Příloha č. 4
Testovací protokol – USB token eToken PRO 32K 1 Úvod 1.1 Testovaný produkt Hardware:
USB token Aladdin eToken PRO 32K
Software:
eToken PKI Client 4.5.52
Datum testování:
17. 11. 2009
1.2 Konfigurace testovacího počítače Hardware:
Intel Core 2 Duo E6750, 2 GB RAM DDR2 základní deska Gigabyte GA-P35-DS3R harddisk Seagate ST380817AS, SATA, 80GB, 7200 rpm
Čtečky čipových karet:
-
Software:
Microsoft Windows XP + Service Pack 3 Microsoft Office 2003 (Word, Excel, Outlook) Mozilla Firefox 3.0.1 Mozilla Thunderbird 2.0.0.22 XCA 0.7.0 hMailServer 5.2-B356 + Microsoft SQL Server Compact 3.5 .NET Framework 2.0 Acronis True Image Home 2009
2 Popis obslužného softwaru 2.1 Instalace obslužného softwaru Uživatel si může změnit cílový adresář pro instalaci softwaru. Instalátor nenabízí žádný seznam komponent k instalaci. Lze vybrat jazyk, ve kterém bude software komunikovat, ale čeština není na seznamu přítomná. Na konci instalace nebyl požadován restart počítače.
2.2 Informace o obslužném softwaru Obslužný software k tokenu tvoří jediná aplikace eToken Properties, ve které lze přepínat mezi zjednodušeným a pokročilým uživatelským rozhraním.
-1-
Příloha č. 4 Po prvním připojení tokenu se spustí průvodce nově přidaným hardwarem, ovladače jsou však nainstalovány automaticky bez zásahu uživatele. Později bylo zjištěno, že software PKI Client 4.5 neobsahuje ovladače pro novější token eToken PRO 72K. Aplikace obsahuje všechny důležité funkce pro správu tokenu – inicializaci, změnu PINu, odblokování tokenu, zobrazení informací o tokenu. Po stisku pravého tlačítka myši se zobrazí kontextové menu s relevantními funkcemi. Aplikace automaticky rozpoznává vložení a vyjmutí tokenu z USB portu. V aplikaci lze nastavit podrobné bezpečnostní parametry pro PIN, jako je jeho délka, vynucování složitosti PINu, historie PINů, minimální a maximální doba používání PINu. Toto nastavení se zapisuje na token při jeho inicializaci. Na tokenu tedy může být nastavena jiná bezpečnostní politika než v softwaru. Token se zablokuje po určitém počtu zadání špatného PINu. Tento počet je definován při inicializaci tokenu. Počet špatně zadaných PINů se zobrazuje v informacích o tokenu a vynuluje se po úspěšné změně PINu. Při inicializaci tokenu v pokročilém nastavení lze aktivovat podporu pro 2048-bitové RSA klíče. I po jejím deaktivování však šlo na kartu tyto klíče vygenerovat. Odblokování tokenu je oproti jiným produktům poněkud netradiční. Při inicializaci je nutné nastavit tzv. administrátorský PIN (obdoba PUKu). Po zablokování tokenu je pak nutné se pomocí administrátorského PINu přihlásit k zablokovanému tokenu a nastavit nový (uživatelský) PIN a vynulovat čítač špatných přihlášení. Aplikace také podporuje vzdálené odblokování, kdy uživatel sdělí administrátorovi text zobrazený v aplikaci a administrátor mu sdělí kód pro odblokování. Registrace certifikátů do Windows probíhá automaticky. V nastavení aplikace lze tuto funkci aktivovat či deaktivovat. Po vyjmutí tokenu se certifikáty z Windows odstraní. Pro import certifikátu ke klíčům na tokenu i import dat ze souboru PKCS#12 používá software stejného průvodce. Údaje v certifikátu zobrazí aplikace korektně, pokud jsou zakódovány v kódování UTF-8. Je-li použito kódování UTF-16, není údaj certifikátu zobrazen.
-2-
Příloha č. 4 Rozhraní MS CryptoAPI (jméno poskytovatele krypt. služeb) Rozhraní PKCS#11
eToken Base Cryptographic Provider eTPKCS11.dll, v systémovém adresáři Windows
(jméno DLL knihovny)
2.3 Doplňkové funkce Součástí
softwaru
byla
utilita
pro
formátování
flash
paměti
na
totenech
eToken NG-FLASH.
2.4 Odinstalace obslužného softwaru Odinstalační proces proběhl bez problémů. Na jeho konci byl vyžadován restart počítače.
