Příloha č. 11
Testovací protokol – USB token iKey 4000 1 Úvod 1.1 Testovaný produkt Hardware:
USB token iKey 4000
Software:
Administrative Management Center 7.0 Service Pack 8 SafeNet Borderless Security 7.0 Service Pack 8
Datum testování:
30. 1. 2010
1.2 Konfigurace testovacího počítače Hardware:
Intel Core 2 Duo E6750, 2 GB RAM DDR2 základní deska Gigabyte GA-P35-DS3R harddisk Seagate ST380817AS, SATA, 80GB, 7200 rpm
Čtečky čipových karet:
-
Software:
Microsoft Windows XP + Service Pack 3 Microsoft Office 2003 (Word, Excel, Outlook) Mozilla Firefox 3.0.1 Mozilla Thunderbird 2.0.0.22 XCA 0.7.0 hMailServer 5.2-B356 + Microsoft SQL Server Compact 3.5 .NET Framework 2.0 Acronis True Image Home 2009
2 Popis softwaru Administrative Management Center Software Administrative Management Center slouží pro generování instalačních balíčků s klientským softwarem k tokenům iKey 4000.
2.1 Instalace administrátorského softwaru Uživatel si může vybrat cílový adresář pro instalaci softwaru. Nevybírá si žádné komponenty k instalaci. Na konci instalace nebyl vyžadován restart počítače.
-1-
Příloha č. 11
2.2 Informace o administrátorském softwaru Při prvním spuštění administrátorského softwaru je vyžadováno zadání licenčního kódu. Aplikace se skládá z následujících částí: Komponenta Configuration Manager slouží pro nastavení přístupové adresy certifikační autority, u které se bude žádat o certifikáty určené k uložení do tokenu. V komponentě Token Manager se definuje bezpečnostní politika PIN k tokenu. Určuje se např. délka a složitost PIN, maximální počet špatných zadání PIN a další parametry. Komponenta Policy Manager slouží pro konfiguraci funkce SSO. Patrně ale musí být zakoupena licence s podporou SSO, jinak je tato komponenta nedostupná. Poslední komponenta Client Builder již slouží k vytváření instalačních balíčků s klientským software k tokenům. Pomocí podrobného průvodce se definují parametry obslužného software – např. seznam instalovaných aplikací a dostupných funkcí, aktivace či zakázání automatické registrace certifikátů do Windows či jejich smazání, uživatelská dokumentace, atd. Na konci procesu vznikne instalační balíček, který již lze nainstalovat na počítače koncových uživatelů.
2.3 Odinstalace administrátorského softwaru Odinstalační proces proběhl bez problémů. Na jeho konci nebyl vyžadován restart počítače.
3 Popis klientského softwaru 3.1 Instalace klientského softwaru Klientský software se instaluje automaticky, bez zásahu uživatele. Na konci instalace byl požadován restart počítače.
3.2 Informace o klientském softwaru Software se skládá z několika aplikací pro správu tokenu. První z nich je SafeNet Token Manager Utility, což je ve skutečnosti několik lokálně uložených webových stránek, které ke komunikaci s tokenem volají ActiveX komponentu. K dispozici jsou funkce pro inicializaci tokenu a import dat ze souboru PKCS#12. Práce s tokenem je zde poměrně pomalá. Kvůli používání technologie ActiveX je Token Manager Utility funkční pouze ve webovém prohlížeči Internet Explorer. V novějších verzích prohlížeče (7 a 8) se navíc
-2-
Příloha č. 11 ActiveX komponenta neaktivuje z důvodu vyššího nastavení zabezpečení a je potřeba dočasně snížit úroveň zabezpečení. Další aplikace Token Utilities je již klasická Windows aplikace. Obsahuje funkce pro inicializaci tokenu, změnu PINu, zobrazení stavu tokenu a správu objektů v tokenu. V aplikaci funguje kontextové menu, které se zobrazí po stisku pravého tlačítka myši. Poslední dostupná aplikace CIP Utilities má totožné funkce jako Token Utilities a má pouze odlišné uživatelské rozhraní. Jednotlivé funkce pro správu tokenu jsou vyvolávány přes kontextovou nabídku. Žádná z výše uvedených aplikací nedokáže nastavit PUK při inicializaci tokenu, pouze se zadává PIN. Pokud dojde k zablokování tokenu, je nutné token znovu inicializovat. Speciálně připravený klientský software v produktu Bezpčený klíč od České pošty obsahuje
speciální
aplikaci
pro
inicializaci
tokenu,
kde
se
nastavuje
PIN
a 6 tzv. odblokovacích PUKů. Po zablokování tokenu lze token odblokovat v aplikaci Token Manager Utility nebo CIP Utilities zadáním jednoho PUKu. Tento PUK nelze opětovně použít a při příštím odblokování je potřeba zadat jiný. Software automaticky rozpoznává připojení a vyjmutí tokenu. Stav připojení signalizuje ikona v systémové liště Windows. Při prvním vložení tokenu se spustí průvodce nově přidaným hardwarem. Registrace certifikátů do Windows i jejich odebrání probíhá automaticky, pokud to tak bylo definováno v administrátorské aplikaci při tvorbě instalačního balíčku. Informace o certifikátech s údaji v kódování UTF-16 i UTF-8 nejsou korektně zobrazeny v aplikaci Token Utilities ani v okně Token Certificate Info, které se vyvolá pomocí ikony v systémové liště Windows. Rozhraní MS CryptoAPI (jméno poskytovatele krypt. služeb) Rozhraní PKCS#11 (jméno DLL knihovny)
