CryptoPlus Správce karty UŽIVATELSKÁ PŘÍRUČKA · PDF filečipovou kartu nelze dále používat.....49 11.3 Ostatní

© MONET+, a.s. Zlín v.2.0.2

CCrryyppttooPPlluuss SSpprráávvccee kkaarrttyy UUŽŽIIVVAATTEELLSSKKÁÁ PPŘŘÍÍRRUUČČKKAA

listopad ’03

Uživatelská příručka 2

Obsah 1. Úvod ........................................................................................................................................ 4

2. CryptoPlus – jak začít............................................................................................................... 5 2.1 HW a SW předpoklady ...................................................................................................... 5

Požadavky na HW............................................................................................................. 5 Požadavky na SW ............................................................................................................. 5

2.2 Licenční omezení ............................................................................................................... 6 2.3 Jazyková podpora............................................................................................................... 6 2.4 Typy čteček podporované CryptoPlus ............................................................................... 6

3. Instalace CryptoPlus ................................................................................................................. 7 3.1 Spuštění instalace ............................................................................................................... 7 3.2 Instalace ovladačů čtečky................................................................................................... 9

Při instalaci čtečky je třeba dodržet následující pravidla:............................................... 10 3.3 Instalace obslužného software CryptoPlus....................................................................... 11 3.4 Reinstalace, odinstalování CryptoPlus............................................................................. 15 3.5 Alternativní návrhy pro instalaci CryptoPlus................................................................... 17 3.6 Instalace CryptoPlus s vazbou na Mozillu ....................................................................... 18 3.7 Odinstalování CryptoPlus s vazbou na Mozillu............................................................... 20

4. Základní funkce a ovládání CryptoPlus................................................................................ 22 4.1 Parametry CSP ................................................................................................................. 25 4.2 Změna PIN/PUK .............................................................................................................. 26

Postup při změně PIN a PUK.......................................................................................... 26 4.3 Datové objekty ................................................................................................................. 28

5. Integrace CryptoPlus do nejčastěji používaných programů............................................... 30 5.1 Konfigurace programu MS Outlook 2000 ....................................................................... 30 5.2 Konfigurace programu Outlook Express 5 ...................................................................... 31 5.3 Konfigurace prohlížeče Internet Explorer 5.x.................................................................. 33 5.4 Konfigurace prohlížeče Mozilla....................................................................................... 33

6. Update produktu ..................................................................................................................... 36 6.1 O produktu CryptoPlus .................................................................................................... 36 6.2 Elektronická adresa pro podporu ..................................................................................... 36

7. Popis připojení čtečky čipových karet................................................................................... 37 GemPC410, GemPC413, GemPC TwinSerial, CardMan2011....................................... 37 GemPC430, GemPC433, GemPCTwinUSB, CardMan2020, CardMan3121 ................ 38 GemPC400, CardMan4000............................................................................................. 38 GemPC Key .................................................................................................................... 39

8. Rejstřík a základní pojmy ...................................................................................................... 40

10. Co dělat, když nastane problém........................................................................................... 42 10.1 Zadání problému ............................................................................................................ 42 10.2 Diagnostika čtečky ......................................................................................................... 42


10.3 Diagnostika karty ........................................................................................................... 46

11. FAQ aneb často kladené otázky........................................................................................... 47 11.1 Instalace.......................................................................................................................... 47

11.1.1 Pod MS Windows 2000 nelze nainstalovat čtečku karet která není Plug and play . ...................................................................................................................................... 47 11.1.2 Pod MS Windows 95/NT 4.0 nejde nainstalovat USB čtečka............................. 47 11.1.3 Po instalaci PC/SC se objeví chybové hlášení: "Cannot create more devices" nebo "Cannot locate requested device".................................................................................... 47 11.1.4 Po připojení čtečky musím restartovat počítač, abych mohl pracovat s kartou, a to i v případě že mám nainstalovány příslušné ovladače. ................................................... 47 11.1.5 Po spuštění Windows 9x se objeví hlášení: "VxD reader driver initialization cannot open reader device. The network request is not supported."............................... 48 11.1.6 Po instalaci čtečky ve Win2000 musím restartovat počítač, abych mohl používat některé aplikace............................................................................................................... 48 11.1.7 Na počítači nelze používat více jak jednu čtečku. ............................................... 48 11.1.8 Ovladače některých myší zabraňují v činnosti čtečkám čipových karet.............. 48

11.2 Konfigurace a provoz..................................................................................................... 48 11.2.1 Po vložení karty do čtečky se na několik sekund rozsvítí kontrolka a pak se opět rozbliká............................................................................................................................ 48 11.2.2 Během práce s kartou „zatuhává“ kursor myši. ................................................... 49 11.2.3 Po probuzení systému z "úsporného" (standby) režimu, se objeví následující hlášení: "Reader removal monitor error retry treshold reached. Incorrect function.", a čipovou kartu nelze dále používat................................................................................... 49

11.3 Ostatní ............................................................................................................................ 49 11.3.1 Rozdíl mezi využitím karty v IE a Mozille.......................................................... 49 11.3.2 Jak funguje používání certifikátu ve Windows? .................................................. 49 11.3.3 Kurzor myši se stává nepohyblivý během dlouhé výměny čipové karty! ........... 50 11.3.4 Musí být vždy certifikát na kartě?........................................................................ 51

12. Integrace CryptoPlus do produktů Entrust®...................................................................... 52 12.1 Doporučený postup instalace ......................................................................................... 52 12.2 Způsob integrace CryptoPlus do produktů firmy Entrust® ............................................ 53 12.3 Možnosti manuální konfigurace..................................................................................... 53

12.3.1 ethardware.ini....................................................................................................... 53


1. Úvod Vážený zákazníku, do Vašich rukou se dostal produkt, jehož primárním úkolem je zvýšit bezpečnost elektronických komunikací na síti Internet. Základní komponentou systému je kryptografická čipová karta, která je schopna spolehlivě uchovat tajemství jí svěřené – privátní kryptografický klíč. Kromě tohoto tajemství je na kartě uložen i Váš certifikát X.509, tj. veřejný blok dat popisující Vaši identitu (e-mail, adresu, pracovní zařazení, atd.), a certifikát certifikační autority.

Tento dokument si však neklade za cíl seznámit Vás s použitými principy zabezpečení, ale měl by Vám pomoci s první konfigurací CryptoPlus, internetového prohlížeče a programu pro posílání elektronické pošty tak, aby spolupracovaly s čipovou kartou.

Manažer CryptoPlus je vybaven podrobnou nápovědou, uživateli průběžně zobrazuje pokyny a možnosti práce s programem. Uživatelská příručka, kterou právě čtete, proto popisuje jen základní postupy a nezabývá se všemi dialogy a možnými chybovými stavy.

Děkujeme za Váš zájem o produkt CryptoPlus a přejeme Vám mnoho úspěchů.


2. CryptoPlus – jak začít

2.1 HW a SW předpoklady

Požadavky na HW • HW s odpovídajícím výkonem, který umožňuje provozování operačního systému Windows

95 OSR 2.1, 98, 98 SE, ME, NT4 SP6, 2000, XP.

• Volný sériový (případně USB, PCMCIA) port pro připojení čtečky čipových karet (požadavky pro připojení specifikují jednotliví výrobci).

Zejména u starších typů PC, které pro připojení klávesnice či myši nepoužívají konektory typu PS/2, je nutno použít redukci DIN/PS2 – PS2/DIN.

• Kromě doporučených typů čteček od společnosti Gemplus nebo Omnikey, můžete používat také čtečku od jiného výrobce. Taková čtečka však musí být plně PC/CS kompatibilní a od jejího výrobce musíte mít k dispozici rovněž aktuální ovladače.

