Nejčastější dotazy

Zprovoznění PROID+

Co znamená zkratka eIDAS?

eIDAS je nařízení Evropského parlamentu a Rady o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním evropském trhu. Toto nařízení ruší směrnici Evropské unie 1999/93/EC. Aktuální a platná verze eIDAS byla publikována Evropským parlamentem a Evropskou radou dne 23. července 2014.

Nařízení eIDAS v ČR v oblasti služeb vytvářejících důvěru doplňuje již platný zákon č. 297/2016 Sb. a doprovodný zákon č. 298/2016 Sb. Zákon o elektronické identifikaci byl přijat pod č. 250/2017 Sb. s účinností od 1.7.2018.

Nařízení dohlíží na elektronickou identifikaci a důvěryhodné služby pro elektronické transakce na vnitřním trhu Evropské unie. Upravuje elektronické podpisy, elektronické transakce, definuje zúčastněné subjekty a procesy, aby zajistila bezpečnost pro uživatele podnikající on-line, například při elektronickém převodu finančních prostředků nebo při komunikaci s veřejnými službami. Nařízení EIDAS umožňuje bezpečně a pohodlně provádět transakce přes hranice bez užití tradičních papírových metod, jako jsou pošta nebo fax.

Nařízení vytvořilo standardy pro elektronické podpisy, kvalifikované digitální certifikáty, elektronické pečeti, časová razítka a další způsoby ověření autentizačních mechanismů. Ty umožňují, aby elektronická transakce měla stejné právní postavení jako transakce prováděná na papíře.

Na webových stránkách ministerstva vnitra je k dispozici Kmenový i změnový zákon. https://www.mvcr.cz/clanek/informace-k-pouzivani-elektronickeho-podpisu.aspx

Jak a kde získám ovládací software karty ProID+?

Instalační balíčky pro všechny podporované platformy operačních systémů jsou dostupné na www.proid.cz/podpora. Pro OS Windows jsou k dispozici jazykové lokalizace (v současné době čeština [CZ] anebo angličtina [EN]).

Co potřebuji pro provoz ProID+?

Ke zprovoznění produktu ProID+ je potřeba:

  • Počítač se systémem MS Windows Vista nebo novějším (verze pro Linux a MacOS jsou dostupné na vyžádání)
  • Čtečku čipových karet, která odpovídá standardu PC/SC
  • Čipovou kartu ProID+ nebo ProID+Q
  • Alespoň jeden pár klíčů s certifikátem, uloženými v čipu karty
  • Ovládací software karty ProID+ / ProID+Q

Jakou čipovou kartu potřebuji?

Řešení ProID+ nabízí dvě varianty čipových karet:

Karta ProID+Q

Kontaktní QSCD čipová karta s personalizovanou PKI aplikací. Čipové karty lze dodat ve formátu ID-1 (velikost bankovní karty) nebo ID-000 (SIM) pro využití v USB nebo Bluetooth tokenech.
Karta ID-1 může mít do těla integrovaný libovolný bezkontaktní čip na technologiích Emarine, DESFire, Mifare, atd.

Na čipové kartě mohou být uloženy certifikáty od různých certifikačních autorit a pro rozmanité účely, včetně kvalifikovaných certifikátů, vydaných akreditovanými poskytovateli (certifikáty budou mít příznak uložení na kvalifikovaném prostředku).

Typické využití Karty ProID+Q:

  • Zaručený i kvalifikovaný elektronický podpis dle nejpřísnějších standardů eIDAS.
  • Bezpečnost certifikovaného prostředku QSCD
  • Poskytuje bezpečnou dvou faktorovou autentizaci
  • Elektronické podepisování
  • (De-)šifrování

Detailní specifikace karty ProID+Q je dostupná na www.proid.cz/techspec.

Karta ProID+

Kontaktní čipová karta s personalizovanou PKI aplikací. Čipové karty lze dodat ve formátu ID-1 (velikost bankovní karty) nebo ID-000 (SIM) pro využití v USB nebo Bluetooth tokenech.
Karta ID-1 může mít do těla integrovaný libovolný bezkontaktní čip na technologiích Emarine, DESFire, Mifare, atd.

Na čipové kartě mohou být uloženy certifikáty od různých certifikačních autorit a pro rozmanité účely, včetně certifikátů, vydaných akreditovanými poskytovateli (certifikáty nebudou mít příznak uložení na kvalifikovaném prostředku).

Typické využití Karty ProID+:

  • Elektronické podepisování
  • Poskytuje bezpečnou dvou faktorovou autentizaci
  • (De-)šifrování

Detailní specifikace karty ProID+ je dostupná na www.proid.cz/techspec.

