Ferramentas da barra de menu e depois selecione a opo Criptografar
c) Note que um novo cone ser adicionado janela. Para continuar, digite o contedo da mensagem, o assunto e o e-mail da pessoa que j consta no seu catlogo de endereos, a qual teve a identidade digital adicionada ao mesmo. Ao final clique no boto Enviar
65
d) Se voc fechou e abriu o Outlook Express ou desconectou e conectou o seu dispositivo, ser necessrio informar mais uma vez o PIN do Usurio, pois a funo que utiliza a chave privada do certificado ter que ser ativada mais uma vez. Digite-o no campo PIN do Usurio e depois clique no boto Login
e) A tela abaixo apresenta a mensagem enviada com os selos de assinatura e criptografia, alm de uma nota informando que a mensagem est assinada digitalmente, verificada e criptografada.
f)
Ao clicar no cone do cadeado azul uma janela com informaes sobre a mensagem ser exibida. Observe que a rea Criptografia informa que o contedo e anexos esto criptografados e que o algoritmo utilizado foi o 3-DES
66
EPASS2000 - MANUAL DO USURIO g) Se voc desejar que todas as mensagens enviadas sejam criptografadas, v at Ferramentas da barra de menu depois selecione Opes e na janela Opes, habilite o item Criptografar contedo e anexos de todas as mensagens de sada
Nota: no se esquea que para trocar mensagens criptografadas necessrio adicionar a identidade digital do destinatrio ao seu catlogo de endereos.
67
19. Adicionando uma identificao digital sua lista de contatos do Microsoft Outlook
a) Abra uma mensagem que tenha uma identificao digital anexada
Nota: para que o remetente anexe uma identificao digital a uma mensagem, solicite que ele lhe envie uma mensagem de correio eletrnico assinada digitalmente. b) Clique com o boto direito do mouse no campo De e, em seguida, clique em Adicionar a Contatos no menu de atalho
68
EPASS2000 - MANUAL DO USURIO c) Se j houver uma entrada para essa pessoa na sua lista de contatos, selecione a opo Atualizar novas informaes deste contato para o j existente e depois clique no boto OK
Com este procedimento a identificao digital estar agora armazenada com a sua entrada de contato para esse destinatrio. Voc poder, ento, enviar mensagens de correio eletrnico criptografadas para essa pessoa. Para exibir os certificados de um contato, clique duas vezes no nome da pessoa e, em seguida, clique na guia Identificaes Pessoais
69
20. Enviar uma mensagem com uma assinatura digital para um destinatrio da Internet usando o Microsoft Outlook
a) Redija uma mensagem. b) Na mensagem, clique em Opes c) Marque a caixa de seleo Adicionar assinatura digital mensagem sendo enviada d) Para modificar as opes de segurana para essa mensagem, clique no menu Arquivo, clique em Propriedades e, em seguida, clique na guia Segurana e) Habilite a opo Adicionar assinatura digital mensagem e clique no boto OK f) De volta a mensagem, clique em Enviar. Observao: Para adicionar uma assinatura digital a todas as mensagens que voc envia, clique no menu Ferramentas na janela principal do Outlook, clique em Opes e, em seguida, na guia Segurana. Marque a caixa de seleo Adicionar assinatura digital a mensagens sendo enviadas.
21. Enviar uma mensagem criptografada para um destinatrio da Internet usando o Microsoft Outlook
a) Redija uma mensagem. b) Na mensagem, clique em Opes. Marque a caixa de seleo Criptografar o contedo e os anexos da mensagem
c) Clique em Enviar.
70
EPASS2000 - MANUAL DO USURIO Observaes: Para criptografar todas as mensagens enviadas, no menu Ferramentas, clique em Opes e, em seguida, clique na guia Segurana. Marque a caixa de seleo Criptografar contedo e anexos de mensagens sendo enviadas. Para modificar as configuraes de segurana de uma mensagem especfica, clique no menu Arquivo na janela de mensagens e, em seguida, clique em Propriedades.
22. Removendo o software do ePass2000