Požadavky na SW Současná verze produktu CryptoPlus je nativně integrována do kryptografického podsystému operačního systému MS Windows (byla testována s verzemi 95 OSR 2.1, 98, 98 SE, ME, NT4.0 SP6, 2000 a XP). Znamená to, že všechny aplikace využívající tento kryptografický podsystém mohou spolupracovat i s čipovou kartou CryptoPlus.

Jedná se zejména o aplikace:

• Microsoft Internet Explorer (min.verze 5.0 a vyšší) • Microsoft Outlook Express (min. verze 5.0 a vyšší) • Microsoft Outlook (verze 2000 a vyšší)

Dále je dodáván Cryptoki modul pro Netscape, který je určen pro verze 7.x a vyšší. V případě Mozilly je určen pro verze 1.2 a vyšší.


2.2 Licenční omezení Licenční podmínky pro PC/SC rozhraní pro čtečky čipových karet a CryptoPlus - správce karty jsou zobrazovány při instalaci na obrazovce monitoru. Protože soubory ovladačů čteček jsou převzaty od výrobce čteček v originálním provedení, je licenční ujednání v angličtině.

2.3 Jazyková podpora Software CryptoPlus existuje v několika jazykových mutacích. Důvodem je snaha komunikovat s uživatelem v jeho mateřštině. Výběr jazyka, kterým spolu jednotlivé moduly komunikují, se řídí nastavením regionální podpory v operačním systému MS Windows. Existuje-li pro region uživatele jazyková podpora v CryptoPlus, budou ji moduly používat. Není-li pro daný region jazyk dostupný, budou moduly komunikovat svým přednastaveným jazykem.

Regionem uživatele se rozumí aktuálně zvolená regionální podpora, což nemusí vždy korespondovat s verzí Windows. Někteří uživatelé např. mohou pracovat s anglickou verzí Windows a v ní mít nastaven region Slovensko. S těmito uživateli budou moduly CryptoPlus komunikovat slovensky.

Aktuální verze CryptoPlus podporuje tyto jazyky: Angličtina, Čeština, Němčina, Slovenština. Výběr jazykové podpory se provádí při instalaci, lze ji však změnit i později pomocí aplikace „CryptoPlus – správce karty“ bez nutnosti reinstalace.

2.4 Typy čteček podporované CryptoPlus Do instalátoru jsou zakomponovány originální ovladače (tj. bez jakýchkoliv úprav) pro čtečky od firmy Gemplus a Omnikey. Tyto ovladače jsou standardní součástí dodávek produktu CryptoPlus. Jedná se o tyto typy:

• čtečky se sériovým připojením:

o Gemplus: GemPC410, GemPC413, GemPC Twin, GemPC Serial

o Omnikey: CardMan 2011

• čtečky s USB připojením:

o Gemplus: GemPC430, GemPC433, GemPCTwin, GemPC Key, GemPC USB

o Omnikey: CardMan 2020, CardMan 3121

• čtečky typu PCMCIA:

o Gemplus: GemPC400

o Omnikey: CardMan 4000


3. Instalace CryptoPlus Instalátor je koncipován tak, aby co nejvíce usnadnil práci běžného uživatele. V průběhu instalace detekuje nejrůznější stavy a formou přehledných výpisů a hypertextových odkazů nabízí uživateli další postup.

Pokud instalátor zjistí, že některé součásti jsou již na Vašem PC k dispozici, ponechá je beze změn a využije je pro svou činnost. Příkladem může být skutečnost, že na PC již máte instalovanou a připojenou funkční PC/SC čtečku. Pokud ji instalátor správně detekuje, oznámí tuto skutečnost na úvodní obrazovce a nabídne pokračování instalace dalším krokem (nenabídne instalaci čtečky).

Souběžně s ovladači čtečky je instalována PC/SC podpora pro komunikaci se čtečkou. Pokud je PC/SC podpora již součástí operačního systému (od verze MS Windows 2000 a výše), nebo je na PC k dispozici z dřívější instalace, tento krok je rovněž vynechán.

3.1 Spuštění instalace Doporučujeme ukončit běžící aplikace na vašem počítači. Je to z toho důvodu, že instalátor v průběhu instalace restartuje PC a mohlo by dojít ke ztrátě neuložených dat.

Přichystejte si čtečku, ale zatím ji k počítači nepřipojujte! Vložte instalační CD do mechaniky a pokud nedojde k samočinnému spuštění instalátoru, spusťte instalaci pomocí Průzkumníka (soubor Install.exe).

Po spuštění programu se zobrazí úvodní obrazovka se stavem instalace. Průvodce instalací nejprve detekuje nainstalované součásti a v části „Jak pokračovat?“ vždy nabídne další doporučený krok instalace. Pokud potřebujete provést jiný než doporučený krok, kliknutím na odkaz „Další možnosti >>“ otevřete nabídku jiných možností. Instalátor lze spustit prakticky kdykoliv bez dopadu na stávající instalaci v počítači.

1. Během instalace nesmějí být spuštěny žádné jiné aplikace !

2. Pro instalaci ve Windows NT4, Windows 2000 a Windows XP je nezbytné oprávnění správce systému !

Po spuštění instalace následuje výběr jazyka, ve kterém bude instalace probíhat. Přednastaven je jazyk dle regionálního nastavení MS Windows.


Obr. 1. Výběr jazykové mutace

Po výběru jazyka se spustí průvodce instalací CryptoPlus. Průvodce instalace podrobně informuje uživatele o stavu instalace, nabízí a navrhuje řešení problémů.

Obr. 2. Průvodce instalací CryptoPlus


Popis položek obrazovky:

PC/SC – komunikační rozhraní Win32 (Personal Computer/Smart Card). MS Windows 9x, ME, NT nemají rozhraní standardně instalováno, proto se automaticky instaluje před instalací ovladačů čtečky.

Počet dostupných čteček – informace o počtu čteček dostupných přes PC/SC rozhraní.

Instalační balíček – označení verze instalačního balíčku, který se chystáte instalovat.

CSP – knihovna, která implementuje kryptografické standardy a algoritmy (Cryptographic Service Provider). Položka informuje o stavu instalace a zobrazuje verzi instalovaného CSP.

PKCS#11 - Standardní rozhraní pro zařízení (ve vašem případě se jedná o čipovou kartu), která uchovávají chráněné informace a provádějí kryptografické operace.

Správce karty – informuje o verzi již instalovaného „CryptoPlus - správce karty“.

Jazyk – informuje o výběru jazyka. Výběr jazyka bude reflektován také ve Správci karty.

Operační systém – informace o verzi operačního systému.

3.2 Instalace ovladačů čtečky V případě, že nemáte nainstalovánu čtečku čipových karet, vyberte položku „Instalovat čtečku karet“. Volba se zobrazí i v případě, že čtečka je instalována a připojena, ale vinou komunikační chyby ji instalátor nedokáže detekovat.

Další okno instalátoru nabízí seznam a vyobrazení podporovaných čteček. Podle typového označení Vaší čtečky, které je uvedeno na štítku ve spodní části, vyberte v nabídce odpovídající typ. Výběru čtečky věnujte náležitou pozornost – instalace jiného typu může později způsobit chyby v komunikaci čtečky.


Obr. 3. Instalace čtečky čipových karet

Při instalaci čtečky je třeba dodržet následující pravidla: • Čtečku připojte, až Vás k tomu instalátor vyzve.

• Instalujte, pokud možno, pouze drivery nabízené instalátorem CryptoPlus (mohlo by dojít k nesprávné funkci PC/CS rozhraní)

• Čtečku po jejím připojení a instalaci zbytečně neodpojujte, nechte ji stále připojenou.

• Čtečku instalujte pouze na funkční port, který není v konfliktu s jiným HW zařízením nainstalovaným ve Vašem počítači

• Port pro připojení čtečky nikdy nesdílejte s jiným zařízením. Rozhraní PS/SC nedokáže po přerušení komunikace znovu navázat spojení se čtečkou bez restartu.

