Používateľská príručka Klientskej aplikácie PKI

Používateľská príručka Klientskej aplikácie PKI Verzia č. 3.1 16.7.2005

VÚB, a.s., Mlynské nivy 1, 829 90 Bratislava 25, Obchodný register: Okresný súd Bratislava 1, Oddiel: Sa, vložka číslo 341/B, IČO: 31 320 155, Tel.: 0850 123 000, vub.sk

OBSAH OBSAH .................................................................................................................................................................................2 1 Pojmy............................................................................................................................................................................3 2 Aplikácia Vzdialené registračné procesy ....................................................................................................................5 3 Čo je potrebné vykonať pre získanie prístupu k moderným bankovým službám založeným na technológii PKI ..5 4 Požiadavky na konfiguráciu počítača pre prácu s aplikáciou Vzdialené registračné procesy. .................................6 4.1 Inštalácia prostredia pre aplikáciu PKI ......................................................................................................7 4.1.1 Inštalácia z CD...........................................................................................................................................7 4.1.2 Inštalácia z internetu ................................................................................................................................10 4.1.3 Nastavenia pre Internet Explorer .............................................................................................................14 4.1.4 Nastavenia pre Netscape Navigator .........................................................................................................14 5 Ako používať aplikáciu Vzdialené registračné procesy ...........................................................................................14 5.1 Generovanie kľúčov a žiadostí o certifikáty (ponuka Generovanie žiadostí) ..........................................15 5.1.1 Krok 1 Údaje pre certifikáty ....................................................................................................................16 5.1.2 Krok 2 Údaje o úložisku kľúčov..............................................................................................................17 5.1.3 Krok 3 Generovanie náhodného čísla ......................................................................................................18 5.2 Práca s úložiskom kľúčov (ponuka Úložisko) .........................................................................................20 5.2.1 Prihlásenie................................................................................................................................................21 5.2.2 Prehľad certifikátov .................................................................................................................................22 5.2.3 Import certifikátov ...................................................................................................................................23 5.2.4 Export ......................................................................................................................................................25 5.2.5 Zmena hesla .............................................................................................................................................26 5.3 Overenie certifikátov (menu ponuka Overenie).......................................................................................26 5.3.1 Prihlásenie................................................................................................................................................27 5.3.2 Prehľad certifikátov .................................................................................................................................27 5.4 Pozastavenie platnosti certifikátov (ponuka Pozastavenie platnosti).......................................................28 5.5 Obnova platnosti certifikátov (ponuka Obnova)......................................................................................30 5.5.1 Prihlásenie................................................................................................................................................31 5.5.2 Údaje pre certifikáty ................................................................................................................................31 5.5.3 Generovanie náhodného čísla ..................................................................................................................32 6 Dôvernosť inštalácie PKI aplikácie:..........................................................................................................................32 6.1 Dôvernosť appletov aplikácie vzdialené registračné procesy ..................................................................34

Strana 2 z 35

1 Pojmy Adresár LDAP (LDAP) Aktivácia certifikátu

Aplikácia PKI

Certifikačná autorita (CA) Certifikát

Certifikačná politika (CP) Celistvosť certifikátu Certifikačná vykonávacia smernica (CPS) Digitálny podpis

Infraštruktúra PKI Klient Klientsky certifikát Nesprávne použitie certifikátu

OID

Špecializovaná databáza, v ktorej sú publikované certifikáty a zoznamy zneplatnených certifikátov VÚB, a.s. Aktivácia certifikátu sa vzťahuje na dáta, iné než kľúče, ktoré sú potrebné na prevádzkovanie kryptografických modulov (HSM moduly a smartkarty) a ktoré vyžadujú primeranú ochranu. Aktivácia certifikátu znamená prvé použitie privátneho kľúča prináležiacemu k certifikátu, na vytvorenie digitálneho (elektronického) podpisu špeciálnej dávky dát. Na vytvorenie podpisu je potrebné použiť aplikáciu PKI, časť validácia. Po úspešnej validácii, bude možné použiť certifikát na účel, na ktorý bol tento certifikát určený. Špeciálna internetová aplikácia VÚB na adrese http://registracia.vub.sk alebo http://www.vub.sk/pki, ktorú klienti banky môžu využívať na: - Vygenerovanie žiadosti o certifikát s kľúčmi generovanými na diskete alebo disku - overenie certifikátu - pozastavenie platnosti certifikátu - prácu s úložiskom kľúčov - obnovu certifikátu - obnovu kľúčov Dôveryhodná autorita, ktorá vytvára certifikáty (komponent PKI). Reťazec údajov, ktorý spája idenfitikátor (Distinguished Name) koncového subjektu s verejným kľúčom pomocou digitálneho podpisu. Formát tohto reťazca údajov je definovaný v ISO/IEC 9594-8. Tento reťazec údajov taktiež obsahuje identifikátor vydávateľa certifikátu, špecifické sériové číslo certifikátu, dobu platnosti a ďalšie údaje. Pomenovaný zoznam pravidiel, ktoré označujú použiteľnosť certifikátu v príslušnej skupine alebo triede aplikácií, zdieľajúcimi spoločné bezpečnostné požiadavky. Neporušiteľnosť certifikátu. Zoznam predpisov a praktík, ktoré Certifikačné autority používajú pri vydávaní certifikátov. Jedinečná digitálna identifikácia entity, ktorá sa využíva na autentifikáciu zdroja, integrity dát a nepopierateľnosť. Digitálny podpis využíva Súkromný kľúč, ktorému korešponduje príslušný Verejný kľúč, matematickú funkciu známu ako „message digest“ a princípy asymetrickej kryptografie. Technické a programové vybavenie použité na zaistenie služieb na vydávanie a správu certifikátov vo VÚB, a.s. • fyzická osoba • fyzická osoba-podnikateľ Certifikát vydaný klientovi. Používanie certifikátu, ktoré nie je v súlade s ustanoveniami CPS a príslušnej CP, napr.: - používanie certifikátu na iné účely, ako sú uvedené v príslušnej Certifikačnej politike; - spoliehanie sa na zneplatnený alebo pozastavený certifikát (certifikát nebol overený cez CRL aj OCSP); - spoliehanie sa na certifikát, ktorý je expirovaný; - spoliehanie sa na certifikát, ktorý je platný (nie je expirovaný, pozastavený ani zneplatnený), ale nebol vydaný dôveryhodnou CA; - iné. Identifikátor klasifikácie objektov.

Strana 3 z 35

Pozastavenie platnosti certifikátu Súkromný kľúč Kompromitácia súkromného kľúča Koncové subjekty

Overenie funkčnosti Overenie platnosti certifikátu

Registračná autorita (RA) Registračné miesto Revokačné heslo Spoliehajúca strana (Relying party) Systém BB Verejný kľúč Verifikácia certifikátu VÚB PKI Zmluva o poskytovaní certifikačných služieb (Zmluva) Zneplatnenie certifikátu Pozastavenie platnosti certifikátu Zoznam zneplatnených certifikátov (CRL)