Datakey RSA CSP SafeNet RSA CSP dkck201.dll, v systémovém adresáři Windows
3.3 Doplňkové funkce Funkcionalita SSO při zakoupení speciální licence.
-3-
Příloha č. 11
3.4 Odinstalace klienstkého softwaru Odinstalační proces proběhl bez problémů. Na jeho konci nebyl vyžadován restart počítače. Ovladač k tokenu iKey 4000 má vlastní odinstalační program.
4 Testovací scénář Činnost
Výsledek
Inicializace čipové karty/tokenu
OK
Vygenerování klíčů na čipovou kartu/token přes webové stránky OK PostSignum Vydání certifikátu s českými znaky zakódovanými v UTF-16
OK
Instalace vydaného certifikátu přes stránky PostSignum
OK
Zkouška odeslání podepsaného e-mailu v aplikaci Outlook
OK
Nastavení PKCS#11 knihovny v aplikaci Mozilla Thunderbird
OK
Zkouška odeslání podepsaného e-mailu v aplikaci Mozilla Thunderbird
OK
Vygenerování klíčů na čipovou kartu/token přes webové stránky OK PostSignum Vydání certifikátu s českými znaky zakódovanými v UTF-8
OK
Instalace vydaného certifikátu přes stránky PostSignum
OK
Zkouška odeslání podepsaného e-mailu v aplikaci Outlook
OK
Zkouška odeslání podepsaného e-mailu v aplikaci Mozilla Thunderbird
OK
Vygenerování klíčů na čipovou kartu/token přes webové stránky OK PostSignum (zadání stejných údajů do žádosti o certifikát jako v předchozím případě – simulace obnovy certifikátu) Vydání certifikátu s českými znaky zakódovanými v UTF-8
OK
Instalace vydaného certifikátu přes stránky PostSignum
OK
Zkouška odeslání podepsaného e-mailu v aplikaci Outlook
OK
Zkouška odeslání podepsaného e-mailu v aplikaci Mozilla Thunderbird
OK
Vygenerování klíčů na čipovou kartu/token přes webové stránky OK PostSignum Vydání certifikátu s českými znaky zakódovanými v UTF-8 -4-
OK
Příloha č. 11 Instalace vydaného certifikátu pomocí obslužného softwaru
CHYBA
Registrace certifikátu do Windows
-
Zkouška odeslání podepsaného e-mailu v aplikaci Outlook
-
Zkouška odeslání podepsaného e-mailu v aplikaci Mozilla Thunderbird
-
Import klíčů a certifikátu ze souboru PKCS#12 na kartu/token
OK
Registrace certifikátu do Windows
Ruční
Zkouška odeslání podepsaného e-mailu v aplikaci Outlook
OK
Zkouška odeslání podepsaného e-mailu v aplikaci Mozilla Thunderbird
CHYBA
Smazání klíčů a certifikátu z karty/tokenu v obslužném softwaru
OK
Změna PIN ke kartě/tokenu, zadání písmen a neabecedních znaků do OK nového PIN Smazání
klíčů
a
certifikátu
z karty/tokenu
v aplikaci
Mozilla OK
Thunderbird Změna PIN ke kartě/tokenu v aplikaci Mozilla Thunderbird
OK
Pouze čipové karty – ověření kompatibility s různými čtečkami čipových karet
4.1 Poznámky k testování Generování RSA klíčů do tokenu přes webové stránky trvalo velmi dlouho – až 1 minutu! Žádná z popisovaných aplikací neobsahuje funkci pro import certifikátu do tokenu. Po importu dat ze souboru PKCS#12 je nutné provést ručně registraci certifikátu do Windows v aplikaci Token Utilities nebo vyjmout a znovu připojit token. V Mozille nešlo nastavit e-mailovému účtu certifikát importovaný ze souboru PKCS#12. Tímto certifikátem tak nebylo možné podepisovat e-mailové zprávy.
5 Závěr Byla potvrzena funkčnost aplikačních rozhraní MS CryptoAPI a PKCS#11. Na zařízení lze uložit RSA klíče o velikosti 2048 bitů i certifikáty s podepisovacím algoritmem sha256WithRSA.
-5-
Příloha č. 11 Aby bylo funkční odblokování tokenu pomocí PUKu, je nutné použít speciální aplikaci pro inicializaci tokenu. Software neobsahuje funkci pro import certifikátu ke klíčům v tokenu. Je funkční import dat ze souboru typu PKCS#12. V aplikaci Mozilla Thunderbird ale nebylo možné použít takto importované klíče a certifikát. Může se jednat o chybu, která může být odstraněna v novější verzi software.
-6-