Příloha č. 7
Testovací protokol – USB Token Cryptomate 1 Úvod 1.1 Testovaný produkt Hardware:
ACS CryptoMate
Software:
ACS Admin Tool 2.4
Datum testování:
24. 12. 2009
1.2 Konfigurace testovacího počítače Hardware:
Intel Core 2 Duo E6750, 2 GB RAM DDR2 základní deska Gigabyte GA-P35-DS3R harddisk Seagate ST380817AS, SATA, 80GB, 7200 rpm
Čtečky čipových karet:
-
Software:
Microsoft Windows XP + Service Pack 3 Microsoft Office 2003 (Word, Excel, Outlook) Mozilla Firefox 3.0.1 Mozilla Thunderbird 2.0.0.22 XCA 0.7.0 hMailServer 5.2-B356 + Microsoft SQL Server Compact 3.5 .NET Framework 2.0 Acronis True Image Home 2009
2 Popis obslužného softwaru 2.1 Instalace obslužného softwaru Uživatel si může určit cílový adresář pro nainstalování softwaru. Lze si vybrat komponenty, které se nainstalují. Na seznamu se nacházejí kromě aplikací pro správu USB tokenu zdrojové kódy pro různé programovací jazyky a uživatelská dokumentace. Na konci instalace byl požadován restart počítače.
-1-
Příloha č. 7
2.2 Informace o obslužném softwaru Obslužný software k tokenu tvoří administrační aplikace AdminTool, aplikace Initialization Tool pro inicializaci tokenu a aplikace Clear Card Utility pro smazání obsahu tokenu. Aplikace Initialization Tool požádá o ukončení vybraných programů, které by mohly token používat. Aplikace ale nekontroluje, která z těchto aplikací je skutečně spuštěná, a zobrazuje všechny aplikace. Po dokončení inicializace je přednastaven uživatelský PIN a tzv. SO PIN (obdoba PUKu) na hodnotu „12345678“ a počet špatných zadání PINu je nastaven na 5 pokusů. Aplikaci AdminTool lze přepnout do angličtiny, portugalštiny nebo čínštiny. Aplikace obsahuje všechny důležité funkce pro správu tokenu – změnu PINu, změnu SO PINu, odblokování tokenu a zobrazení informací o tokenu. Některé operace lze provést až po přihlášení k tokenu pomocí speciálního tlačítka. Při změně PINu vyžaduje aplikace zadání 8-16 znaků a lze zadat písmena, číslice i neabecední znaky. Je-li zadán špatný PIN, aplikace zobrazí, kolik pokusů zbývá. Správa certifikátů v tokenu se provádí v samostatném okně „Certificate Manager“. Pro zobrazení detailních informací o certifikátu se používají systémové funkce Windows. Pomocí tlačítka „Import“ se načítají samotné certifikáty i soubory typu PKCS#12 obsahující klíče i certifikát. Další programový modul „Data Object Manager“ patrně slouží pro správu dat ukládaných jinými programy (podle dokumentace např. Lotus Notes). Nezjistil jsem však, jak bych mohl tuto funkci vyzkoušet. Software neprovádí průběžnou aktualizaci statistiky obsazení paměti a obsahu tokenu. Pro aktualizaci seznamu certifikátů je potřeba stisknout tlačítko „Refresh“ ve Správci certifikátů. Obsazení paměti tokenu se aktualizuje pouze vyjmutím a připojením tokenu do USB portu. Registrace certifikátů do Windows po připojení tokenu a jejich odebrání po vyjmutí tokenu se aktivuje nebo zakáže v nastavení programu. Aby ale tyto funkce korektně fungovaly, musí být spuštěn program Admin Tool. V konfiguraci programu lze také provést automatickou instalaci i odinstalaci DLL knihovny do webového prohlížeče Mozilla Firefox. -2-
Příloha č. 7 Během testování bylo zjištěno, že na USB token se dá uložit pouze 5 certifikátů s RSA klíči o velikosti 2048 bitů. Rozhraní MS CryptoAPI (jméno poskytovatele krypt. služeb) Rozhraní PKCS#11 (jméno DLL knihovny)
Advanced Card Systems CSP v2.4 acospkcs11.dll, v systémovém adresáři Windows
2.3 Doplňkové funkce Samotný software pro správu tokenu neobsahoval žádné doplňkové funkce. Součástí SDK balíčku ale bylo několik nástrojů určených pro programátory. Program CardTool slouží pro „nízkoúrovňovou“ správu obsahu tokenu. Program PC/SC Tool disponuje grafickým rozhraním a pomocí něj se zasílají APDU příkazy do USB tokenu.
2.4 Odinstalace obslužného softwaru Odinstalační proces proběhl bez problémů. Na jeho konci byl vyžadován restart počítače.