Dočasné pozastavenie platnosti certifikátu. Certifikát môže byť znovu platný zrušením pozastavenia platnosti. Po vypršaní platnosti pozastaveného certifikátu sa certifikát stáva zneplatneným. Súkromná časť dvojice asymetrických kľúčov. Používa sa na podpisovanie a dešifrovanie správ. Zneužitie, použitie alebo sprístupnenie súkromného kľúča bez vedomia jeho vlastníka ako aj prezradenie hesla na prístup k revokačnému heslu. Ak Certifikačná autorita zistí kompromitáciu súkromného kľúča, certifikát zviazaný s týmto kľúčom zneplatní. V kontexte tohto dokumentu sú koncové subjekty: - klienti banky (fyzické osoby) - PKI administrátori a operátori (PKI personál) - PKI komponenty (napr. Registračná autorita, Certifikačná autorita) - HTTP servery, aplikačné servery, atď. Overenie funkčnosti certifikátu je postavené na základe overenia digitálneho podpisu testovacej správy (využitie funkcie „Overenie certifikátu“ špeciálnej aplikácie Vzdialené registračné procesy). Overenie platnosti certifikátu pokrýva viacero kontrol, napr.: - certifikát nie je zneplatnený alebo pozastavený, - aktuálny čas je medzi „not before“ a „not after“ certifikátu - certifikát je funkčný (viď Overenie funkčnosti) Komponent PKI infraštruktúry, používaný na posúvanie schválených žiadostí o vydanie certifikátu do CA. Priestory VÚB, v ktorých sa prijímajú a schvaľujú žiadosti o certifkáty. Registračné miesto obsluhuje registračný operátor. Heslo, ktoré je potrebné zadať na pozastavenie platnosti, zrušenie pozastavenia platnosti alebo zneplatnenie certifikátu. Subjekt alebo entita, ktorý požaduje od PKI infraštruktúry overenie stavu certifikátu. V prípade VÚB PKI je spoliehajúca strana príslušná aplikácia banky, ktorá využíva klientske certifikáty. Počítačový systém VÚB zabezpečujúci službu Biznis Banking Verejná časť dvojice asymetrických kľúčov. Používa sa na šifrovanie a overovanie správ. viď Overenie funkčnosti a platnosti certifikátu. Infraštruktúra technického a programového vybavenia použitá vo VÚB na zaistenie služieb spojených s vydávaním a poskytovaním certifikátov. Zmluva medzi vlastníkom certifikátu a VÚB, a. s. o vydaní certifikátu a poskytovaní certifikačných služieb. Ukončenie platnosti certifikátu. Platnosť certifikátu nie je možné obnoviť. Dočasné ukončenie platnosti certifikátu. Platnosť certifikátu môže byť znovuobnovená zrušením pozastavenia platnosti. Zoznam certifikátov, ktorých platnosť bola pozastavená alebo zrušená. Zoznam vydáva a podpisuje Certifikačná autorita a je publikovaný v adresári LDAP.

Strana 4 z 35

2 Aplikácia Vzdialené registračné procesy Aplikácia Vzdialené registračné procesy je služba založená na moderných webovských technológiách a zahŕňa aj posledné kryptografické technológie PKI. Pomocou aplikácie pre vzdialené registračné procesy, je možné nielen vygenerovať PKI pár kľúčov, a kontaktovať bankovú Certifikačnú autoritu pre vydanie certifikátov, ale taktiež vykonávať aj ostatné služby pre kompletný životný cyklus certifikátov. Tieto služby zahŕňajú overenie certifikátov, prípadné pozastavenie platnosti certifikátov, obnovu platnosti certifikátov, resp obnovu platnosti certifikátov a kľúčov. VÚB, a.s. si vyhradzuje právo meniť a zdokonaľovať aplikáciu a príslušnú dokumentáciu bez predchádzajúceho upozornenia. Zo strany VÚB, a.s, nie je možné poskytnúť záruky či už výslovné alebo implikované, súvisiace so správnosťou, spoľahlivosťou alebo obsahom tohoto dokumentu. VÚB, a.s. si vyhradzuje právo kedykoľvek tento dokument upraviť alebo ho stiahnuť z obehu bez predchádzajúceho upozornenia. Aktuálna verzia príručky v elektronickej podobe a jej prípadné zmeny sú uvedené na internetovej adrese https://registracia.vub.sk/pki/doc/vrp_prirucka_pouzivatela.pdf.

3 Čo je potrebné vykonať pre získanie prístupu k moderným bankovým službám založeným na technológii PKI Ako používateľ máte dve možnosti ako získať certifikáty: • Prvá možnosť je návšteva pobočky, kde pri osobnom registračnom procese bude overená Vaša totožnosť a po podpise zmluvy o certifikačných službách, Vám budú vygenerované dva páry kľúčov (šifrovací a podpisovací) a k nim vydané dva certifikáty. Pre ďalšie služby náležiace k životnému cyklu certifikátov je potrebné používať vzdialený prístup cez aplikáciu Vzdialené registračné procesy (Overenie certifikátov). V tomto prípade, pokračujte bodom 3. •

Druhá možnosť je použitie aplikácie Vzdialené registračné procesy. V tomto prípade, je potrebné vykonať postup popísaný v nasledujúcich bodoch 1 až 4:

1. Vygenerovať dva páry kľúčov (šifrovací a podpisovací) a požiadať o certifikát: • Podpisovací - tento bude slúžiť na podpisovanie transakcií a zabezpečí nepopierateľnosť zodpovednosti za vykonanie elektronických transakcií. • Šifrovací – tento certifikát bude slúžiť na zabezpečenie dôverného prenosu dát, čiže šifrovanie transakcií. Poznámka: Pri použití služieb PKI vo VÚB, a.s. budete používať vždy dvojicu certifikátov (šifrovací a podpisovací) a dva páry kľúčov (verejný a súkromný) patriace k jednotlivým certifikátom. Prvý krok teda prepokladá vygenerovanie dvojice kľúčov (verejného a súkromného) pre budúci podpisovací certifikát, a rovnako ďalšej dvojice kľúčov (verejného a súkromného) pre budúci šifrovací certifikát. Tieto kľúče možu byť uložené v dvoch typoch úložísk. • Hardvérové úložisko, napr. Čipová karta, HW Token a pod. • Softvérové úložisko, súbor na pevnom disku resp. diskete. Poznámka: Z dôvodu bezpečnosti nie je možné generovať kľúče na Smart karte klientskou aplikáciou ale len výhradne v banke. Pred vygenerovaním žiadostí je nutné vyplniť sadu údajov a pripraviť elektronický odtlačok verejného kľúča (tzv. fingerprint verejného kľúča) certifikačných žiadostí. Podľa týchto elektronických odtlačkov bude následne v banke možné tieto žiadosti identifikovať. Aplikácia vzdialené registračné procesy efektívne odtieňuje používateľa aplikácie od nutnosti viacnásobného generovania kľúčov a zadávania totožných údajov. Rovnako vytvorí aj žurnál (výstup) o úspešnom generovaní a odoslaní žiadostí.

Strana 5 z 35

Upozorňujeme, že tento výstup je nevyhnutné mať k dispozícii pri následnej návšteve pobočky, pri overení certifikačných žiadostí! Podrobnosti sú uvedené v časti 5.1.3. 2.

Uzatvorenie zmluvy o certifikačných službách

Po úspešnom odoslaní elektronickej žiadosti nasleduje Vaša návšteva na registračnom mieste t.j. v pobočke VÚB, a. s., kde po overení zadaných údajov a po vyplnení tlačiva s dodatkovými údajmi, ktoré budú overené autorizovaným pracovníkom banky voči dokladu totožnosti, resp. výpisu z Obchodného registra alebo Živnostenského listu, autorizovaný pracovník banky vypracuje Zmluvu o poskytovaní certifikačných služieb. Následne bude schválené vydanie certifikátov. Pri podpise zmluvy na registračnom mieste je potrebné predložiť platný preukaz totožnosti na overenie osobných údajov a na overenie identity žiadateľa. Pobočku VÚB, a.s., vykonávajúcu registráciu je nutné navštíviť do 7 dní od zaslania žiadostí. V opačnom prípade bude Vaša žiadosť zamietnutá. 3.