Para remover o software do ePass2000, v at o Painel de Controle Adicionar ou Remover Programas, localize a opo ePass2000 (Somente remover) e clique no boto Alterar / Remover e sigas as instrues do guia.
23. Perguntas e Respostas Comuns

a) Ao tentar formatar o meu dispositivo recebo a mensagem Desculpe, mas o PUK informado est incorreto O que pode estar errado? R: Esta mensagem exibida, pois PUK informado no o correto. Para formatar o ePass2000, necessrio informar o atual PUK no campo Digite o ATUAL PUK do Token da janela Formatar o Token (Inicializar Setor PKI). Tenha cuidado para no informar cinco vezes o valor errado do PUK, pois se voc fizer isso, o seu ePass2000 ser bloqueado. Para desbloque-lo ser necessrio reformat-lo, perdendo-se assim todas as informaes que esto armazenadas nele. Nota: se voc for um usurio corporativo e no possui o PUK do seu dispositivo, entre em contato com o Administrador de Sistemas da sua empresa. Lembramos que existe um nmero pr-determinado de tentativas de acerto do PUK. Se estas forem excedidas o seu dispositivo ser bloqueado e todo o contedo do dispositivo ficar indisponvel. b) O boto OK da janela Formatar Token no est disponvel para uso. O que pode estar errado? R: Verifique os valores digitados nos campos Digite um NOVO PIN e Confirme o NOVO PIN, certamente eles no possuem o mesmo valor ou tamanho. c) Tenho um certificado digital ICP-Brasil no meu dispositivo, mas no consigo fazer uso em aplicaes no Internet Explorer. O que pode estar errado? R: Certamente o seu navegador no possui a cadeia de certificados da ICP-Brasil e da Autoridade Certificadora que emitiu o seu certificado digital. Para resolver este problema, necessrio proceder a instalao da cadeia de certificados, consulte a equipe de suporte da sua Autoridade Certificadora para conhecer os procedimentos de instalao da cadeia de certificados. Se voc no tem acesso a Internet, use o diretrio ICP-Brasil do CD-ROM de instalao do seu ePass2000. Nele colocamos os arquivos de cadeia de certificado da grande maioria de ACs credenciadas ICP-Brasil d) Ao conectar o meu ePass2000 na porta USB, a luz dele fica piscando ele no reconhecido. O que pode estar errado? R: Certamente o software do ePass2000 no est instalado, execute o programa de instalao que est disponvel no CD-ROM de instalao e siga as instrues do instalador. Maiores detalhes podero ser encontrados no Tpico 4 Instalando o software do ePass2000. Se o problema persistir, verifique se a controladora USB do seu micro est habilitada na BIOS da sua placa-me. e) Ao conectar o meu ePass2000 na porta USB, a luz dele no liga ele no reconhecido. O que pode estar errado? 71
EPASS2000 - MANUAL DO USURIO R: Certamente a porta USB do seu computador no est instalada fisicamente. Consulte um tcnico para fazer a verificao desta porta USB ou tente conectar o seu ePass2000 em um outro computador. Se o problema persistir entre em contato com a Pronova. f) O Cliente VPN-1 SecuRemote da Check Point no consegue localizar o meu certificado que est armazenado no ePass2000. Se eu insisto, o cliente SecuRemote consegue identificar, mas ao selecionar o certificado ele exibe a mensagem Token Login: Failed to retrieve KeyHolder. O que pode estar errado?
R: Este um problema clssico de ausncia do caminho (path) da autoridade certificadora que emitiu o seu certificado. Sem esta informao, certamente o seu certificado tratado pelo sistema operacional como um certificado invlido. Para resolver este problema, basta instalar o certificado raiz da autoridade certificadora no repositrio do Windows ou importar para o ePass2000 o certificado raiz da AC que emitiu o seu certificado digital. g) Tenho meu certificado digital ICP-Brasil armazenado no ePass2000, mas ao tentar acessar o site da Receita Federal recebo a mensagem necessrio instalar um certificado digital de cliente para ter acesso ao e-CAC. O que pode estar errado? R: Este tipo de comportamento ocorre quando a cadeia de certificados da Autoridade Certificadora no est instalada no seu navegador (Internet Explorer ou Mozilla Firefox). Instale no navegador a cadeia de certificados da AC que emitiu o seu certificado digital, reinicie o seu micro e tente fazer um novo acesso. h) Tenho meu certificado digital ICP-Brasil armazenado no ePass2000, mas quando tento enviar uma declarao para receita via certificado o campo para inserir o PIN no aparece, ocasionando a no transmisso da mesma. O que pode estar errado? R: Este tipo de comportamento ocorre quando a