2 Popis softwaru Administrative Management Center

Příloha č. 11

Testovací protokol – USB token iKey 4000 1 Úvod 1.1 Testovaný produkt Hardware:

USB token iKey 4000

Software:

Administrative Management Center 7.0 Service Pack 8 SafeNet Borderless Security 7.0 Service Pack 8

Datum testování:

30. 1. 2010

1.2 Konfigurace testovacího počítače Hardware:

Intel Core 2 Duo E6750, 2 GB RAM DDR2 základní deska Gigabyte GA-P35-DS3R harddisk Seagate ST380817AS, SATA, 80GB, 7200 rpm

Čtečky čipových karet:

-

Software:

Microsoft Windows XP + Service Pack 3 Microsoft Office 2003 (Word, Excel, Outlook) Mozilla Firefox 3.0.1 Mozilla Thunderbird 2.0.0.22 XCA 0.7.0 hMailServer 5.2-B356 + Microsoft SQL Server Compact 3.5 .NET Framework 2.0 Acronis True Image Home 2009

2 Popis softwaru Administrative Management Center Software Administrative Management Center slouží pro generování instalačních balíčků s klientským softwarem k tokenům iKey 4000.

2.1 Instalace administrátorského softwaru Uživatel si může vybrat cílový adresář pro instalaci softwaru. Nevybírá si žádné komponenty k instalaci. Na konci instalace nebyl vyžadován restart počítače.

-1-

Příloha č. 11

2.2 Informace o administrátorském softwaru Při prvním spuštění administrátorského softwaru je vyžadováno zadání licenčního kódu. Aplikace se skládá z následujících částí: Komponenta Configuration Manager slouží pro nastavení přístupové adresy certifikační autority, u které se bude žádat o certifikáty určené k uložení do tokenu. V komponentě Token Manager se definuje bezpečnostní politika PIN k tokenu. Určuje se např. délka a složitost PIN, maximální počet špatných zadání PIN a další parametry. Komponenta Policy Manager slouží pro konfiguraci funkce SSO. Patrně ale musí být zakoupena licence s podporou SSO, jinak je tato komponenta nedostupná. Poslední komponenta Client Builder již slouží k vytváření instalačních balíčků s klientským software k tokenům. Pomocí podrobného průvodce se definují parametry obslužného software – např. seznam instalovaných aplikací a dostupných funkcí, aktivace či zakázání automatické registrace certifikátů do Windows či jejich smazání, uživatelská dokumentace, atd. Na konci procesu vznikne instalační balíček, který již lze nainstalovat na počítače koncových uživatelů.

2.3 Odinstalace administrátorského softwaru Odinstalační proces proběhl bez problémů. Na jeho konci nebyl vyžadován restart počítače.

3 Popis klientského softwaru 3.1 Instalace klientského softwaru Klientský software se instaluje automaticky, bez zásahu uživatele. Na konci instalace byl požadován restart počítače.

3.2 Informace o klientském softwaru Software se skládá z několika aplikací pro správu tokenu. První z nich je SafeNet Token Manager Utility, což je ve skutečnosti několik lokálně uložených webových stránek, které ke komunikaci s tokenem volají ActiveX komponentu. K dispozici jsou funkce pro inicializaci tokenu a import dat ze souboru PKCS#12. Práce s tokenem je zde poměrně pomalá. Kvůli používání technologie ActiveX je Token Manager Utility funkční pouze ve webovém prohlížeči Internet Explorer. V novějších verzích prohlížeče (7 a 8) se navíc

-2-

Příloha č. 11 ActiveX komponenta neaktivuje z důvodu vyššího nastavení zabezpečení a je potřeba dočasně snížit úroveň zabezpečení. Další aplikace Token Utilities je již klasická Windows aplikace. Obsahuje funkce pro inicializaci tokenu, změnu PINu, zobrazení stavu tokenu a správu objektů v tokenu. V aplikaci funguje kontextové menu, které se zobrazí po stisku pravého tlačítka myši. Poslední dostupná aplikace CIP Utilities má totožné funkce jako Token Utilities a má pouze odlišné uživatelské rozhraní. Jednotlivé funkce pro správu tokenu jsou vyvolávány přes kontextovou nabídku. Žádná z výše uvedených aplikací nedokáže nastavit PUK při inicializaci tokenu, pouze se zadává PIN. Pokud dojde k zablokování tokenu, je nutné token znovu inicializovat. Speciálně připravený klientský software v produktu Bezpčený klíč od České pošty obsahuje