Vyzdvihnutie certifikátu

Certifikáty môžete získať po schválení žiadosti nasledovnými spôsobmi : • Osobne na pobočke. V takom prípade Vám budú nové certifikáty a kľúče odovzdané na diskete a pomocou aplikácie Vzdialené registračné procesy si môžete certifikáty nahrať (importovať) do úložiska kľúčov. Následne je nutné použiť voľbu Overenie certifikátov (postup ako overiť certifikáty je včasti 5.3). • Vzdialene. Cez Internet, pomocou aplikácie Vzdialené registračné procesy a voľbe import certifikátov z Internetu. V takomto prípade, je nevyhnutné poznať identifikačné reťazce (ktoré sú totožné so sériovými číslami certifikátov). Podľa nich vie aplikácia vzdialene pristúpiť k správnym certifikátom. Tieto identifikačné reťazce sú obsiahnuté v Internetovej linke, ktorá Vám bude zaslaná elektronickou poštou na adresu uvedenú v žiadosti o certifikáty (je uvedená aj v certifikáte). Ku každému certifikátu je zaslaná samostatná e-mailová správa. Obsah e-mailovej správy bude mať tvar: >> Vas certifikat si mozete stiahnut na stranke: Your certificate is on the following link: https://registracia.vub.sk/pki/ImportCert?reqId=1026806470.html Automaticky upozornovaci system PKI-VUB. << kde číslo 1026806470 je identifikačným reťazcom. Kliknutím na Internetovú linku sa rozbehne automatický import certifikátu. Certifikáty budú uložené do úložiska iba v takom prípade, keď úložisko obsahuje zodpovedajúce súkromné kľúče. Postup ako vyzdvihnúť a importovať a aktivovať certifikáty je v kapitole 5.2.3 Import certifikátov. 4.

Overenie certifikátu

Po získaní certifikátov je pred prvým použitím nevyhnutné certifikáty overiť. Pri overení certifikátu postupujte podľa časti 5.3.Overenie certifikátov. Overenie znamená zaslanie špeciálneho typu overovacej transakcie do banky. Po úspešnom overení certifikátov budete môcť certifikáty používať na bankové operácie.

4 Požiadavky na konfiguráciu počítača pre prácu s aplikáciou Vzdialené registračné procesy.

Strana 6 z 35

Minimálne nastavenie a konfigurácia počítača na používanie aplikácie Vzdialené Registračné procesy je nasledujúca: • minimálne procesor Pentium 200MHz a vyšší, aspoň 64 MB RAM . o (Kontrola cez Prieskumník |pravým tlačítkom na Tento počítač | záložka Všeobecné) • sieťový adaptér resp. modem pre pripojenie k sieti Internet • disketová jednotka 3,5" o V prípade, že nemáte v úmysle preniesť svoje elektronické žiadosti do banky cez Internet, , resp. chcete uschovávať svoje kľúče na diskete. • • • • • •

•

4.1

operačný systém MS Windows 98, 2000 alebo Windows NT 4.0 SP6 o (Kontrola cez Prieskumník |pravým tlačítkom na Tento počítač | záložka Všeobecné) Internetový prehliadač podporujúci 128 bitové šifrovanie o (Prakticky MS IE 5.5 SP2, resp. Netscape 4.76 a vyššie) Internetový prehliadač podporujúci Java Plug-In (TM) verzie 1.3.1 o (Kontrola cez Štart| Ovládací panel | Java Plug-in 1.3.1.) Poznámka : nasledovné body vykoná inštalácia, či už z CD alebo internetu. nainštalovaný Java Plug-In verzia 1.3.1. build 01 Medzinárodná verzia alebo vyšší o (Kontrola cez Štart| Ovládací panel | Java Plug-in 1.3.1.) nainštalovaná kustomizácia Java Plug-In verzia 1.3.1. umožňujúca spúšťanie podpísaných verifikovaných appletov. o (Kontrola cez Prieskumník| Tento počítač | Disk C:\ | Adresár Program Files\JavaSoft\JRE\1.3.1\lib\security\cacerts - súbor musí obsahovať certifikát Certifikačnej autority VUB root CA. Túto skutočnosť je možné overiť nasledovnou sekvenciou príkazov: • cd c:\Progra~1\Javasoft\JRE\1.3.1\lib\security • ..\..\bin\keytool –list –v -keystore cacerts nainštalované rozhranie pre prácu s ovládačmi smartkariet typu DLL. o (Kontrola cez Prieskumník| Tento počítač | Disk C:\ | System Root (c:\winnt\system32) – adresár musí obsahovať súbor Jcryptoki.dll verzia 1.0.4.0. Súbor má byť podpísaný codesign certifikátom VÚB, a.s. Postup overenia je možné získať na webovej stránke VUB a.s. http://registracia.vub.sk/pki/ .

Inštalácia prostredia pre aplikáciu PKI

Vyhovujúcu verziu Java Plug-In a šifrovacích knižníc je možné získať jednou z nasledovných možností: • inštaláciou z CD • inštaláciou z internetu V obidvoch je po úspešnej inštalácii pripravené prostredie pre spustenie aplikácie vzdialené registračné procesy. 4.1.1 Inštalácia z CD Ak je k dispozícii inštalačné CD, obsahujúce inštaláciu PKI aplikácie (napr. Inštalačné CD - BB), bude potrebné spustiť inštaláciu otvorením stránky instalacia.html v adresári s aplikáciou. Následne je potrebné postupovať podľa návodu, ktorý je na stánkach typu HTML, a je zároveň inštalátorom. Návod obsahuje nasledovné 3 kroky: 4.1.1.1

Inštalácia certifikátu Bankovej Certifikačnej Autority

Pre inštaláciu do systémového úložiska (kľúčenky) OS Windows, ktorú používa aj prehliadač Internet Explorer, je potrebné kliknúť na odkaz “Inštalácia certifikátu bankovej certifikčnej autority”. Po otázke “Otvoriť ... - Uložiť ...” (resp. anglický ekvivalent “Open ... – Save ...”) je potrebné zvoliť “Otvoriť”. Ďalej je potrebné postupovať podľa ponúknutých možností.

Strana 7 z 35

4.1.1.2

Inštalácia Java Plug-in™

Pre inštaláciu je potrebné kliknúť na odkaz “Inštalácia Java Plug-in™”. Pri inštalácii je potrebné ponechať nezmenené implicitne ponúknuté možnosti. Inštalácia Java Plug-in™ prebieha v anglickom jazyku. Integrita súboru je zabezpečená certifikátom firmy SUN®. Atribúty certifikátu, je možné zobraziť prehliadaním vlastností súboru priamo v operačnom systéme Microsoft® Windows™. Certifikát musí mať zachovanú integritu, čo zobrazí operačný systém a jeho subjekt má byť nasledovný: CN = Sun Microsystems, Inc. OU = Sun Microsystems OU = Digital ID Class 3 - Microsoft Software Validation v2 O = Sun Microsystems, Inc. L = Palo Alto S = California C = US Atribút: Serial : 3a 08 e7 15 2c 26 95 26 7d 45 e9 41 2b da ac ab Thumbprint : f6 c7 64 4e ee 16 72 8b 25 62 04 f5 00 08 7c 9d f6 3f 97 d3 Adresár pre inštaláciu má implicitné nastavenie c:\Program Files\JavaSoft\JRE\1.3.1_07, ktoré je nevyhnutné ponechať. Po úspešnom nainštalovaní sa zobrazí applet s hlásením : “Java Plug-in je nainštalovaný”.

Strana 8 z 35

4.1.1.3

Úprava prostredia Java Plug-in™ a inštalácia šifrovacích knižníc

Pre inštaláciu je potrebné kliknúť na odkaz “Úprava prostredia Plug-in™ a šifrovacích knižníc”. Spustí sa inštalačný program, chránený digitálnym podpisom certifikátom Banky. Táto skutočnosť je uvedená v dialógovom okne, ktoré je potrebné schváliť pred spustením inštalácie. Pre zobrazenie atribútov certifikátu "PKI CertServices Code-Sign", je nutné kliknúť na text „View Certificate“ v dialógovom okne pri inštalácii.