3 Testovací scénář Činnost
Výsledek
Inicializace čipové karty/tokenu
OK
Vygenerování klíčů na čipovou kartu/token přes webové stránky OK PostSignum Vydání certifikátu s českými znaky zakódovanými v UTF-16
OK
Instalace vydaného certifikátu přes stránky PostSignum
OK
Zkouška odeslání podepsaného e-mailu v aplikaci Outlook
OK
Nastavení PKCS#11 knihovny v aplikaci Mozilla Thunderbird
OK
Zkouška odeslání podepsaného e-mailu v aplikaci Mozilla Thunderbird
CHYBA
Vygenerování klíčů na čipovou kartu/token přes webové stránky OK PostSignum Vydání certifikátu s českými znaky zakódovanými v UTF-8
OK
Instalace vydaného certifikátu přes stránky PostSignum
OK
Zkouška odeslání podepsaného e-mailu v aplikaci Outlook
OK
Zkouška odeslání podepsaného e-mailu v aplikaci Mozilla Thunderbird
CHYBA
Vygenerování klíčů na čipovou kartu/token přes webové stránky OK PostSignum (zadání stejných údajů do žádosti o certifikát jako v předchozím případě – simulace obnovy certifikátu) Vydání certifikátu s českými znaky zakódovanými v UTF-8
OK
Instalace vydaného certifikátu přes stránky PostSignum
OK
-3-
Příloha č. 7 Činnost
Výsledek
Zkouška odeslání podepsaného e-mailu v aplikaci Outlook
OK
Zkouška odeslání podepsaného e-mailu v aplikaci Mozilla Thunderbird
CHYBA
Vygenerování klíčů na čipovou kartu/token přes webové stránky OK PostSignum Vydání certifikátu s českými znaky zakódovanými v UTF-8
OK
Instalace vydaného certifikátu pomocí obslužného softwaru
CHYBA
Registrace certifikátu do Windows
-
Zkouška odeslání podepsaného e-mailu v aplikaci Outlook
-
Zkouška odeslání podepsaného e-mailu v aplikaci Mozilla Thunderbird
-
Import klíčů a certifikátu ze souboru PKCS#12 na kartu/token
OK
Registrace certifikátu do Windows
Ruční
Zkouška odeslání podepsaného e-mailu v aplikaci Outlook
OK
Zkouška odeslání podepsaného e-mailu v aplikaci Mozilla Thunderbird
OK
Smazání klíčů a certifikátu z karty/tokenu v obslužném softwaru
OK
Změna PIN ke kartě/tokenu, zadání písmen a neabecedních znaků do OK nového PIN Smazání klíčů Thunderbird
a
certifikátu
z karty/tokenu
v aplikaci
Změna PIN ke kartě/tokenu v aplikaci Mozilla Thunderbird
Mozilla CHYBA OK
Pouze čipové karty – ověření kompatibility s různými čtečkami čipových karet
3.1 Poznámky k testování Při generování RSA klíčů přes webové stránky aplikace Internet Explorer po určitou dobu vůbec nereaguje. Není zobrazeno žádné okno s informací, že probíhá generování klíčů. Certifikáty v tokenu s údaji v kódování UTF-16 i UTF-8 zobrazuje Mozilla Thunderbird s prázdnou jmenovkou. Takový certifikát nelze nastavit e-mailovému účtu, a nelze jej tedy použít pro podepisování e-mailů. Bylo ověřeno, že certifikáty bez českých znaků fungují v Mozille Thunderbird korektně. Software importuje certifikát do tokenu bez spárování s existujícími klíči. Certifikát tak není dále použitelný. Po importu PKCS#12 souboru nedojde k automatické registraci certifikátu do Windows a je potřeba provést ruční registraci certifikátu nebo vyjmout token a znovu jej připojit.
-4-
Příloha č. 7 Kupodivu klíče a certifikáty importované ze souboru typu PKCS#12 bylo možné používat v Mozille Thunderbird. Určitě je to z toho důvodu, že jmenovka certifikátu v tokenu se nastaví podle jmenovky uvedené v PKCS#12 souboru. Pokud se certifikát v tokenu smaže v aplikaci Mozilla Thunderbird, dojde ke smazání pouze certifikátu. Odpovídající klíče je nutné smazat v obslužném softwaru.
4 Závěr Byla potvrzena funkčnost aplikačních rozhraní MS CryptoAPI a PKCS#11. Na zařízení lze uložit RSA klíče o velikosti 2048 bitů i certifikáty s podepisovacím algoritmem sha256WithRSA. Lze uložit pouze 5 klíčových párů! Aplikace Mozilla Thunderbird neumí korektně pracovat s certifikáty obsahujícími české znaky v kódování UTF-16 i UTF-8. Není funkční import vydaného certifikátu přes obslužný software. Nedochází ke spárování certifikátu s odpovídajícími klíči. Je funkční import dat ze souboru typu PKCS#12. Pokud jsou tímto způsobem importovány certifikáty s českými znaky, jsou funkční i v Mozille Thunderbird. Při mazání certifikátu v tokenu pomocí aplikace Mozilla Thunderbird nedojde k odstranění souvisejících klíčů. Jelikož se ale Mozilla Thunderbird standardně nepoužívá pro správu tokenu, nelze tuto chybu považovat za zásadní.
-5-