Jaké čtečky čipových karet jsou podporovány?

Obecně lze použít libovolnou čtečku karet , která podporuje standard PC/SC (většina čteček na trhu jej podporuje) a umožňuje vložení karty v podporovaném formátu. Čipové karty ProID+ a ProID+Q  jsou dodávány v těchto standardizovaných formátech:

a) Klasický formát ID-1 o rozměru 85,60 x 53,98 mm

card

b) Zmenšený formát ID-000 (SIM) o rozměru 25 x 15 mm

card_SIM_only

Je z bezpečnostního hlediska vhodnější klasická karta se čtečkou nebo token (SIM)?

Z hlediska poskytované úrovně zabezpečení jsou obě dodávané varianty srovnatelné. Rozdíl je pouze v komfortu manipulace s kartou, kdy při použití čtečky s kartou běžného formátu, může uživatel snadno používat více karet, zatímco token poskytuje větší mobilitu. Detailní specifikace karet ProID+ a ProID+Q je dostupná na www.proid.cz/specifikace-karet-proid.

Jak si opatřím certifikát?

Způsob získání certifikátu závisí na účelu použití certifikátu:

Pro (osobní) komunikaci s veřejnými institucemi je vhodné nakoupit certifikát od komerční certifikační autority . Některé veřejně dostupné certifikační autority vydávají kvalifikované certifikáty, vhodné pro elektronickou komunikaci se státní správou ČR. (Kvalifikované certifikáty jsou nezcizitelně uloženy s kryptografickými klíči bezpečně v čipu ProID+Q karty.)

Pro zabezpečení dat a komunikace v rámci organizace je asi nejčastějším řešením zprovoznění vlastní (interní) certifikační autority, která je součástí serverového operačního systému Microsoft Windows. Tuto certifikační autoritu lze snadno integrovat do doménového prostředí s Active Directory – viz např.:

http://blogs.technet.com/b/askds/archive/2009/09/01/designing-and-implementing-a-pki-part-i-design-and-planning.aspx

Musím před získáním certifikátu instalovat ProID+?

Pokud má být certifikát uložen na čipové kartě ProID+ nebo ProID+Q, probíhá generování kryptografického klíče v čipu karty. Klíče se generují společně se žádostí o certifikát. Proto je třeba před započetím generování žádosti instalovat a zprovoznit ProID+.

Jak získám certifikát od komerční certifikační autority?

Certifikační autority mají obvykle na svých webových stránkách postupy, které musí žadatel o certifikát provést. Některé z těchto postupů uvádí i zmínky o podpoře uložení certifikátů na čipové karty. Obecně lze postup získání certifikátu na kartu ProID+ a ProID+Q popsat v těchto krocích:

  • Prostudování podmínek získání certifikátu (na stránkách zvolené certifikační autority)
  • Vygenerování žádosti o certifikát. Pro generování žádosti se obvykle používají příslušné nástroje (aplikace nebo webové stránky dané certifikační autority). V průběhu generování žádosti jsou generovány kryptografické klíče, pro generování klíčů na kartě ProID+ / ProID+Q je nutno zvolit kryptografického poskytovatele Microsoft Base Smart Card Crypto Provider
  • Doručení vygenerované žádosti do certifikační autority. Tento krok obvykle zajistí webové stránky certifikační autority automaticky.
  • Návštěva kontaktního místa certifikační autority, kontrola osobních dokladů žadatele a vydání certifikátu. (Některé certifikační autority ukládají žadateli certifikát na výměnné médium, jiné zasílají certifikát e-mailem anebo umožní stažení souboru s certifikátem z webových stránek.)
  • Import certifikátu na kartu ProID+ / ProID+Q. Pokud certifikační autorita nepodporuje instalaci certifikátu ze své webové stránky, je třeba certifikát importovat na kartu pomocí Správce karty (který je součástí instalace ProID+).
  • Importem certifikátu na kartu proces končí; kartu s certifikátem je možno ihned používat.

Jak zprovozním ProID+ v doméně MS Windows?