Některé systémy (MS Windows 9x, ME, NT 4.0) nemají standardně nainstalovanou podporu pro práci se čtečkami a kartami – tzv. PC/SC. Pokud na vašem počítači nebude tato podpora nalezena, instalátor ji před instalací ovladačů čtečky sám automaticky nainstaluje. Před instalací PC/SC je nutno odsouhlasit text licenčního ujednání (v původní anglické verzi). Pokud kliknete na odkaz „Souhlasím“, instalace pokračuje dále. V opačném případě se instalace vrací o krok zpět.


Po instalaci ovladačů čtečky budete vyzvání k restartování počítače a k připojení čtečky po zadání restartu počítače !!!

Obr. 4. Dialogové okno „Čekejte…“

Obr. 5. Výzva pro připojení čtečky

Podrobný popis připojení čteček najdete v kapitole č. 7. Popis připojení čtečky čipových karet.

3.3 Instalace obslužného software CryptoPlus Pokud je čtečka správně nainstalována, můžete zvolit nabídku „Instalovat software CryptoPlus“.


Obr.6. Instalace software CryptoPlus

V dalším okně se zobrazí licenční ujednání pro software CryptoPlus. Po přečtení podmínek je ve spodní části obrazovky nutné kliknutím potvrdit jednu z uvedených možností pro pokračování - „Souhlasím“ či „Nesouhlasím“. Pokud souhlasíte, instalace pokračuje dále volbou parametrů pro instalaci, v opačném případě se instalace vrací o krok zpět.

Pomocí zatržítek si můžete upravit rozsah instalace a umístění souborů na disku. Instalace CryptoPlus s vazbou na Netscape a Mozillu je popsána v kapitole č. 5.1 Instalace CryptoPlus s vazbou na Netscape nebo Mozillu. Na Instalace CryptoPlus s vazbou na Entrust® je popsána v kapitole č. 12. Integrace CryptoPlus do produktů Entrust®


Obr.7. Okno pro součásti instalace

V některých případech se může stát, že software CryptoPlus je na počítači již instalován ve verzi kastomizované pro jiného poskytovatele (např. od jiné banky). CryptoPlus může být na jednom počítači nainstalován ve více kastomizacích (každá je uložena v samostatném adresáři na disku), mohou se používat střídavě, v případě použití více čteček také současně! Instalátor takovou skutečnost zjistí a nabídne seznam instalovaných karet. Uživatel musí zatržítkem označit verze, které chce zachovat k souběžnému používání. Pokud váháte, jestli chcete zaregistrované karty ponechat, raději je ponechejte.

Obr.8. Dialogové okno při zjištění existujících karet v systému

Pokud se jedná o první instalaci programu CryptoPlus, zobrazí se tento dialog, kterým potvrdíme vytvoření adresáře, do kterého se má balíček CryptoPlus nainstalovat. Dialog se zobrazí vždy, když není adresář pro instalaci vytvořený. Potvrzením tlačítka „Ano“ instalace pokračuje dál.


Obr.9. Dialogové okno pro vytvoření adresáře pro instalaci

Pro správný chod čtečky a softwaru CryptoPlus je nutné restartovat počítač. Zobrazí se okno instalátoru s výzvou k restartu počítače, kde je třeba kliknout na volbu „Restartovat počítač“

Po restartu PC se znovu spustí instalátor, aby ověřil, zda instalace dopadla správně. Pokud jsou všechny součásti nainstalovány můžete vybrat z nabídek: „ukončit“ instalační program nebo „spusťte“ CryptoPlus – správce karty. Pokud bude instalace chybná, zobrazí se další doporučený krok, který je výsledkem detekcí jednotlivých potřebných funkcí. V případě, že nechcete ukončit průvodce instalací, klikněte na odkaz „další možnosti >>“.

Pokud nebude průvodce instalací spuštěn automaticky po restartu počítače, je nutné jej pro korektní dokončení instalace spustit ručně (soubor Install.exe).

Obr. 10. Ukončení průvodce instalací


3.4 Reinstalace, odinstalování CryptoPlus

Odinstalování balíčku CryptoPlus v MS Windows NT4, 2000, XP vyžaduje oprávnění správce systému !!!

Obr. 11. Alternativní návrhy pro instalaci CryptoPlus


CryptoPlus lze odinstalovat dvěma způsoby:

1. Pomocí instalačního programu:

• Do počítače vložte instalační CD CryptoPlus.

• V hlavním menu klikněte na „Instalace software CryptoPlus“, případně pomocí Průzkumníka spusťte z CD instalační program (soubor Install.exe).

• Kliknutím na odkaz „další možnosti >>“ se zobrazí alternativní návrhy pro instalaci CryptoPlus, viz. kapitola č. 3.5 Alternativní návrhy pro instalaci CryptoPlus

• Po výběru „Odinstalovat software CryptoPlus“ dojde k odinstalování programového balíčku CryptoPlus, načež se zobrazí okno instalátoru s výzvou k restartu počítače, kde je třeba kliknout na volbu „Restartovat počítač“

• Po restartu bude program CryptoPlus odinstalován.

2. Odebráním programu ze seznamu nainstalovaných aplikací:

• Z nabídky Nastavení Ovládací Panely Přidat nebo odebrat programy zvolte odinstalovat „CryptoPlus v1.0“. Spustí se program určený pro odinstalování programového balíčku CryptoPlus.

Obr. 15. Potvrzení odinstalování programu CryptoPlus

• Kliknutím na tlačítko „Ano“ potvrdíte odinstalování, které se následně provede.


• Následuje dialog, který vás vyzve k potvrzení restartu počítače. Kliknutím na tlačítko „Ano“ se počítač restartuje.

Obr. 16. Změna nastavení systému – restart počítače

• Po restartu bude program CryptoPlus odinstalován.

3.5 Alternativní návrhy pro instalaci CryptoPlus Vyobrazení viz. obrázek s názvem „Alternativní návrhy pro instalaci CryptoPlus“.

Jedná se o následující funkce:

• Provést opravu CryptoPlus - Volba se zobrazí, pokud instalátor nalezne instalovanou verzi. Instalátor takovou verzi opraví, resp. doplní chybějící části stávající instalace.

• Instalovat čtečku karet - Volba umožní nainstalovat čtečku ze seznamu podporovaných čteček. Volbu můžete použít při rozšíření systému o další čtečku nebo jako opravu chybné instalace čtečky.

• Provést test instalace - Funkce, pomocí které se dá rychle zjistit, zda je instalace CryptoPlus úplná a funkční. Ocení ji zejména majitelé přenosných PC, kde dochází k častému připojování a odpojování externích periferií. Tato funkce zjišťuje aktuální stav instalace produktu CryptoPlus.

• Restartovat počítač - po restartu PC dochází k uplatnění změn, které byly během instalace provedeny. Bez restartu nelze produkt CryptoPlus správně používat. Po volbě se instalátor znovu spustí a ukáže aktuální stav instalace.

• Odinstalovat software CryptoPlus - Po kliknutí na tento odkaz dojde k odinstalování bez dalšího varování. CryptoPlus je nutné odinstalovat v případě přeinstalování CryptoPlus, nebo jiné poruše instalace, zrušení produktu.

• Aktualizace software CryptoPlus - V případě, že instalátor detekuje nainstalovanou starší verzi CryptoPlus, nabídne automaticky aktualizaci na novou verzi. Nabídka se v takovém případě zobrazuje na hlavní obrazovce Instalátoru.


• Vynucená přeinstalace CryptoPlus - Volba je vždy přítomna, pokud je nějaká verze CryptoPlus instalována. Slouží k reinstalaci pro případ, kdy pokusy o opravu selhaly. Provede kompletní přeinstalování bez ohledu na předchozí instalaci. Volba neřeší problém s komunikací čteček.