Certifikát musí mať zachovanú integritu, čo zobrazí operačný systém a jeho subjekt má byť nasledovný: CN = PKI CertServices Code-Sign OU = 0002 OU = server OU = Externe sluzby O = VUB C = SK Atribút: Serial: 3f 12 71 2d Valid from: Mon Jul 14 11:00:29 CEST 2003 Valid to: Tue Jul 13 10:00:29 CEST 2004 Subject Key Identifier: 45a5 3a3f 006d 86f2 17cd a94e cd81 3fd7 60d2 21f2 Atribút Thumbprint: 8a bd 4d 3f e6 f8 4c 80 11 66 db d2 53 c5 95 ac f4 ce 91 1d Po úspešnom nainštalovaní kustomizácie sa zobrazí text: "Koniec inštalácie - je potrebné zatvoriť všetky okná s prehliadačom internetu."

Uvedené platí pre prostredie operačných systémov firmy Microsoft ®. 4.1.1.4

Reštart všetkých prehliadačov

Strana 9 z 35

Aby sa mohla aktivovať kustomizácia Java Plug In, je nevyhnutné, aby boli ukončené všetky aktuálne spustené preliadače (je potrebné zatvoriť všetky okná s Internet Explorerom alebo Netscape Navigator). Po tomto kroku, je možné spustiť prehliadač a ísť na stránku http://registracia.vub.sk/pki . 4.1.2

Inštalácia z internetu

V prípade, že nie je k dispozícii inštalačné CD, je možné, spustiť rovnaký systém inštalácie aj z webu. Na stránke banky https://registracia.vub.sk/pki/instalacia.jsp je publikovaný obdobný návod a inštalátor ako v prípade inštalačného CD. Upozorňujeme, že v prípade webovskej (internetovej) inštalácie dôjde k stiahnutiu súborov cca 8MB s Java Plug-in™ a súboru cca 1,5MB s kustomizáciou Java Plug-in™ a šifrovacích knižníc Baltimore® KeyTools™. Pri inštalácii produktu z internetu (webu) je nevyhnutné dodržať bezpečný postup, hlavne pokiaľ ide o inštaláciu a overenie certifikátov, viď dokument kapitola 6 Dôvernosť inštalácie PKI aplikácie: Inštalácia certifikátu Bankovej Certifikačnej Autority Pre inštaláciu do systémového úložiska (kľúčenky) OS Windows, ktorú používa aj prehliadač Internet Explorer, je potrebné kliknúť na odkaz “Inštalácia certifikátu bankovej Certifikčnej autority”. Po otázke “Otvoriť ... - Uložiť ...” (resp. anglický ekvivalent “Open ... – Save ...”) je potrebné zvoliť “Otvoriť”. Ďalej je potrebné postupovať podľa ponúknutých možností. Inštalácia Java Plug-in™ Pre inštaláciu je potrebné kliknúť na odkaz “Inštalácia Java Plug-in™”. Spustí sa malý inštalačný skript pre SUN® Java Plug-in™, chránený digitálnym podpisom certifikátom Banky. Táto skutočnosť je uvedená v dialógovom okne, ktoré je potrebné schváliť pred spustením inštalácie. Platí len pre internetovú inštaláciu. Následne sa spustí inštalačný program Java Plug-in™, chránený digitálnym podpisom firmy SUN®. Táto skutočnosť je uvedená v dialógovom okne, ktoré je potrebné schváliť pred spustením inštalácie. Úprava prostredia Java Plug-in™ a inštalácia šifrovacích knižníc Pre inštaláciu je potrebné kliknúť na odkaz “Úprava prostredia Plug-in™ a šifrovacích knižníc”. Spustí sa inštalačný program, chránený digitálnym podpisom certifikátom Banky. Táto skutočnosť je uvedená v dialógovom okne, ktoré je potrebné schváliť pred spustením inštalácie.

Strana 10 z 35

Inštalácia Java Plug-in™ - ON LINE Táto stránka spustí inštaláciu SUN® Java Plug-in™ verzia 1.3.1_07 v prípade, že nie je nainštalovaný. Pri inštalácii je potrebné ponechať nezmenené implicitne ponúknuté možnosti. V prípade internetovej inštalácie sa ako prvý spustí krátky inštalačný skript ActiveX. Pri voľbe lokality v anglickom jazyku je potrebné potvrdiť implicitnú hodnotu. Integrita inštalátora ActiveX je zabezpečená certifikátom Banky. Pre zobrazenie atribútov certifikátu, je nutné kliknúť na text "CodeSign" v dialógovom okne pri inštalácii.

Certifikát musí mať zachovanú integritu, čo zobrazí operačný systém a jeho subjekt má byť nasledovný: CN = CodeSign OU = 0002 OU = server OU = Externe sluzby O = VUB C = SK Atribút: Serial : 3f 12 71 36 Subject Key Identifier: 49 12 06 9c 0e 84 66 89 cd a6 90 aa 33 23 9c 27 d3 e0 28 c7 Thumbprint : ff 84 d9 0d 8e 5d 60 5e c3 03 89 56 29 9e d4 4f d3 62 6d 41

Strana 11 z 35

Po ukončení downloadu cca 8MB Java Plug-in™ sa spustí inštalácia v anglickom jazyku. Integrita Java Plug-in™ je zabezpečená certifikátom firmy SUN®. Pre zobrazenie atribútov certifikátu, je nutné kliknúť na text "Sun Microsystems, Inc." v dialógovom okne pri inštalácii.

Certifikát musí mať zachovanú integritu, čo zobrazí operačný systém a jeho subjekt má byť nasledovný: CN = Sun Microsystems, Inc. OU = Sun Microsystems OU = Digital ID Class 3 - Microsoft Software Validation v2 O = Sun Microsystems, Inc. L = Palo Alto S = California C = US Atribút: Serial : 3a 08 e7 15 2c 26 95 26 7d 45 e9 41 2b da ac ab Thumbprint : f6 c7 64 4e ee 16 72 8b 25 62 04 f5 00 08 7c 9d f6 3f 97 d3 Adresár pre inštaláciu má implicitné nastavenie c:\Program Files\JavaSoft\JRE\1.3.1_07, ktoré je nevyhnutné ponechať. Po úspešnom nainštalovaní sa zobrazí applet s hlásením : “Java Plug-in je nainštalovaný”.

Strana 12 z 35

Úprava prostredia Java Plug-in™ a inštalácia šifrovacích knižníc Táto stránka spustí inštaláciu úpravy prostredia SUN® Java Plug-in™ a inštaláciu šifrovacích knižníc Baltimore® KeyTools™. Inštalačný applet je chránený digitálnym podpisom certifikátom Banky. Táto skutočnosť je uvedená v dialógovom okne, ktoré je potrebné schváliť pred spustením inštalácie. Pre zobrazenie atribútov certifikátu "PKI CertServices Code-Sign", je nutné kliknúť na text „View Certificate“ v dialógovom okne pri inštalácii.