speciální

aplikaci

pro

inicializaci

tokenu,

kde

se

nastavuje

PIN

a 6 tzv. odblokovacích PUKů. Po zablokování tokenu lze token odblokovat v aplikaci Token Manager Utility nebo CIP Utilities zadáním jednoho PUKu. Tento PUK nelze opětovně použít a při příštím odblokování je potřeba zadat jiný. Software automaticky rozpoznává připojení a vyjmutí tokenu. Stav připojení signalizuje ikona v systémové liště Windows. Při prvním vložení tokenu se spustí průvodce nově přidaným hardwarem. Registrace certifikátů do Windows i jejich odebrání probíhá automaticky, pokud to tak bylo definováno v administrátorské aplikaci při tvorbě instalačního balíčku. Informace o certifikátech s údaji v kódování UTF-16 i UTF-8 nejsou korektně zobrazeny v aplikaci Token Utilities ani v okně Token Certificate Info, které se vyvolá pomocí ikony v systémové liště Windows. Rozhraní MS CryptoAPI (jméno poskytovatele krypt. služeb) Rozhraní PKCS#11 (jméno DLL knihovny)

Datakey RSA CSP SafeNet RSA CSP dkck201.dll, v systémovém adresáři Windows

3.3 Doplňkové funkce Funkcionalita SSO při zakoupení speciální licence.

-3-

Příloha č. 11

3.4 Odinstalace klienstkého softwaru Odinstalační proces proběhl bez problémů. Na jeho konci nebyl vyžadován restart počítače. Ovladač k tokenu iKey 4000 má vlastní odinstalační program.

4 Testovací scénář Činnost

Výsledek

Inicializace čipové karty/tokenu

OK

Vygenerování klíčů na čipovou kartu/token přes webové stránky OK PostSignum Vydání certifikátu s českými znaky zakódovanými v UTF-16

OK

Instalace vydaného certifikátu přes stránky PostSignum

OK

Zkouška odeslání podepsaného e-mailu v aplikaci Outlook

OK

Nastavení PKCS#11 knihovny v aplikaci Mozilla Thunderbird

OK

Zkouška odeslání podepsaného e-mailu v aplikaci Mozilla Thunderbird

OK

Vygenerování klíčů na čipovou kartu/token přes webové stránky OK PostSignum Vydání certifikátu s českými znaky zakódovanými v UTF-8

OK


OK


OK


OK

Vygenerování klíčů na čipovou kartu/token přes webové stránky OK PostSignum (zadání stejných údajů do žádosti o certifikát jako v předchozím případě – simulace obnovy certifikátu) Vydání certifikátu s českými znaky zakódovanými v UTF-8

OK


OK


OK


OK

Vygenerování klíčů na čipovou kartu/token přes webové stránky OK PostSignum Vydání certifikátu s českými znaky zakódovanými v UTF-8 -4-

OK

Příloha č. 11 Instalace vydaného certifikátu pomocí obslužného softwaru

CHYBA

Registrace certifikátu do Windows

-


-


-

Import klíčů a certifikátu ze souboru PKCS#12 na kartu/token

OK

Registrace certifikátu do Windows

Ruční


OK


CHYBA

Smazání klíčů a certifikátu z karty/tokenu v obslužném softwaru

OK

Změna PIN ke kartě/tokenu, zadání písmen a neabecedních znaků do OK nového PIN Smazání

klíčů

a

certifikátu

z karty/tokenu

v aplikaci

Mozilla OK

Thunderbird Změna PIN ke kartě/tokenu v aplikaci Mozilla Thunderbird

OK

Pouze čipové karty – ověření kompatibility s různými čtečkami čipových karet

4.1 Poznámky k testování Generování RSA klíčů do tokenu přes webové stránky trvalo velmi dlouho – až 1 minutu! Žádná z popisovaných aplikací neobsahuje funkci pro import certifikátu do tokenu. Po importu dat ze souboru PKCS#12 je nutné provést ručně registraci certifikátu do Windows v aplikaci Token Utilities nebo vyjmout a znovu připojit token. V Mozille nešlo nastavit e-mailovému účtu certifikát importovaný ze souboru PKCS#12. Tímto certifikátem tak nebylo možné podepisovat e-mailové zprávy.

5 Závěr Byla potvrzena funkčnost aplikačních rozhraní MS CryptoAPI a PKCS#11. Na zařízení lze uložit RSA klíče o velikosti 2048 bitů i certifikáty s podepisovacím algoritmem sha256WithRSA.

-5-

Příloha č. 11 Aby bylo funkční odblokování tokenu pomocí PUKu, je nutné použít speciální aplikaci pro inicializaci tokenu. Software neobsahuje funkci pro import certifikátu ke klíčům v tokenu. Je funkční import dat ze souboru typu PKCS#12. V aplikaci Mozilla Thunderbird ale nebylo možné použít takto importované klíče a certifikát. Může se jednat o chybu, která může být odstraněna v novější verzi software.

-6-

2 Popis softwaru Administrative Management Center

Recommend Documents