• Odinstalovat PC/SC - Volba umožní odinstalovat PC/SC rozhraní Windows. Při instalaci čtečky je pak PC/SC rozhraní instalováno znovu. Přeinstalování PC/SC může odstranit případné problémy s funkčností čtečky. Volba se zobrazuje pouze v případě, kdy je PC/SC instalováno a pouze na MS Windows 9x, NT a ME. Na novějších verzích MS Windows není možné PC/SC rozhraní odinstalovat. Oprava se provádí standardními prostředky MS Windows.

• Formulář pro zadání problému - V případě problémů při instalaci programového balíčku CryptoPlus se pomocí tohoto formuláře můžete obrátit na pracovníky podpory.

3.6 Instalace CryptoPlus s vazbou na Mozillu Pokud je na vašem PC detekována instalace prohlížeče Netscape nebo Mozilla, na začátku instalace se automaticky nabídne možnost registrace modulu CryptoPlus Cryptoki pro použití v těchto prohlížečích.



Obr.13. Kontrolní dotaz před spuštěním registrace

Obr.14. Příklad okna pro registraci v prohlížeči Mozilla

Obr.15. Potvrzení instalace bezpečnostního modulu pro prohlížeči Mozilla


Po dokončení registrace se část instalace obslužného software CryptoPlus ukončí ověřením správnosti instalace. Uživatel je následně informován o úspěšnosti instalace modulů do prohlížeče.

Obr.16. Potvrzení o úspěšné instalaci modulu

3.7 Odinstalování CryptoPlus s vazbou na Mozillu V případě, že jste měli zaregistrován modul Cryptoki, program pro odinstalování nabídne odregistrování tohoto modulu z programu Mozilla ( Netscape ).

Obr. 17. Odregistrování modulu Cryptoki


Obr. 18. Příklad okna pro odregistrování v prohlížeči Mozilly

Obr. 19. Potvrzení odinstalování modulu

Obr.20. Potvrzení o úspěšné odinstalování modulu


4. Základní funkce a ovládání CryptoPlus Pokud chcete použít čipovou kartu pro šifrování a podepisování elektronické pošty, popř. k autorizaci bezpečným spojením s web serverem, musí být splněno několik podmínek:

1. Musí být nainstalována softwarová podpora CryptoPlus.

2. Na čipové kartě musí být Váš privátní klíč s odpovídajícím certifikátem.

3. Kryptografický systém MS Windows musí znát Váš certifikát X.509.

Dvě poslední podmínky by Vám měla pomoci splnit Vaše certifikační autorita.

Pokud obdržíte kartu CryptoPlus s již nainstalovaným certifikátem, stačí tento certifikát zaregistrovat do Windows pomocí programu „CryptoPlus – správce karty“ (součást instalačního balíčku CryptoPlus).

Aktivní operace s kartou (např. výpočet elektronického podpisu) jsou chráněny pomocí PIN. Pokud potřebujete PIN odblokovat nebo jej chcete změnit, použijte utilitu „CryptoPlus – správce karty“.

Z hlediska bezpečnosti je velmi důležité, aby PIN kód, respektive PUK, znal jen a pouze majitel karty. Pokud PIN či PUK prozradíte jiné osobě, vystavujete se nebezpečí zneužití Vaší karty – nositele Vaší elektronické identity

Program „CryptoPlus – Správce karty“ slouží k správě čipové karty CryptoPlus. Tato utilita je vybavena speciální funkčností, která se snaží detekovat různé problémy a pokusí se navrhnout způsob jejich řešení.

Kompletní popis funkcí naleznete přímo v programu a části „Nápověda“.

Základní práce s „CryptoPlus – Správce karty“:

1. Vložte čipovou kartu do čtečky.

2. Spusťte program „CryptoPlus – správce karty“ (po standardní instalaci ji najdete na pracovní ploše popř. v nabídce Start Programy CryptoPlus CryptoPlus.)

3. Po startu Správce karty je nejprve nutné načíst obsah karty. V hlavním okně se tedy objeví „Návrhy řešení“ a zpráva „Nejsou přečtena data z karty“. Vložte tedy kartu do čtečky a stiskněte podtržené slovo „obnovit“ nebo z nabídky programu zvolte Zobrazit Obnovit (stejnou funkci vyvoláte i stiskem klávesy F5).


Obr.21. Okno aplikace CryptoPlus správce karty

Pokud je v hlavním okně zobrazen jiný problém, může se např. jednat o chybně připojenou či nainstalovanou čtečku, můžete k řešení (rozpoznání) problémů použít instalační program (soubor Install.exe), který obsahuje mechanizmy pro detekci aktuálního stavu instalace, dokáže také doporučit uživateli kroky pro vyřešení problému.

4. Po načtení údajů z karty by měl automatický detektor problémů zobrazit seznam certifikátů, které nejsou zaregistrovány.

Kliknutím na nápis „zaregistrovat“ postupně zaregistrujte všechny certifikáty, které chcete aktivně používat.


Obr. 22. Alternativa informačního okna manažeru po načtení dat z karty

1. Při registraci kořenového (root) certifikátu se systém dotáže, zda chcete tento certifikát skutečně přidat do seznamu kořenových certifikátů. Před povolením této operaci, zkontrolujte shodu hodnot SHA-1 kontrolního součtu (hash) certifikátu zobrazené utilitou CryptoPlus a dialogem dotazujícím se na povolení přidání root certifikátu

2. Takto zaregistrovaný certifikát je ihned vyjmut ze seznamu „problémových“ certifikátů.


Obr. 23. Přímá registrace certifikátu z menu

Certifikát je možné zaregistrovat i tak, že v levém okně vyberete certifikát, který chcete zaregistrovat a v menu zvolíte funkci Certifikát Registrovat.

5. Je-li certifikát platný a zaregistrovaný ve Windows, můžete s ním pracovat v aplikacích, které využívají kryptografický podsystém MS Windows. (Internet Explorer, Outlook Expres, Office XP, …)

4.1 Parametry CSP CryptoPlus CSP používá několik parametrů, jimiž lze modifikovat jeho funkčnost. Parametry jsou uloženy v systémových registrech a jsou popsány v dokumentaci k CSP.

Některé parametry CryptoPlus CSP lze zobrazit a změnit pomocí programu „CryptoPlus - správce karty“. Jsou to:

• Verze knihovny CSP - Informace o aktuálně instalované verzi CSP. Tuto informaci nelze změnit programem „CryptoPlus - správce karty“, změní se automaticky po instalaci nové verze knihovny CSP. Porovnáním verzí knihovny lze zjistit, zda je instalována nejaktuálnější verze. Číslo verze může být také důležitou informací při problémech s CSP a případném kontaktu hot-line.

• Jazyk - Uživatel si může zvolit jazyk, kterým chce komunikovat s aplikacemi CryptoPlus.

• Timeout dialogů - Nastavuje timeout zobrazení dialogových oken CSP v rozsahu 30 - 600 sekund. Jestliže uživatel do uvedené doby nezareaguje na okno CSP, okno se automaticky uzavře, jako kdyby uživatel akci přerušil (Cancel). Toto nastavení se netýká okna systému PC/SC pro otevírání karty. Alternativní komunikační moduly nemusí tento parametr používat.

• Povolit animaci na taskbaru - Jestliže uživatel nechce zobrazovat animace na dolní liště pracovní plochy, může toto pole nechat prázdné (nezaškrtnuté). Práce CSP pak bude probíhat bez animace. Animace symbolizují průběh jednotlivých operací, které právě


CryptoPlus CSP provádí. Zapnutí či vypnutí animace nemá žádný vliv na způsob a bezpečnost fungování CSP.

• Defaultně zapamatovat PIN - Ovlivňuje úvodní nastavení dialogu pro ověření PIN. Jestliže uživatel zaškrtne pole „Defaultně zapamatovat PIN“, bude vždy při zobrazení dialogu pro ověření PIN automaticky zaškrtnuto pole „Zapamatovat pro toto sezení“ - a naopak. Přednastavenou volbu lze po zobrazení dialogu pro ověření PIN změnit.