Certifikát musí mať zachovanú integritu, čo zobrazí operačný systém a jeho subjekt má byť nasledovný: CN = PKI CertServices Code-Sign OU = 0002 OU = server OU = Externe sluzby O = VUB C = SK Atribút: Serial: 3f 12 71 2d Valid from: Mon Jul 14 11:00:29 CEST 2003 Valid to: Tue Jul 13 10:00:29 CEST 2004 Subject Key Identifier: 45a5 3a3f 006d 86f2 17cd a94e cd81 3fd7 60d2 21f2 Atribút Thumbprint: 8a bd 4d 3f e6 f8 4c 80 11 66 db d2 53 c5 95 ac f4 ce 91 1d Po úspešnom nainštalovaní kustomizácie sa zobrazí text: "Koniec inštalácie - je potrebné zatvoriť všetky okná s prehliadačom internetu." Aby sa mohla aktivovať kustomizácia Java Plug-in, je nevyhnutné, aby boli ukončené všetky aktuálne spustené prehliadače (je potrebné zatvoriť všetky okná s Internet Explorerom). Po tomto kroku, je možné spustiť prehliadač a ísť na stránku https://registracia.vub.sk/pki

Strana 13 z 35

4.1.3

Nastavenia pre Internet Explorer

V texte sú popísané nastavenia prehliadača Internet Explorer, nakoľko ide o podporovaný prehliadač. Štandartne stačí pre beh Java appletov cez Java Plug-In štandardné nastavenie prehliadača, nakoľko bezpečnosť, overovanie integrity podpisov a validáciu appletov MÁ PLNE V KONTROLE JAVA PLUG-IN. V prípade, nastavenia Vlastnej úrovne bezpečnosti musí byť splnené nasledovné: • Java (Sun) o Aktivované Use Java v1.3.1_07 for • povolené Java applety o (Kontrola cez MS Internet Explorer| Nástroje| Možnosti siete Internet | záložka Zabezpečenie | úroveň stredná |tlačítko Vlastná úroveň | Ovládacie prvky ActiveX a moduly plug-in | označiť voľbu zapnúť v bodoch: • Označiť skriptovacie ovládacie prvky ActiveX ako bezpečné • Spustiť ovládacie prvky ActiveX a moduly plug-in o zaškrtnúť voľbu výzva v bodoch: o stiahnuť nepodpísané ovládacie prvky ActiveX o stiahnuť podpísané ovládacie prvky ActiveX • Skriptovanie - označiť voľbu zapnúť pre položky: o aktívne skriptovanie o skriptovanie appletov v jazyku Java • povolené SSL (Secure Socket Layer) o (Kontrola cez MS Internet Explorer| Nástroje| Možnosti siete Internet | záložka Spresniť | označená voľba SSL) • nastavená úroveň šifrovania na 128 bitov o (Kontrola cez MS Internet Explorer| Nápoveda | O aplikácii Internet Explorer nastavená úroveň šifrovania musí byť 128 bitov) • nastavená znaková sada má byť stredoeurópska - Windows 1250 o (Kontrola cez MS Internet Explorer| Zobraziť | Kódovanie) • rozlíšenie obrazovky 800 x 600 pixelov alebo viac 4.1.4

Nastavenia pre Netscape Navigator

Pre prehliadač Netscape Navigator je nutné mať nastavené štandardné nastavenia implicitnej inštalácie. Pri zásahu do nastavení nie je zaručené, že inštalácia resp. aplikácia budú fungovať korektne.

5 Ako používať aplikáciu Vzdialené registračné procesy •

Pred prvým použitím aplikácie je nutné, aby sa na klientsku pracovnú stanicu nahrala sada šifrovacích knižníc a taktiež aj knižnice aplikácie. V prípade, že bola úspešne spustená inštalácia, vtedy už prostredie na pracovnej stanici obsahuje príslušné knižnice.

•

Stiahnnutie šifrovacích a pomocných knižníc veľkosti asi 1000 kB (download modemom s rýchlostou 28.8 kb/s trvá zhruba 10 minút). Stiahnutie je automatické, pokiaľ nezrušíte browser session.

•

Applety aplikácie Vzdialené registračné procesy majú veľkosť asi 150 kB (download modemom rýchlostou 28.8 kb/s trvá cca 1 minútu). Stiahnutie je automatické, pokiaľ nezrušíte prácu prehliadača.

Strana 14 z 35

Pri voľbe úvodnej stránky web aplikácie (na internetovej adrese http://registracia.vub.sk alebo http://www.vub.sk/pki) sa Vám zobrazí nasledovná sada možností:

5.1

Generovanie kľúčov a žiadostí o certifikáty (ponuka Generovanie žiadostí) Je základným prvkom aplikácie Vzdialené registračné procesy. Pred použitím služieb a aplikácií založených na PKI je nevyhnutné získať klientske certifikáty, ktoré sa budú používať pri komunikácii s bankou (šifrovací) a na autorizáciu transakcií (podpisovací). V prípade, že ste sa rozhodli pre osobný registračný proces a máte už vydané certifikáty, po nakonfigurovaní počítača, pokračujte podľa bodu 5.2 Práca s úložiskom kľúčov. Použitím voľby generovanie certifikačných žiadostí a kľúčov sú vygenerované dva páry kľúčov, ktoré sú uložené do Vami definovaného úložiska. Z Vami zadaných údajov sú vytvorené dve certifikačné žiadosti. Tieto sú odoslané z Vášho počítača do VÚB, a. s.

Strana 15 z 35

5.1.1

Krok 1 Údaje pre certifikáty Aplikácia umožňuje podať žiadosť o vydanie certifikátov len fyzickým osobám V procese vytvárania žiadosti dôjde k vygenerovaniu dvoch párov kľúčov. Je potrebné zadať nasledovné údaje: -

Meno fyzickej osoby Priezvisko fyzickej osoby Rok narodenia fyzickej osoby e-mailová adresa

Meno a Priezvisko osoby musí obsahovať písmená malej resp. veľkej slovenskej abecedy (vrátane interpunkčného znamienka bodka), do mena je možné vložiť pomlčku alebo medzeru, e-mailová adresa musí mať formát meno@doména. Na e-mailovú adresu uvedenú v certifikáte bude zasielaná komunikácia o stave certifikátu.

Strana 16 z 35

5.1.2

Krok 2 Údaje o úložisku kľúčov Existujú dva typy úložísk kľúčov:. softvérové a hardvérové. Tieto sa líšia hlavne úrovňou bezpečnosti a vlastnosťami. Predstavujú rozdielny spôsob reprezentácie kľúčov a certifikátov. • Softvérové úložisko je dátový objekt (súbor), špeciálneho formátu (PKCS #12), tento súbor, čiže úložisko je chránené heslom, ktoré je nutné pri jeho použití aplikáciou zadať. • Hardvérové úložisko je samostatný token, s implementovanou vlastnou logikou, napr. SmartCard. Zo správne vybranej a naformátovanej smart karty nie je možné súkromný kľúč získať, a zároveň , kryptografické operácie sa vykonávajú mimo aplikáciu (počítač) priamo na smart karte. Tieto sa vykonajú za predpokladu, že poznáte tzv. PIN, ktorý má rovnaký význam ako heslo pri SW úložisku. Pri implementácii PKI vo VÚB, a.s., bolo na zaistenie vyššej bezpečnosti zavedené pravidlo : Hardvérové certifikáty budú vydávané len pri osobnej návšteve pobočky banky za predpokladu, že kľúče na smart karte sa budú generovať v čase návštevy banky a za účasti pracovníka banky a používateľa zároveň. Pri vzdialenej žiadosti sa preto používa iba softvérové úložisko, pre ktoré je nevyhnutné: • zvoliť heslo k úložisku kľúčov. Pre toto odporúčame použiť rovnaké pravidlá ako pre revokačné heslo, t.j. musí obsahovať veľké a malé písmeno anglickej abecedy (to znamená bez diakritiky), číselný znak a aspoň jeden špeciálny znak. • špeciálny znak je znak z nasledovnej množiny : .,:;?!<>/\'"(){}[]`~@#$%^&*-+=| • Celková dĺžka hesla musí byť minimálne 8 znakov. Pozor, pri strate tohto hesla neexistuje spôsob, ako ho obnoviť! Jediným spôsobom je vygenerovanie nových kľúčov a certifikátov. • Zvoliť úložisko kľúčov, t.j. špecifikovať súbor kam budú uložené kľúče a certifikáty. Pre použitie v aplikáciách, počas celého životného cyklu certifikátov, bude nutné mať tento súbor k dispozícii a poznať heslo, ktorým je chránený. Doporučujeme si tento súbor bezpečne a diskrétne odzálohovať, nakoľko pri jeho strate nebudete už nikdy môcť pristúpiť k šifrovaným dokumentom, resp. k transakciám.