cadeia de certificados da Autoridade Certificadora no est instalada no seu computador. Instale no navegador a cadeia de certificados da AC que emitiu o seu certificado digital, reinicie o seu micro e tente fazer um novo acesso. i) Travei o PUK do meu ePass2000, perdi o meu dispositivo? R: No, voc no perdeu o seu dispositivo. Todavia, para reativar o acesso ao seu ePass2000, ser necessrio reinicializar o seu equipamento para as condies originais de fbrica. Em outras palavras, ao usar a ferramenta ePassNG Init. Procure no CDROM de instalao o instalador desta ferramenta no diretrio Formatador, instale a ferramenta, mas antes de utiliza-la consulte o PDF que poder ser acessado a partir do atalho criado no menu INICIAR do Windows. Lembramos que ao utilizar esta o ePassNG Init todas as informaes que estiverem armazenadas no seu ePass200 sero apagadas e sero restaurados os padres de fbrica do ePass2000.
72
EPASS2000 - MANUAL DO USURIO j) Posso instalar mais de um certificado no meu ePass2000? R: Sim, voc poder instalar mais de um certificado no seu ePass2000, mas tenha em mente que existe uma limitao que a quantidade de memria do seu dispositivo (32K). Normalmente conseguimos colocar at 05 (cinco) ou 06 (seis) certificados. Observe ainda que voc se voc usar seu certificado para codificar mensagens e/ou documentos talvez voc ter que guardar este seu certificado por um tempo aps a expirao deste, para que seja possvel a decodificao destes dados. Tendo em vista que a chave privada gerada no ePass2000 no pode ser exportada, recomendamos que no sejam armazenados no mesmo ePass2000, certificados que no tenham relao entre sim. Por exemplo, um certificado e-CNPJ de uma empresa X mais um certificado e-CNPJ de uma empresa Y. Imagine que a empresa X deseja ter com ela o seu certificado. Como a chave privada parte integrante do certificado eCNPJ, para resolver este impasse ser necessrio revogar o certificado da empresa X. A seguir fazer uma nova aquisio de um e-CNPJ para a empresa X em outro ePass2000. k) O ePass2000 pode ser utilizado em outros sistemas operacionais? R: Sim, o ePass2000 poder ser utilizado nos sistemas operacional Linux ou MacOS. O software necessrio para instalar o ePass2000 nestes sistemas operacionais poder ser encontrado nos diretrios Linux e MacOS do CD-ROM de instalao do ePass2000. As instrues para instalao podero ser encontradas no arquivo README contigo dentro dos arquivos .tar.gz. l) Instalei o software do ePass2000 e no tive nenhum tipo de problema, mas depois que eu reinicio o meu computador o Monitor de Certificados no exibido na rea de notificao do Windows e o meu certificado no fica disponvel para que eu possa fazer uso. O que pode ter ocorrido? R: Certamente, algum anti-vrus ou aplicao que protege a sua mquina est inibindo a execuo do aplicativo epsng_certd.exe que carregado na inicializao do Windows. Verifique nos logs do seu anti-vrus ou aplicao este registro e proceda a liberao do carregamento automtico do programa epsng_certd.exe. m) Fora o manual do ePass2000, existe algum outro tipo de material de consulta? R: Sim, a Pronova disponibiliza alm do Manual vrios boletins tcnicos que podero ser encontrados no diretrio Boletins Tcnicos do CD-ROM de instalao do ePass2000. n) Depois de instalar o software do ePass2000, quando conecto ele na porta USB, um alerta de segurana informando que devo trocar o PIN exibido, isto normal? O que devo fazer?
R: Sim, isto normal. Em decorrncia ao atendimento a novas normas do Comit Gestor da ICP-Brasil, este um recurso que foi adicionado ao software do ePass2000. Este recurso visa forar a troca do PIN de fbrica do ePass2000. Para isso, clique em 73
EPASS2000 - MANUAL DO USURIO OK e preencha os campos corretamente. O) Estou tentando solicitar meu certificado digital no meu computador com o Windows Vista, mas na pgina da Autoridade Certificadora, a lista de CSP no aparece? O que devo fazer? R: Nas verses anteriores do Windows, a DLL responsvel pelo carregamento da lista de CSP era o arquivo xenroll.dll que no Windows Vista passou a se chamar certenroll.dll. A pgina da autoridade certificadora, procura no seu computador a antiga DLL que no existe no Windows Vista. Por esta razo, a lista de CSP no Windows Vista no carregada. Para que voc possa solicitar seu certificado, use uma mquina com uma verso anterior ao Windows Vista, como, por exemplo, o Windows XP. Depois que voc gravar o seu certificado no Token, voc poder us-lo sem problemas no Windows Vista.
24. Suporte Tcnico