3 Testovací scénář Činnost
Výsledek
Inicializace čipové karty/tokenu
OK
Vygenerování klíčů na čipovou kartu/token přes webové stránky OK PostSignum Vydání certifikátu s českými znaky zakódovanými v UTF-16
OK
Instalace vydaného certifikátu přes stránky PostSignum
OK
Zkouška odeslání podepsaného e-mailu v aplikaci Outlook
OK
Nastavení PKCS#11 knihovny v aplikaci Mozilla Thunderbird
OK
Zkouška odeslání podepsaného e-mailu v aplikaci Mozilla Thunderbird
OK
Vygenerování klíčů na čipovou kartu/token přes webové stránky OK PostSignum Vydání certifikátu s českými znaky zakódovanými v UTF-8
OK
Instalace vydaného certifikátu přes stránky PostSignum
OK
Zkouška odeslání podepsaného e-mailu v aplikaci Outlook
OK
Zkouška odeslání podepsaného e-mailu v aplikaci Mozilla Thunderbird
OK
Vygenerování klíčů na čipovou kartu/token přes webové stránky OK PostSignum (zadání stejných údajů do žádosti o certifikát jako v předchozím případě – simulace obnovy certifikátu) Vydání certifikátu s českými znaky zakódovanými v UTF-8
OK
Instalace vydaného certifikátu přes stránky PostSignum
OK
Zkouška odeslání podepsaného e-mailu v aplikaci Outlook
OK
Zkouška odeslání podepsaného e-mailu v aplikaci Mozilla Thunderbird
Připomínka
Vygenerování klíčů na čipovou kartu/token přes webové stránky OK PostSignum Vydání certifikátu s českými znaky zakódovanými v UTF-8 -3-
OK
Příloha č. 4 Činnost
Výsledek
Instalace vydaného certifikátu pomocí obslužného softwaru
OK
Registrace certifikátu do Windows
Automatická
Zkouška odeslání podepsaného e-mailu v aplikaci Outlook
OK
Zkouška odeslání podepsaného e-mailu v aplikaci Mozilla Thunderbird
OK
Import klíčů a certifikátu ze souboru PKCS#12 na kartu/token
OK
Registrace certifikátu do Windows
Automatická
Zkouška odeslání podepsaného e-mailu v aplikaci Outlook
OK
Zkouška odeslání podepsaného e-mailu v aplikaci Mozilla Thunderbird
OK
Smazání klíčů a certifikátu z karty/tokenu v obslužném softwaru
OK
Změna PIN ke kartě/tokenu, zadání písmen a neabecedních znaků do OK nového PIN Smazání klíčů Thunderbird
a
certifikátu
z karty/tokenu
v aplikaci
Změna PIN ke kartě/tokenu v aplikaci Mozilla Thunderbird
Mozilla OK OK
Pouze čipové karty – ověření kompatibility s různými čtečkami čipových karet
3.1 Poznámky k testování Při generování RSA klíčů přes webové stránky aplikace Internet Explorer po určitou dobu vůbec nereaguje. Není zobrazeno žádné okno s informací, že probíhá generování klíčů. Certifikáty s kódováním UTF-16 mají nastavenu prázdnou jmenovku. Je-li v tokenu uloženo více certifikátů s kódováním UTF-16, Mozilla Thunderbird zobrazuje pouze poslední importovaný certifikát. Certifikáty s kódováním UTF-8 mají jmenovku stejnou jako jméno certifikátu. Pokud je ale v tokenu uloženo více certifikátů se stejným jménem, Mozilla Thunderbird opět zobrazí jen poslední importovaný certifikát. Software neumožňuje změnit jmenovku. Po inicializaci tokenu s výchozím nastavením bylo možné na token uložit pouze tři dvojice RSA klíčů o velikosti 2048 bitů. Tento problém se odstraní tak, že při inicializaci se v pokročilém nastavení specifikuje konkrétní počet RSA klíčů, pro které se má v paměti zařízení vyhradit místo. Mozilla Thunderbird při mazání klíčů chvíli nereaguje. Při změně PINu v Mozille Thunderbird se dodržuje nastavená bezpečnostní politika PIN.
-4-
Příloha č. 4
4 Závěr Byla potvrzena funkčnost aplikačních rozhraní MS CryptoAPI a PKCS#11. Na zařízení lze uložit RSA klíče o velikosti 2048 bitů i certifikáty s podepisovacím algoritmem sha256WithRSA. Aplikace Mozilla Thunderbird neumí při nastavování certifikátu e-mailovému účtu korektně zpracovat kontejnery na kartě, které mají stejnou jmenovku. Je zobrazen pouze jeden z nich. Ke stejnému problému dochází i v případě, že v certifikátu je použito kódování UTF-16. Je funkční import vydaného certifikátu přes obslužný software i import dat ze souboru typu PKCS#12.
-5-