Revokačné heslo

Heslo k úložisku kľúčov

Heslo pre pozastavenie platnosti certifikátu,zrušenie pozastavenia platnosti (pri osobnej návšteve registračného miesta) resp. zneplatnenie certifikátu. napr. Hes123lo.

Zopakovanie hesla

napr. Hes123lo.

Úložisko kľúčov

Napr. c:\vubpki\test1.p12

Adresár pre žiadosti

C:\vubpki

Viď text pod tabuľkou.

Pozor, bezpečne zapamätať Pozn: Bodka je súčasťou hesla. Heslo sa nezobrazuje, preto pre zabránenie chybného zadania, je nutné heslo zopakovať Možné zvoliť osobný názov, implicitne MenoPriezvisko poslednej žiadosti ! Preddefinovaná hodnota adresára, kde bude uložený súbor – úložiska kľúčov; konfigurovateľné*

Revokačné heslo musí spĺňať zásadu bezpečného hesla, t.j. obsahovať veľké a malé písmeno anglickej abecedy (bez interpunkcie), číselný znak a aspoň jeden špeciálny znak. Celková dĺžka revokačného hesla musí byť minimálne 8 znakov. * Adresár so žiadosťami sa mení podľa toho, ako je zadaná adresárová cesta k úložisku kľúčov. Zmenou tejto cesty sa zmení aj adresár pre žiadosti. Adresár s úložiskom kľúčov a žiadosťami sú vždy rovnaké.

Strana 17 z 35

5.1.3

Krok 3 Generovanie náhodného čísla Pre naštartovanie algoritmu na generovanie páru kľúčov (verejný a súkromný) je nutné vygenerovať dostatočne veľké a dostatočne náhodné číslo pohybom kurzoru myši po obrazovke appletu. O dráhe a rýchlosti pohybu kurzora, sa dá povedať, že spĺňa nároky na náhodné číslo. Po vyplnení údajov z Kroku 1,2,3 je možné zvoliť generovanie kľúčov a žiadostí. Záložka s náhodným číslom sa zmení na log a priebeh generovania sa zobrazuje. Po úspešnom spojení s bankovým serverom VÚB, a.s. budú Vaše žiadosti odoslané na server. Priebeh generovania obsahujúci dôležité údaje, ako sú odtlačky žiadostí, si vytlačte. Tento výstup, ako aj žiadosti, sú uložené v adresári pre žiadosti, zadanom v kroku 2. Konvencia názvu súborov so žiadosťami zabraňuje prepísaniu jednotlivých výstupov a žiadostí a je nasledovná: • •

Názov žiadosti Názov žurnálu

= MenoPriezvisko_YYYYMMDDHHMM_TYP.P10 = MenoPriezvisko_YYYYMMDDHHMM_GENCERT.LOG

V prípade, že spojenie sa nepodarí nadviazať, je nutné pokus zopakovať, kľúče žiadosti je však potrebné vygenerovať znovu.

Strana 18 z 35

Po ukončení generovania kľúčov a odoslaní žiadostí do banky si môžete vytlačiť záznam o generovaní žiadostí o certifikát, ktorý okrem iného obsahuje aj odtlačok verejného kľúča. Tento tlačový výstup (resp. jeho elektronická podoba) je potrebné predložiť na registračnom mieste VÚB!

Strana 19 z 35

5.2

Práca s úložiskom kľúčov (ponuka Úložisko) Pri návšteve registračného miesta budú v žiadostiach zadané údaje overené. Po podpise zmluvy o certifikačných službách budú vydané certifikáty. •

V prípade osobného registračného procesu budú vydané certifikáty spolu s kľúčmi, v SW úložisku (súbore), alebo HW úložisku smart karte. V tomto prípade je nevyhnutné prihlásenie priamo na toto úložisko. • V prípade vzdialeného registračného procesu, máte po návrate z registračného miesta VÚB, a. s., k dispozícii v schránke svojej elektronickej pošty identifikačné reťazce certifikátov. Upozorňujeme, že e-mailová adresa, na ktorú Vám prídu správy s identifikačnými reťazcami je tá, ktorá je uvedená v žiadosti o certifikát, respektíve bola zadaná ako súčasť certifikátu. Po otvorení prílohy elektronickej pošty, sa automaticky spustí aplikácia pre prácu s úložiskom kľúčov a aktivuje sa import certifikátov.

Strana 20 z 35

5.2.1

Prihlásenie Na prácu s úložiskom kľúčov, ktoré predstavuje manažment kľúčov v úložisku, je nutné exaktne poznať umiestnenie úložiska a heslo k úložisku kľúčov, pomocou ktorého je možné pracovať s kľúčmi a certifikátmi. V prípade HW úložiska ide o tzv. PIN. Pred začiatkom práce je nutné zvoliť typ úložiska, s ktorým sa bude pracovať. Je potrebné vybrať jednu z nasledovných možností: • Označiť “Úložisko kľúčov: súbor” o Na prácu so softvérovým úložiskom (typu PKCS #12). o Na prihlásenie sa k úložisku je nutné vyplniť rovnaký súbor a heslo, ktoré bolo zadané pri generovaní žiadosti (viď odsek 5.1.2 Krok 2 Údaje o úložisku kľúčov). • Označiť “Úložisko kľúčov: smartcard” o Na prácu s hardvérovým úložiskom (typu PKCS 11). o Na prihlásenie sa k úložisku je nutné zadať správny ovládač pre smartkartu (cestu k ovládaču) a PIN (heslo chrániace prístup k smartkarte). Štandardne je nastavená cesta k ovládaču k smartkarte Datakey: C:\WINNT\SYSTEM32\dkck132.dll Syntax cesty je pre Windows NT alebo Wndows 2000. Pre systém Windows 98 môže byť napr. C:\WINDOWS\SYSTEM32\dkck132.dll. Pre iné typy smartkarty je dodávaný iný súbor ovládača (súboru s príponou dll) •

Označiť “Úložisko kľúčov: vytvor nové” Funkcionalita slúži na vytvorenie nového prázdneho úložiska kľúčov. Do tohto úložiska môžete importovať certifikáty pomocou funkcie Import certifikátov. o Pozor: Nové úložisko bude chránené heslom, ktoré je nevyhnutné zvoliť a zadať do: “Heslo k úložisku kľúčov.” o Následne je nevyhnutné certifikáty naimportovať. viď. časť 5.2.3 Import certifikátov.

Strana 21 z 35

5.2.2

Prehľad certifikátov Po úspešnom prihlásení sa do úložiska kľúčov (nazývaného aj tzv. kľúčenka) je možné skontrolovať aké kľúče a certifikáty sú v ňom uložené. Je možné zistiť a prezrieť si aj detailné informácie každého certifikátu v úložisku ako je odtlačok verejného kľúča (tzv. fingerprint verejného kľúča), časová platnosť, typ kľúča, použite kľúča a sériové číslo certifikátu. Sériové číslo certifikátu bude nutné poznať pri prípadnom vzdialenom pozastavení platnosti certifikátu viď časť 5.4 Pozastavenie platnosti certifikátov Poznámka : Pozastaviť platnosť certifikátu je možné aj osobne, resp. telefonicky cez Call Centrum. Zoznam jednotlivých certifikátov je v ľavej časti obrazovky. Zo zoznamu je potrebné zvoliť konkrétny certifikát, o ktorom je možné zobraziť detaily stlačením tlačítka “Zobraz detaily”.