Se as informaes contidas neste guia rpido no foram suficientes, no se preocupe, entre em contato conosco sempre que precisar. Nosso e-mail para suporte suporte@pronova.com.br, o telefone para contato (21) 2491-3688 e o nosso chat est em www.pronova.com.br.
25. Contatos
Pronova Solues Inteligentes (Importador e Distribuidor Autorizado) Endereo Telefones Fax E-mail Sites Av. das Amricas 500, bloco 4 (entrada A), Sala 302. Barra da Tijuca. Rio de Janeiro RJ. CEP 22.640-100. Brasil. +55-21-24913688 +55-21-24913688 (ramal 103) suporte@pronova.com.br ou sac@pronova.com.br www.pronova.com.br ou www.lojapronova.com.br
Feitian Technologies Inc., Ltd. (Fabricante) Endereo Telefones Fax Site 3Fl., No.5 Building, Jimen Hotel, Xueyuan Road, Haidian District, Beijing, 100088, Repblica Popular da China +86-10-62360800 e +86-10-62360900 +86-10-82070027 www.FTsafe.com
Feitian Technologies Co., Ltd. uma empresa ISO 9001
74

Manual ePass2000FT12

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Manual ePass2000FT12

Transféré par

Droits d'auteur :

Formats disponibles

EPASS2000 - MANUAL DO USURIO

EPASS2000 - MANUAL DO USURIO

EPASS2000 - MANUAL DO USURIO

EPASS2000 - MANUAL DO USURIO

EPASS2000 - MANUAL DO USURIO

EPASS2000 - MANUAL DO USURIO

EPASS2000 - MANUAL DO USURIO

EPASS2000 - MANUAL DO USURIO

EPASS2000 - MANUAL DO USURIO

Programa Logo Microsoft Windows

Check Point OPSEC

EPASS2000 - MANUAL DO USURIO ndice

EPASS2000 - MANUAL DO USURIO

EPASS2000 - MANUAL DO USURIO

EPASS2000 - MANUAL DO USURIO

EPASS2000 - MANUAL DO USURIO

EPASS2000 - MANUAL DO USURIO

EPASS2000 - MANUAL DO USURIO

EPASS2000 - MANUAL DO USURIO

3. Sobre a Pronova Solues Inteligentes

4. Sobre a Feitian Technologies Inc., Ltd.

5. Sobre o Token USB ePass2000

5.1 Descrio Fsica Externa do ePass2000

Orifcio para prender o Token a um chaveiro ou cordo

Capa do Conector USB

5.2 Sobre o chip criptogrfico do ePass2000

5.3 Diagrama do Chip Criptogrfico

Sistema ROM e Bibliotecas Criptogrficas

Firewall de Acesso a Memria

Firewall do Sistema ROM, MAP e DES

Mdulo Gerador Relgio CLK

Trs Timers de 8bits

GUN A & GUN B

CPU de 8bits GND

Duas interfaces seriais

5.4 Especificaes Tcnicas

EPASS2000 - MANUAL DO USURIO

5.5 Requisitos mnimos do sistema:

5.6 Vantagens do Token USB ePass2000

EPASS2000 - MANUAL DO USURIO

5.7 Recursos do Hardware

5.8 Arquitetura ePassNG

5.9 O que o PUK (PIN Unlock Key)

O instalador desta ferramenta se encontra no diretrio FORMATADOR do CD-ROM de instalao!

EPASS2000 - MANUAL DO USURIO

5.10 O que o PIN do Usurio?

EPASS2000 - MANUAL DO USURIO

EPASS2000 - MANUAL DO USURIO

EPASS2000 - MANUAL DO USURIO

6.2 Instalao nos sistemas Windows 98SE e Windows ME

EPASS2000 - MANUAL DO USURIO

6.3 Instalao por linha de comando

6.4 Instalando o ePass2000 em mquinas com Linux

6.5 Instalando o ePass2000 em mquinas com Mac OS

6.6 Monitor de Certificados - Configurando o Tempo de Vida do PIN atravs

6.7 Monitor de Certificados - Alterando o PIN

EPASS2000 - MANUAL DO USURIO

6.8 Monitor de Certificados Visualizando Detalhes do Certificado

6.9 Monitor de Certificados Removendo um Certificado do Repositrio do Windows

EPASS2000 - MANUAL DO USURIO

6.10 Monitor de Certificados Devolvendo um Certificado do Repositrio do Windows

7. Gerenciador PKI do ePass2000

EPASS2000 - MANUAL DO USURIO

7.1 Gerenciador PKI Login