• Časový limit PINu v paměti - Nastaví maximální časový interval, po který CryptoPlus CSP může v paměti uchovávat hodnotu PIN. Zadaná hodnota se může pohybovat od 5 minut do 1440 minut (= 24*60 = 1 den).

Volba Parametry CSP zobrazí aktuální nastavení parametrů. Uživatel může tyto hodnoty změnit a uložit pomocí tlačítka „Uložit“. Jestliže se nové hodnoty nepodaří zpracovat, vypíše program chybové hlášení. Po úspěšném uložení se zobrazí nové (aktuální) hodnoty parametrů. Změna nastavení parametrů se projeví až po restartování aplikací pracujících s čipovou kartou.

4.2 Změna PIN/PUK Aktivní operace s kartou (např. výpočet elektronického podpisu) jsou chráněny pomocí PIN.

Pokud PIN zadáte ve třech po sobě jdoucích pokusech chybně, dojde k jeho zablokování. Odblokovat jej lze pomocí tzv. PUK. Při zadávání PUK čipová karta toleruje čtyři po sobě jdoucí chybná zadání. Po páté po sobě jdoucí chybě zadání PUK je karta nezvratně zablokována!

Prvotní PIN a PUK pro karty obdržíte společně s kartou v zapečetěné obálce. Pokud potřebujete prvotní PIN změnit, případně kartu odblokovat, použijte program „CryptoPlus - správce karty“ a postupujte dle následujícího návodu.

Z hlediska bezpečnosti je nezbytné, aby PIN a PUK kódy znal jen a pouze majitel karty. Pokud PIN či PUK prozradíte jiné osobě, vystavujete se nebezpečí zneužití Vaší karty – nositele Vaší elektronické identity.

Postup při změně PIN a PUK 1. Vložte čipovou kartu do čtečky.

2. Ukončete všechny aplikace, které používají kartu CryptoPlus.

3. Spusťte program „CryptoPlus - správce karty“ (po standardní instalaci ji najdete na pracovní ploše popř. v nabídce Start Programy CryptoPlus CryptoPlus).


4. Přečtěte údaje o vložené kartě pomocí nabídky Zobrazit Obnovit.

5. V levém okně vyberte kartu CryptoPlus.

Obr. 24. Okno po prvotním načtení údajů z karty

6. Z nabídky programu CryptoPlus zvolte Soubor Změna / Odblokování PIN….

Obr. 25. Okno s informacemi o kartě a vyvoláním funkce pro změnu PIN

V dialogovém okně zvolte požadovanou operaci, zadejte potřebné údaje a potvrďte je tlačítkem „OK“. Délka nového PIN či PUK musí mít nejméně 4 číslice a nejvíce 8 číslic. Tlačítko „OK“ se povolí až poté, kdy je splněna podmínka pro délku PIN/PUK a pokud je nová hodnota stejná jako zopakování nové hodnoty.


Obr. 26. Okno pro zadání typu operace a hodnot PIN/PUK

7. Pokud operace proběhla úspěšně, bude karta pracovat s novým PIN popř. PUK.

4.3 Datové objekty Datové objekty na kartách CryptoPlus jsou uživatelsky definovaná data. Mohou mít libovolný formát, navržený aplikací, která datový objekt spravuje. Hodnoty datových objektů mohou být chráněny pomocí PIN. Datové objekty lze proto použít k uložení citlivých dat (hesla, kódy, ...). Pro přístup k datovým objektům se typicky využívá rozhraní PKCS#11.

Program „CryptoPlus – správce karty“ zobrazí podrobné informace o datovém objektu vybraném ve stromu informací. Mezi informacemi o datovém objektu jsou:

• Aplikace - Název aplikace, která je správcem datového objektu. Nepovinný údaj.

• Název - Název objektu.

• Chráněno pomocí PIN - Informace, zda je hodnota datového objektu veřejně přístupná anebo zda je čtení podmíněno zadáním PIN.

• Délka dat - Délka datové hodnoty. V bytech.

• Data - Výpis datové hodnoty. Jsou zobrazeny 3 sloupce informací: offset dat, data hexadecimálně a data textově. Pokud je čtení dat chráněno pomocí PIN a data dosud nebyla přečtena, zobrazí se možnost přečíst hodnotu chráněnou pomocí PIN z karty.

• Datový objekt lze smazat - Je zobrazena možnost smazat datový objekt z karty.


Obr. 27. Zobrazení informací o datových objektech


5. Integrace CryptoPlus do nejčastěji používaných programů V této kapitole je popsáno, jak nainstalovat a odinstalovat podporu CryptoPlus pro některé další aplikace a jak nakonfigurovat programy tak, aby používaly zabezpečení pomocí certifikátů na čipové kartě.

Zobrazené dialogy se mohou lišit od těch, které vidíte v této příručce, dokonce i názvy položek menu mohou být naprosto odlišné. Není možné popsat konfiguraci poměrně širokého spektra verzí aplikací, které mohou používat karty CryptoPlus. Doporučujeme Vám, abyste upřednostnili postupy uvedené v dokumentaci Vašeho software. Ta by měla být vždy aktuální.

5.1 Konfigurace programu MS Outlook 2000 1. Vložte čipovou kartu do čtečky.

2. Spusťte MS Outlook

3. V nabídce aplikace zvolte Nástroje Možnosti.

Obr. 28. Panel „Možnosti“ pro konfiguraci Outlook 2000

4. V dialogovém okně „Změnit nastavení zabezpečení“ zvolte „Formát zabezpečených zpráv: S/MIME“. V sekci „Osvědčení a algoritmy“ by se měly samy objevit názvy Vašeho certifikátu pro elektronický podpis („Podpisové osvědčení“) a pro šifrování („Osvědčení zašifrování“). Pokud tomu tak není (např. máte více certifikátů), vyberte vhodné certifikáty pomocí tlačítek „Vybrat“. Nastavení potvrďte tlačítkem „OK“.


Obr. 29. Panel pro změnu nastavení aplikace Outlook 2000

5. V dialogovém okně „Možnosti“ (viz. bod 4) podle potřeby zaškrtněte políčka „Zašifrovat obsah a přílohy odesílaných zpráv“ a „Přidat digitální podpis do odesílaných zpráv“.

6. Pokud je Váš certifikát platný a má příslušná oprávnění, můžete jej – spolu s kartou CryptoPlus – používat pro vytváření elektronického podpisu a dešifrování příchozích zpráv.

5.2 Konfigurace programu Outlook Express 5 1. Vložte čipovou kartu do čtečky.

2. Spusťte Outlook Express

3. V nabídce aplikace zvolte Nástroje Účty.

4. V záložce „Vše“ nebo „Pošta“ vyberte účet, ke kterému chcete používat kartu CryptoPlus.


Obr. 30. Okno se seznamem účtů pro elektronickou poštu

5. Stiskněte tlačítko „Vlastnosti“.

6. V dialogovém okně pro nastavení vlastností účtu vyberte záložku „Zabezpečení.“

Obr. 31. Dialog „Vlastnosti“ pro aktualizaci parametrů vybraného účtu


7. Vyberte si vhodný certifikát k danému účelu a je-li to možné, vyberte i preferovaný algoritmus pro šifrování (čím silnější, tím větší míra utajení).

8. Tlačítkem „OK“ potvrďte výběr.

5.3 Konfigurace prohlížeče Internet Explorer 5.x Pokud je certifikát zaregistrován v MS Windows (viz. předchozí kapitola) a je platný, je možné jej použít pro klientskou autentizaci na bezpečném spojení s web serverem bez nutnosti další konfigurace prohlížeče. Je samozřejmé, že certifikát musí být vydán k tomuto účelu a že web server musí rozpoznat certifikáty Vaší certifikační autority.