Strana 22 z 35

5.2.3

Import certifikátov Je najdôležitejšou časťou aplikácie Vzdialené registračné procesy a umožňuje import certifikátov k vygenerovaným kľúčom. Certifikáty je možné získať v nasledovných formátoch: •

PKCS #12 – (prípona súbor P12) má rovnaký formát ako úložisko (kľúčenka), ale pozor, obsahuje aj príslušný súkromný kľúč, ktorý je chránený heslom! Tento formát je možné získať iba pri osobnom registračnom procese. • PKCS #7 – (prípona súboru P7C) obsahuje iba certifikát, a je možné ho naimportovať len ak úložisko obsahuje príslušný súkromný kľúč. Tento certifikát je možné získať pri importe z Internetu alebo pri osobnom registračnom procese. Poznámka : Certifikáty sú typu X.509 a môžu byť uložené vo formáte PKCS #7 (.p7c), alebo DER (súbory môžu mať prípony. .cer, .crt, .der). PKCS #7 formát može obsahovať reťaz certifikátov. DER formát (a jeho ascii (base64) variácie typu CER, CRT) obsahujú jeden certifikát. DER je binárne kódovanie, všeobecne používané pre prácu s certifikátom.

Strana 23 z 35

5.2.3.1

Import certifikátov zo súboru

Pri importe dvojice súborov so súkromným kľúčom a certifikátom typu PKCS #12, získaných pri osobnom registračnom procese, do úložiska, je nevyhnutné urobiť nasledovné: • Ak ešte neexistuje vlastné úložisko kľúčov, je nevyhnutné vytvoriť ho voľbou Vytvor nové v momente prihlásenia sa do úložiska (viď. časť 5.2.1 Prihlásenie) • Vybrať záložku “Import”. • Vybrať “import z lokálneho súboru” . • Vybrať prvý z dvojice súborov typu PKCS #12 a zadať príslušné heslo chrániace súbor s kľúčom a certifikátom. • Aktivovať tlačidlo “Importuj”. • Vybrať druhý z dvojice súborov typu PKCS #12 a zadať príslušné heslo chrániace súbor s kľúčom a certifikátom. • Aktivovať tlačidlo “Importuj”.

Strana 24 z 35

5.2.3.2

Import certifikátov z Internetu

Pri importe certifikátov z Internetu do úložiska, z ktorého boli generované certifikačné žiadosti a teda obsahuje príslušné súkromné kľúče, musí byť známa linka obsahujúca identifikačný reťazec certifikátu na bankovom serveri a je nevyhnutné urobiť nasledovné kroky: • Prihlásiť sa do úložiska, obsahujúceho príslušné súkromné kľúče. (viď. 5.2.1 Prihlásenie) • Vybrať záložku Import. • Vybrať “import z Internetu” (automaticky PKCS #7) . • Zadať identifikačný reťazec prvého certifikátu (viď kapitola 3 bod 3). • Aktivovať tlačidlo Importuj. • Zadať identifikačný reťazec druhého certifikátu (viď kapitola 3 bod 3). • Aktivovať tlačidlo Importuj. 5.2.4

Export Pri práci s úložiskom kľúčov je umožnený aj export certifikátov vo formátoch PKCS #12 (obsahuje aj súkromný kľúč), alebo iba certifikátu vo formátoch X.509 PKCS #7, X.509 DER, X.509 Base64. Pozor, export do formátu PKCS #12 (obsahuje aj súkromný kľúč), je možný iba zo softvérového úložiska. Zo smartkarty nie je možné exportovať súkromný kľúč.

Strana 25 z 35

5.2.5

Zmena hesla Funkcia “Zmena hesla” umožní zmeniť heslo chrániace úložisko (kľúčenku typu PKCS #12). V prípade hardvérového úložiska (Smart karta) sa jedná o zmenu PIN.

5.3

Overenie certifikátov (menu ponuka Overenie) Overenie certifikátov je povinným krokom, nasledujúcim po úspešnom získaní certifikátov. Týmto krokom sa aktivujú prvotne vydané certifikáty aj certifikáty, ktoré sú generované pri obnove platnosti certifikátov použitím príslušného súkromného kľúča. Bez spustenia tejto funkcie nie je možné certifikáty používať pri bankových operáciách. Až následne certifikáty budú platné pre bankové operácie. O výsledku overenia, ktoré prebieha pripojením sa na bankový server, ste informovaní okamžite v dialógovom okne. Funkciu je možné použiť aj na overenie platnosti certifikátov.

Strana 26 z 35

5.3.1

Prihlásenie Pred korektným overením certifikátov je nutné prihlásiť sa k úložisku kľúčov. Proces prihlásenia sa do úložiska je rovnaký ako v predchádzajúcich krokoch, bližší popis viď časť 5.2.1Prihlásenie.

5.3.2

Prehľad certifikátov Po prihlásení sa k úložisku je nevyhnutné vybrať správny certifikát určený na overenie. Následne je potrebné skontrolovať atribúty certifikátu náhľadom na detaily certifikátu. Overenie je možné aktivovať stlačením tlačidla “Over zvolený certifikát”.

Strana 27 z 35

5.4

Pozastavenie platnosti certifikátov (ponuka Pozastavenie platnosti) Voľbou Pozastavenie platnosti certifikátov je možné pozastaviť platnosť certifikátu, ak existuje podozrenie alebo istota, že došlo k ohrozeniu dôvernosti súkromných kľúčov. Pre pozastavenie platnosti certifikátov je nevyhnutné poznať tzv. revokačné heslo, ktoré bolo zadané pri žiadosti o certifikát, alebo pri osobnej žiadosti na registračnom mieste VÚB, a. s. (viď. časť 5.1.2

Strana 28 z 35

Krok 2 Údaje o úložisku kľúčov). Komunikácia medzi aplikáciou a bankovým serverom prebieha v móde SSL (šifrovane), heslo je pri prenose cez Internet šifrované. Pre pozastavenie platnosti certifikátu je potrebné poznať sériové číslo certifikátu. Sériové číslo certifikátu je pre každý vydaný certifikát v rámci jednej Certifikačnej Autority jedinečné. Sériové číslo môže byť zobrazené v desiatkovom (dekadicky, decimálne) alebo šestnástkovom formáte (hexadecimálne). Aplikácia Vzdialené registračné procesy (viď. časť Prehľad) zobrazuje sériové číslo certifikátu v desiatkovom formáte. Iné aplikácie môžu zobrazovať sériové číslo certifikátu v šestnástkovom formáte.

Pri pozastavení platnosti certifikátu je nevyhnutné zadať sériové číslo a revokačné heslo (passphrase) do príslušných políčok a odoslať na spracovanie. Výsledok tejto operácie bude zobrazený formou odpovede v okne aplikácie.

Strana 29 z 35

Poznámka : Platnosť certifikátu je možné overiť pomocou funkcionality Overenie certifikátov viď časť 5.3. V prípade, že certifikátu bola úspešne pozastavená platnosť, overenie sa nepodarí. Zrušenie pozastavenia platnosti certifikátu je možné iba pri osobnej návšteve oprávneného držiteľa certifikátu na registračnom mieste VÚB, a. s.

5.5

Obnova platnosti certifikátov (ponuka Obnova) Certifikáty sú vydávané s dobou platnosti 2 roky (certifikáty vydané do 16.7.2005 majú platnosť jeden rok) a táto skutočnosť je jedným z najdôležitejších atribútov certifikátu. Dobu platnosti je možné zobraziť a skontrolovať pri práci s úložiskom viď časť 5.2.2 Prehľad. Pred uplynutím platnosti certifikátov je nutné požiadať o ich obnovu. Obnova certifikátov je automatický proces, ktorý už nevyžaduje osobnú návštevu na registračnom mieste. Namiesto návštevy sa na autorizáciu a overenie Vašej žiadosti využije Váš podpisovací certifikát. O obnovu certifikátov môžete požiadať najskôr o 30 dní nasledujúcich po prvotnom vydaní certifikátov. Podmienkou je, aby v čase žiadosti o obnovu bol podpisovací certifikát platný.