5.4 Konfigurace prohlížeče Mozilla Internetový prohlížeč Mozilla, na rozdíl od standardních „MS aplikací“, nevyžaduje registraci certifikátu do systému Windows.

Proto, abyste mohli využívat výhod karty CryptoPlus v tomto prohlížeči, je nutné, abyste měli zaregistrován kryptografický modul Cryptoki. Pokud instalátor detekuje prohlížeč Mozilla, tak Vám automaticky registraci nabídne.

1. Pro správnou funkci CryptoPlus je zapotřebí, aby byla karta CryptoPlus vložena ve čtečce v okamžiku spouštění programu Mozilla.

2. Po registraci modulu CryptoPlus startuje Mozilla o něco déle. Ještě před zobrazením prvního okna jsou totiž načítány veškeré údaje z čipové karty.

Kontrola registrace kryptografického modulu v prohlížeči Mozilla

1. Spusťte prohlížeč Mozilla

2. Otevřete menu „Edit“ a vyberte „Preferences“

3. Pod kategorií „Privacy & Security“ klikněte na „Certificates“. (Jestliže nejsou viditelné žádné podkategorie, pak dvojklikem na „Privacy & Security“ se seznam rozvine.)


Obr. 32.Zobrazený dialog nastavení

4. V sekci „Manager Security Devices“, klikněte na tlačítko „Manage Security Device…“ a zobrazí se dialog „Device Manager“.


Obr. 33.: Příklad okna se zobrazením seznamu instalovaných kryptografických modulů

V seznamu „Security modules and devices“ musí být kromě interního PKCS#11 modulu i modul CryptoPlus ( + označení verze, v tomto případě je to „CSOB CryptoPlus Cryptoki v1.0“ ).


6. Update produktu Více informací o produktu CryptoPlus můžete získat buď u Vašeho dodavatele nebo je můžete najít na internetu, viz. níže.

6.1 O produktu CryptoPlus http://www.cryptoplus.cz

6.2 Elektronická adresa pro podporu [email protected]

Nové verze produktu CryptoPlus budou nabízeny k volnému stažení na výše uvedených internetových adresách. Instalační balíček bude pro Vaši jednodušší orientaci přímo ve jménu souboru označen číslem verze a bude připojena stručná popiska změn oproti předchozím verzím. K dispozici bude rovněž aktuální uživatelská dokumentace. Ta bude zásadně nabízena ve formátu PDF a pro její prohlížení budete potřebovat volně šiřitelný prohlížeč Adobe Acrobat Reader, který získáte např. na serveru výrobce, tj. www.adobe.com .


7. Popis připojení čtečky čipových karet Čtečky se sériovým připojením nemají vlastní zdroj a jsou napájeny z portu klávesnice (resp. myši) typu PS/2.

GemPC410, GemPC413, GemPC TwinSerial, CardMan2011 Postup připojení:

• připojte snímač k volnému 9-ti pinovému sériovému portu PC (má zelenou barvu – pokud je k dispozici pouze port 25-ti pinový, musíte si navíc obstarat redukci).

• Odpojte myš nebo klávesnici a do uvolněného zapojte fialový konektor čtečky (podmínkou je, že myš nebo klávesnice musí mít konektor typu PS/2)

• Klávesnici (příp. myš) zapojte do šedého externího konektoru čtečky.

• Na čtečce při správném připojení bliká LED, pokud je správně nainstalovaná a vložíte do ni kartu, začne LED svítit trvale (CardMan 2011 svítí zeleně, při komunikaci navíc červeně blikají).

• Upevnění: nasuňte snímač do přiloženého stabilizačního podstavce (součást dodávky)

Obr. 34.: Schéma připojení GemPC410


GemPC430, GemPC433, GemPCTwinUSB, CardMan2020, CardMan3121 Postup připojení:

• Zasuňte USB konektor čtečky do volného USB portu počítače. Po zapojení je čtečka připravena k používání.

• GemPC430, GemPC433, GemPC Twin je vybavena USB kabelem, zelenou LED diodou. Při napájení bliká, při správné komunikaci trvale svítí.

• CardMan 2020 a CardMan 3121 svítí zeleně, při komunikaci navíc červeně blikají.

Obr.35.: Schéma připojení čtečky s USB konektorem

GemPC400, CardMan4000 Postup připojení:

• zasuňte čtečku do volného PCMCIA slotu Vašeho notebooku

• při používaní, pokud se rozhodnete ponechávat čtečku v notebooku, občas zkontrolujte, zda je čtečka dostatečně zasunutá (tzv. na doraz).


GemPC Key Postup připojení:

• Zasuňte USB konektor čtečky do volného USB portu počítače. Po zapojení je čtečka připravena k používání.


8. Rejstřík a základní pojmy AID - Application Identifier. Unikátní číslo aplikace uložené na kartě. Systémy pracující s kartou mohou podle AID najít na kartě data pro provedení požadovaných operací. Asymetrická kryptografie - Typ kryptografie, který používá pro šifrování a dešifrování dat dva rozdílné klíče: veřejný a soukromý (privátní) klíč. Data zašifrovaná jedním z klíčů lze dešifrovat pouze pomocí druhého z dvojice klíčů a naopak. Privátní klíč musí znát pouze majitel - je nutné uchovávat jej na bezpečném místě. Naproti tomu, veřejný klíč může být dostupný komukoli. Pokud někdo zašifruje např. e-mail veřejným klíčem adresáta, má jistotu, že zprávu přečte pouze adresát. Naopak jestliže někdo podepíše dokument svým privátním klíčem, mohou si příjemci dokumentu pomocí veřejného klíče ověřit autenticitu autora. Mezi nejpoužívanější asymetrické algoritmy patří RSA a DSA.

ATR - Answer to reset (ATR) string karty. Řetězec, kterým se karta identifikuje do systému po připojení napájení.

Autentizace - Proces ověření identity daného subjektu (člověka, systému,...).

Certifikační autorita (CA) - Instituce, která vydává certifikáty. Před vydáním certifikátu CA ověřuje identitu žadatele. Certifikát CA je kořenový (root) certifikát.

Certifikát - Elektronicky podepsaný dokument, obsahující veřejný klíč majitele a informace o majiteli certifikátu. Certifikát tedy svazuje informaci o majiteli s jeho veřejným klíčem. Certifikát je typicky vydán důvěryhodnou certifikační autoritou (CA).

Cesta k certifikátu - Každý certifikát je podepsán privátním klíčem vydavatele certifikátu. (Výjimku tvoří kořenový certifikát, ten je podepsán vlastním klíčem.) Jestliže tedy máme certifikát i certifikát vydavatele, můžeme kryptograficky ověřit, zda byl zkoumaný certifikát skutečně vydán předpokládaným vydavatelem. Opakovaným postupem lze ověřit i certifikát vydavatele, jeho vydavatele atd. ..., až do úrovně kořenového certifikátu. Takto ověřený řetězec nazýváme cesta k certifikátu. Některé programy jsou schopny použít pouze certifikáty, které mají v systému registrovány všechny nadřízené certifikáty - mají kompletní ověřenou cestu k certifikátu.

Cryptographic Service Provider - Dynamicky linkovaná knihovna implementující kryptografické standardy a algoritmy. Win32 implementují standardní, čistě softwarovou verzi. Existují i verze jiných výrobců, některé implementují (pro zvýšení bezpečnosti) kryptografické operace pomocí hardwarových komponent (čipových karet, nebo krypto-adapterů). Knihovna je používána např. při šifrování / dešifrované elektronické pošty, elektronickém podepisování atd. ...

CSP - Viz. „Cryptographic Service Provider“

Klíč - Viz. „Privátní klíč“ a „Veřejný klíč“.

Kód aplikace – Viz. AID.

PC/SC - Standardní Win32 rozhraní pro komunikaci s čtečkami čipových karet.

PIN - Osobní identifikační číslo (Personal Identification Number). Číselný kód pro autorizaci některých operací s čipovou kartou. PIN je jedním z ochranných prvků při práci s čipovými kartami. Člověk, který nezná PIN, nemůže s kartou provést operace vyžadující autorizaci. Jestliže


je několikrát po sobě zadán chybný PIN, jeho použití se zablokuje. PIN lze odblokovat pomocí PUK.

PKCS#11 - Standardní rozhraní pro zařízení (ve vašem případě se jedná o čipovou kartu), která uchovávají chráněné informace a provádějí kryptografické operace

Privátní klíč - Jeden klíč z páru klíčů, užívaných v asymetrické kryptografii. Utajení privátního klíče je jedním z předpokladů bezpečnosti. Privátní klíč je používán např. pro elektronické podepisování dokumentů, nebo dešifrování zpráv, které byly zašifrovány odpovídajícím veřejným klíčem.

PUK - Osobní odblokovaní klíč (Personal Unblocking Key). Číselný kód pro odblokování PIN. Jestliže se po opakovaně chybném zadání zablokuje karetní PIN, lze jej po zadání hodnoty PUK odblokovat. Jestliže je několikrát po sobě zadán chybný PUK, jeho použití se zablokuje.

Veřejný klíč - Jeden klíč z páru klíčů, užívaných v asymetrické kryptografii. Veřejný klíč, na rozdíl od privátního klíče, není třeba utajovat. Veřejný klíč je používán např. pro ověření elektronického podpisu, nebo zašifrování zpráv. Zprávy zašifrované veřejným klíčem lze dešifrovat pouze odpovídajícím privátním klíčem.


10. Co dělat, když nastane problém Vždy se ujistěte, že máte aktuální verzi CryptoPlus. Číslo aktuální verze CryptoPlus se dozvíte z internetových stránek určených vaší kastomizací (viz. kapitola č. 6. Update produktu).

Po stažení aktuální verze z internetových stránek, proveďte její nainstalování dle postupu, o kterém se dočtete v kapitole č. 3. Instalace CryptoPlus – základní část

Pokud problémy s aplikací Cryptoplus nebo čtečkou, kartou přetrvají, doporučuji postupovat dle bodu 10.1 Zadání problému.

10.1 Zadání problému V případě problémů s aplikací CryptoPlus, čtečkou nebo kartou můžete použít formulář „Zadání problému“. Formuláře je stiskem tlačítka odeslán na aplikační podporu produktu příslušné kastomizace.

Formulář ve svých navádí uživatele, tak aby poskytl servisnímu pracovníkovi dostatečné informace k posouzení jeho problému. Součástí formuláře jsou požadovány také soubory s diagnostikami, vygenerované v krocích 10.2 Diagnostika čtečky a 10.3 Diagnostika karty, které budete vkládat do internetového formuláře (viz. sekce 6.3 Internetové stránky pro zadání problému) jehož prostřednictvím uvědomíte pověřené osoby o vašem problému. Dále zbývá jen vyčkat odpovědi.

10.2 Diagnostika čtečky • Generuje se pomocí programu Gemplus SmartDiag. Program se automaticky nainstaluje

při instalaci čtečky pomocí instalačního balíčku CryptoPlus.

• najdete jej v menu Start Programy Gemplus SmartDiag SmartDiag v2.0, kliknutím jej spusťte


Obr. 36. Hlavní dialog programu pro diagnostiku čtečky karet

• Dalším krokem je vložení čipové karty do čtečky a potvrzení tlačítka „Start“

• V případě, že test čtečky neproběhne úspěšně, se zobrazí podobné dialogové okno.


Obr. 37. Příklad selhání diagnostiky čtečky

Postupujte dle následujících kroků:

1. Klikněte na tlačítko „Get Assistance“.

Obr. 38. Nabídka možností zpracování diagnostiky čtečky

2. Kliknutím na tlačítko „Save report“ se zobrazí dialog pro uložení souboru na disk. Nezapomeňte cestu k souboru, protože jej později budete posílat jako součást zadání problému.


3. Nyní můžete diagnostický program ukončit.

4. Dalším krokem je diagnostika karty viz. sekce 10.3 Diagnostika karty , případně zadání problému viz. sekce 10.1 Zadání problému

• V případě, že čtečka funguje v pořádku se vám zobrazí toto dialogové okno

Obr. 39. Dialog informující o bezproblémové funkčnosti čtečky

• Následně stačí potvrdit tlačítko „Close“, čímž ukončíte diagnostický program.

• Diagnostický program zjistil, že čtečka je funkční a tudíž je problém někde jinde.

• Dalším logickým krokem je provedení diagnostiky karty, viz. 10.3 Diagnostika karty


10.3 Diagnostika karty • Spusťte program „CryptoPlus - správce karty“

• Vložte kartu do čtečky a stiskněte podtržené slovo „obnovit“ nebo z nabídky programu zvolte Zobrazit Obnovit (stejnou funkci vyvoláte i stiskem klávesy F5).

• Po načtení údajů z karty v nabídce programu zvolte Soubor Uložit diagnostiku

• Nezapomeňte cestu k souboru, protože jej později budete posílat jako součást zadání problému.

• Dalším krokem je zadání problému viz. sekce 10.1 Zadání problému , případně 10.2 Diagnostika čtečky pokud nebyla provedena před diagnostikou karty


11. FAQ aneb často kladené otázky

11.1 Instalace

11.1.1 Pod MS Windows 2000 nelze nainstalovat čtečku karet která není Plug and play Příčina: MS Windows 2000 podporují čtečky karet pouze typu Plug and Play.

11.1.2 Pod MS Windows 95/NT 4.0 nejde nainstalovat USB čtečka Příčina: MS Windows 95/NT 4.0 standardně nepodporují USB zařízení, proto je velmi obtížné navrhnout USB ovladač pro tento operační systém. Je možné že situace v budoucnosti změní, ale v současné době firma Gemplus nepodporuje USB čtečky na platformě Windows 95/NT 4.0.

11.1.3 Po instalaci PC/SC se objeví chybové hlášení: "Cannot create more devices" nebo "Cannot locate requested device" Příčina: Toto chybové hlášení se může objevit v případě, pokud jste instalovali PC/SC bez administrátorských oprávnění. Řešení: Přihlaste se do systému jako administrátor a proveďte znovu instalaci PC/SC.

11.1.4 Po připojení čtečky musím restartovat počítač, abych mohl pracovat s kartou, a to i v případě že mám nainstalovány příslušné ovladače. Příčina: Na systémech Windows 9x/NT 4.0 "Smart Card Resource Manager" nepodporuje Plug and Play.

Řešení: Čtečka čipových karet musí být připojena před spuštěním počítače. Pro správnou funkci musíte mít také nainstalovány příslušné ovladače.


11.1.5 Po spuštění Windows 9x se objeví hlášení: "VxD reader driver initialization cannot open reader device. The network request is not supported." Příčina: Pod Windows 9x/ME se pokoušíte připojit dvě čtecí zařízení. "Smart Card Resource Manager" neumí provozovat dvě čtečky typu Plug and Play současně. Řešení: Počítač vypněte, odpojte jednu čtečku a zapněte.

11.1.6 Po instalaci čtečky ve Win2000 musím restartovat počítač, abych mohl používat některé aplikace. Příčina: Některé aplikace nebo služby vyhledávají seznam připojených čteček pouze při svém startu. Za běhu již tento seznam nejsou schopny aktualizovat. Řešení: Restartujte příslušnou aplikaci nebo službu. Je to mnohdy jednodušší než restartovat počítač.

11.1.7 Na počítači nelze používat více jak jednu čtečku. Příčina: Z důvodů problému v "Smart Card Resource Manageru" nelze ve Windows 9x/ME používat více jak jednu čtečku čipových karet. Řešení: Firmě Gemplus se podařilo obejít toto omezení u čteček připojených přes sériový port. Toto je částečně možné, ale jeden sériový ovladač používají všechny čtečky.