Strana 30 z 35

Poznámka : Na možnosť expirácie, t.j. uplynutia platnosti certifikátu, budete upozornení e-mailom. Tento bude zaslaný na e-mailovú adresu, ktorá je uvedená v certifikáte! 5.5.1

Prihlásenie Pre korektnú obnovu páru certifikátov je nutné prihlásiť sa k úložisku. Proces prihlásenia sa do úložiska je rovnaký ako v predchádzajúcich krokoch, bližší popis viď časť 5.2.1 Prihlásenie.

5.5.2

Údaje pre certifikáty Pri obnove platnosti certifikátov sa generujú nové certifikačné žiadosti, ktoré po úspešnej autorizácii žiadosti schváli banková certifikačná autorita. Pri aktivácii obnovy certifikátov sa zároveň obnovuje podpisovací aj šifrovací certifikát. Preto je nutné aby úložisko obsahovalo pár certifikátov spolu s príslušnými kľúčmi. V prípade obnovy certifikátov je možné obnoviť kľúče (tzn. znovu vygenerovať nové dva páry kľúčov) a následne požiadať o vydanie nových certifikátov pre tieto kľúče, alebo požiadať o vydanie nových certifikátov pre pôvodné kľúče. Pre novovydané certifikáty je možné: • Zmeniť kľúče, t.j. pre novovydané certifikáty si zároveň vygenerujete aj nové kľúče. o Vyznačením voľby “Obnoviť : kľúče a certifikáty” na záložke. • Ponechať pôvodné kľúče, t.j. nové certifikáty budú vydané pre pôvodné kľúče. o Vyznačením voľby “Obnoviť : certifikáty” na záložke. o Bude nevyhnutné vygenerovať nové náhodné číslo viď odsek 5.5.3 Generovanie náhodného čísla. • Zmeniť jediný atribút e-mail. Všetky ostatné osobné údaje, ktoré sú v pôvodnom certifikáte zostávajú v platnosti. o Vyznačením “Obnoviť: certifikáty” o Vyplnením položky “E-mail” na záložke Po ukončení zadávania údajov je nutné odoslať žiadosť, stlačením tlačítka “Generovanie a poslanie obnovených žiadostí do banky”. Bankový server po prijatí žiadosti spustí proces, ktorý po sade overení vygeneruje nové certifikáty a pozastaví platnosť pôvodných certifikátov. Nové certifikáty klientska aplikácia automaticky naimportuje do úložiska, je nutné ale potvrdiť dialóg o importe certifikátov. Po úspešnom obnovení certifikátov je na adresu uvedenú v certifikáte odoslaný e-mail potvrdzujúci túto skutočnosť. Poznámka : Pri obnovení platnosti certifikátov dôjde k zmene (zvýšeniu o 1) tzv. registračného čísla. Toto číslo je súčasťou mena certifikátu (tzv. common name), to znamená, že nový certifikát bude mať zmenené common name, nakoľko jeho súčasťou je aj registračné číslo. Common name je možné prezrieť cez ponuku Práca s úložiskom kľúčov-Prehľad certifikátovZobraziť detaily (viď časť 5.2.2 Prehľad)

Strana 31 z 35

5.5.3

Generovanie náhodného čísla V prípade voľby obnoviť kľúče, na predošlej záložke, je nutné znovu vygenerovať náhodné číslo, ktoré bude použité na vygenerovanie nových kľúčov. Po ukončení generovania je nutné žiadosť poslať stlačením tlačítka “Generovanie a poslanie obnovených žiadostí do banky”. Proces a význam generovania náhodného čísla je popísaný v časti 5.1.3 Krok 3 Generovanie náhodného čísla.

6 Dôvernosť inštalácie PKI aplikácie: Základom inštalácie PKI aplikácie je akceptácia certifikátu koreňovej Certifikačnej autority VÚB, a.s. (prvý krok inštalačného postupu). Počas prvého kroku inštalácie klient odsúhlasí inštaláciu certifikátu koreňovej CA do úložiska Internet Explorera. VÚB umožňuje a doporučuje, aby si klient preveril otlačok certifikátu koreňovej CA cez telefónne centrum alebo priamo na hociktorom registračnom mieste VÚB. Pri inštalácii certifikátu je možné skontrolovať otlačok certifikátu (Thumprint) vypočítaný dvomi matematickými algoritmami: SHA-1 a MD5 (viď obrázok).

Strana 32 z 35

Na základe dôvery v certifikát koreňovej CA VÚB, a.s bude odvodená dôvera klienta pre ďalšie certifikáty vydávané bankou (napr. certifikát SSL servera, Code-sign certifikát použitý na podpisovanie aplikácie PKI, atď). Inštalácia a konfigurácia aplikácie PKI je zabezpečená automaticky programom, ktorý je podpísaný s pomocou certifikátu vydaného VÚB, a.s (názov certifikátu je „PKI CertServices Code-Sign P12“). Po spustení inštalačného programu zistí Internet Explorer, či certifikát použitý pri podpise programu je dôveryhodný. Ak klient úspešne absolvoval prvý krok inštalácie (inštalácia certifikátu koreňovej CA VÚB, a.s.), potom sa zobrazí nasledujúce okno Security Warning:

Ak okno Security Warning neobsahuje žiadne upozornenie (Warning) alebo chybu (Error), klient môže dôverovať inštalačnému programu a povoliť (tlačítko Yes) ďalšie činnosti. Ak podpis inštalačného programu nie je dôveryhodný, v Security Warning okne sa zobrazí na ľavej strane v obrázku výkričník a v textovej časti okna je upozornenie (Warning) alebo chyba (Error), viď nasledujúci obrázok.

Strana 33 z 35

Vtedy sa odporúčajú nasledujúce kroky: odmazať certifikát koreňovej CA s názvom "Certifikacne sluzby VUB" z úložiska Internet Explorera a začať inštaláciu PKI aplikácie od prvého kroku alebo informovať oddelenie telefonickej podpory VÚB, a.s.

6.1

Dôvernosť appletov aplikácie vzdialené registračné procesy

Po úspešnej inštalácii PKI aplikácie kliknite na Internet adresu http://registracia.vub.sk a vyberte napr. voľbu Generovanie žiadostí. Zobrazí sa okno Java Plug-in Security Warning, ktoré upozorňuje, že aplikácia bola podpísaná s pomocou certifikátu s názvom PKI CetrServices Cod-Sign. Uistite sa, že v okne sa nenachádzajú žiadne upozornenia (warning) alebo chyby (error) certifikátu. Banka doporučuje, aby klient akceptoval (tlačítko Grant this session alebo Grant always) certifikát iba vtedy, ak okno Java Plug-in Security Warning je zobrazené presne tak, ako na nasledujúcom obrázku (šipky nie sú súčasťou okna, upozorňujú na informácie o certifikáte použitom na podpisovanie PKI aplikácie):

Strana 34 z 35

Strana 35 z 35

×

Report "Používateľská príručka Klientskej aplikácie PKI"

Your name

Email

Reason -Select Reason- Pornographic Defamatory Illegal/Unlawful Spam Other Terms Of Service Violation File a copyright complaint

Description

Close Send

×

Sign In

Email

Password

Remember me Forgot password?

Sign In

Our partners will collect data and use cookies for ad personalization and measurement. Learn how we and our ad partner Google, collect and use data. Agree & close