11.1.8 Ovladače některých myší zabraňují v činnosti čtečkám čipových karet. Příčina: Ovladače firmy Logitech hledají myš na všech dostupných sériový portech. Během této činnosti nelze čtečku používat. Logitech prodává myši pod různými obchodními značkami, proto přestože tak nevypadají proveďte kontrolu výrobce driveru.

11.2 Konfigurace a provoz

11.2.1 Po vložení karty do čtečky se na několik sekund rozsvítí kontrolka a pak se opět rozbliká Příčina: Pokud používáte MS Windows ME/2000 nejedná se o žádný problém. Operační systém se pouze snaží optimalizovat spotřebu elektrické energie při práci se čtečkou.


11.2.2 Během práce s kartou „zatuhává“ kursor myši. Příčina: Pod Windows 9x se pro přístup na sériový port využívá systémový ovladač VCOMM. Jedná se o metodu, kterou Microsoft doporučuje pro práci se sériovým portem na operačních systémech Windows 9x. Přímý přístup na sériový port by mohl zvýšit průchodnost systému, ale tento mechanismus je méně spolehlivý.

11.2.3 Po probuzení systému z "úsporného" (standby) režimu, se objeví následující hlášení: "Reader removal monitor error retry treshold reached. Incorrect function.", a čipovou kartu nelze dále používat. Příčina: Windows při přechodu do "úsporného" režimu odstraní z paměti většinu ovladačů zařízení. Po probuzení jsou tyto opět nahrány, ale "Smart Card Resource Manager" není schopen aktualizovat seznam zařízení. Také se může objevit chybové hlášení: "Reader monitor received uncaught error code. The device does not recognize the command."

Řešení: Nepožívejte "úsporný režim". Místo toho vypněte počítač.

11.3 Ostatní

11.3.1 Rozdíl mezi využitím karty v IE a Mozille Internet Explorer (ale i Outlook a Outlook Express) jsou programy integrované výhradně do systémů Microsoft Windows. Proto standardně využívají i kryptografických služeb tohoto systému (prostřednictvím CryptoAPI, a to dál využívá kryptografických modulů CSP). Pro standardní použití privátního klíče ve zmíněných aplikacích je tedy nutné, aby k privátnímu klíči existoval zaregistrovaný a platný certifikát X.509 s informací o tom, kde privátní klíč nalézt.

Produkty Netscape nejsou vázány pouze na systém Microsoft Windows, proto nespoléhají na jejich kryptografický podsystém, ale využívají vlastních kryptografických modulů. Tyto moduly jsou implementovány dle standardů PKCS (Public Key Cryptography Standards), konkrétně PKCS#11. Každý takový modul je zodpovědný za uložení kompletní elektronické identity, tj. musí nést klíč veřejný i privátní a odpovídající certifikát X.509. Chcete-li používat čipovou kartu CryptoPlus coby nositele Vaší elektronické identity i v programu Mozilla (Netscape Communicator), musíte na ní mít kromě klíče uložen i odpovídající certifikát X.509.

11.3.2 Jak funguje používání certifikátu ve Windows? Pokud chcete, aby byla standardní „MS Windows“ aplikace schopna aktivně využívat funkce spojené s certifikátem X.509, musí tento být zaregistrován v systému.


Pod pojmem „aktivně využívat funkce“ rozumějme tvorbu elektronického podpisu a rozšifrování dat.

Během procesu registrace certifikátu do systému, jsou k tomuto certifikátu uloženy i informace, pomocí nichž dokáže systém najít odpovídající privátní klíč (tj. klíč, který se používá právě při vytváření elektronického podpisu nebo dešifrování dat).

Schematicky lze zaregistrovaný certifikát znázornit takto:

Obr. 40.: Zaregistrovaný certifikát

Aplikace, která potřebuje použít privátní klíč patřící k certifikátu, se nejdřív „podívá“ na informace o registraci certifikátu a tam zjistí, kde má hledat příslušný privátní klíč. Po té požádá kryptografický podsystém MS Windows o přístup k tomuto klíči a pokud jej získá, může požadovanou operaci provést.

11.3.3 Kurzor myši se stává nepohyblivý během dlouhé výměny čipové karty! Řešení: Pod Windows 9x, se pro ovládání čtečky čipové karty používá VCOMM I/O ovladač, aby se mohl připojit odpovídající sériový port. Toto je metoda, kterou Microsoft odsouhlasil pro přístup sériového portu pod Windows 9x. Kontrola vstupu sériovému portu by měla mít za následek lepší provedení, nicméně je méně spolehlivá.


11.3.4 Musí být vždy certifikát na kartě? Řešení: Pokud používáte certifikát v aplikacích využívajících kryptografický podsystém Windows, pak ho nutně nemusíte mít uložen na kartě. Stačí, aby byl zaregistrován ve Windows, tj. systém ví, kde leží odpovídající privátní klíč. Pokud používáte certifikát v programu Mozilla ( Netscape Communicator ), musí být certifikát uložen na kartě.


12. Integrace CryptoPlus do produktů Entrust®

12.1 Doporučený postup instalace Instalátor Cryptoplus v kastomizaci pro Entrust přizpůsobuje instalaci pro používání v rámci aplikace Entrust. Je-li aplikace správně nainstalována lze kastomizované čipové karty plnohodnotně používat pro kryptografické operace vyžadované Entrust.

Pokud chcete používat aplikaci Cryptoplus v rámci Entrust je nutné provést výběr položky „Entrust registration“, v dialogu výběru komponent k instalaci, CryptoPlus se automaticky při instalaci integruje do Entrust® programů.


Jako první krok je nutné zprovoznit čtečku čipových karet a ujistit se o její funkčnosti.

Upozornění!!!

V případě, že budete v dalším kroku instalovat Entrust/SignOn a nebudete mít nainstalovanou funkční čtečku, nastane situace kdy se po restartu nebudete moci přihlásit pomocí profilu uloženém na čipové kartě. Pak bude nutné pro přihlašování vytvořit softwarový profil a používat jej dokud se vám nepodaří čtečku čipových karet zprovoznit. Po zprovoznění čtečky je možno provést „recovery“ tohoto softwarového profilu na čipovou kartu.


12.2 Způsob integrace CryptoPlus do produktů firmy Entrust® Komunikace mezi produkty firmy Entrust® a software CryptoPlus probíhá pomocí dvou rozhraní. Prvním rozhraním je CSP (Cryptographic Service Provider), viz. 8. Rejstřík a základní pojmy, které je používané programy Entrust/Entrust TruePass™, Entrust Entelligence™ Security Provider. Druhým rozhraním je PKCS#11, viz. 8. Rejstřík a základní pojmy, používané balíčkem Entrust Desktop Solutions™.

12.3 Možnosti manuální konfigurace

12.3.1 ethardware.ini Tento soubor je vytvářen při instalaci balíčku CryptoPlus. Informace obsažené v tomto souboru obsahují informace nutné pro integraci CryptoPlus v Entrust® softwarových produktech. Je lokalizován v adresáři Windows (adresář do kterého byl systém nainstalován). V sekci [CryptokiLibraries] jsou v závislosti na systému zapsány tyto položky:

Windows 9x:

CryptoPlusV2Library95=prop11.dll

Windows NT / 2000 / XP:

CryptoPlusV2LibraryNT=prop11.dll

Hodnota každé položky (prop11.dll) představuje název souboru knihovny obsahující implementaci PKCS#11.

MONET+, a.s., Zámecká 365, 763 14 Zlín-Štípa (2003)

CRYPTOPLUS je registrovanou ochrannou známkou ve smyslu zákona 137/1995 Sb.

Documents

CryptoPlus Správce karty UŽIVATELSKÁ PŘÍRUČKA · PDF filečipovou kartu nelze dále používat.....49 11.3 Ostatní