Správcové organizace, která využívá doménu s Active Directory, mohou velmi jednoduše zprovoznit např. přihlašování do počítačů pomocí karty ProID+ nebo ProID+Q. Stačí provést následující kroky:

  • na serverovém operačním systému aktivovat certifikační službu (je součástí operačního systému)
  • připravit šablony pro vydání certifikátů (jsou ukládány do Active Directory)
  • distribuovat software ProID+ na doménové počítače, např. instalace MSI balíčku ProID+ prostřednictvím doménových politik
  • nastavit doménové politiky, spojené s provozem karet (např. zamknutí uživatelské stanice po vyjmutí karty)
  • distribuovat karty a vydat na ně certifikáty; buď pomocí nástrojů operačního systému anebo user-friendly aplikace Kartové centrum

Pracovníci Monet+ mají se zprovozněním certifikačních služeb v doméně dlouholeté zkušenosti a jsou připraveni poskytnout konzultace či pomoc s tímto tématem.

Jak nainstaluji čtečku čipových karet?

Moderní operační systémy Windows (Windows Vista a novější) s přístupem ke službě Windows Update jsou schopny v řadě případů provést instalaci ovladače čtečky automaticky po připojení zařízení do příslušného portu počítače (USB). Pokud tento postup z různých příčin není funkční, je nutné provést instalační postup doporučovaný výrobcem čtečky.  Instalační postup je uveden na stránkách výrobce .

Volitelnou součástí dodávky řešení ProID+ jsou čtečky od firmy Gemalto. Aktuální ovladače k těmto čtečkám jsou dostupné na internetových stránkách výrobce https://supportportal.gemalto.com/csm

Jak nainstaluji ovládací software karty ProID+?

Software ProID+ je dodáván ve formě grafického instalačního průvodce, který je spolu s instrukcemi součástí instalačního balíčku ProID+. Instrukce k instalaci najdete na www.proid.cz/navody

Instalační balíčky pro všechny podporované platformy operačních systémů jsou dostupné na www.proid.cz/ke-stazeni

Pro hromadnou a bezobslužnou instalaci mohou správcové informačních systémů použít instalační balíčky ve formátu MSI – viz: http://support.microsoft.com/kb/816102

Proč ukládat certifikáty na kartu?

Ke každému certifikátu patří, mimo jiné, také soukromý klíč. Soukromý klíč reprezentuje elektronickou identitu držitele v elektronických systémech. Držitel certifikátu musí mít svůj soukromý klíč pod svou výhradní kontrolou.

Zcizení (zkopírování) klíče umožní jinému subjektu vydávat se za držitele certifikátu, např.

  • přihlašování do systémů na cizí účet (účet držitele certifikátu),
  • elektronické podepisování podvržených e-mailů a dokumentů jménem držitele certifikátu
  • dešifrování dat držitele certifikátu

Při běžném uložení certifikátu a soukromého klíče v souborovém systému počítače je klíč vystaven vysokému riziku zkopírování a následnému zneužití.

Čip karty ProID+ i ProID+Q je vybaven výkonným kryptografickým koprocesorem. Díky   němu může provádět veškeré operace se soukromým klíčem uvnitř čipu. Soukromý  klíč, uložený na kartě, nikdy neopustí bezpečné prostředí čipu. Karta nedisponuje funkcemi, které by umožnily exportovat či kopírovat soukromé klíče. Navíc je vybavena bezpečnostními mechanismy, odolnými před sofistikovanými mechanickými či elektromagnetickými útoky na obsah čipu. 

V případě karty ProID+ je použití soukromého klíče podmíněno zadáním platné hodnoty PIN. Po třech po sobě jdoucích nesprávných zadání PIN se operace se soukromými klíči zablokují. Tento mechanismus chrání obsah karty před zcizením (bez znalosti PIN nelze klíče zneužít).

V případě karty ProID+Q je použití soukromého klíče podmíněno zadáním platné hodnoty QPIN. Po třech po sobě jdoucích nesprávných zadání QPIN se operace se soukromými klíči zablokují. Tento mechanismus chrání obsah karty před zcizením (bez znalosti QPIN nelze klíče zneužít).

Další obrovskou výhodou čipové karty je mobilita; držitel karty si může své klíče vzít kamkoli (a bezpečně) s sebou. Může je používat v různých počítačích a přitom má své klíče (fyzicky) pod kontrolou – neboť neexistuje žádná kopie klíče, pouze originál, uložený v čipu.
Klíče, které jsou chráněné jen (softwarovými) prostředky operačního systému, sice lze exportovat a přenést jinam, ale:

  • Pro běžného uživatele je provedení exportu a následného klíčů dosti komplikovanou záležitostí
  • Klíče pak existují v několika kopiích, držitel je nemá pod kontrolou a musí navíc chránit všechny kopie klíčů

Je možné ukládat na kartu ProID+ certifikáty různých certifikačních autorit?

Na kartu lze ukládat certifikáty různých certifikačních autorit. V jednom čipu mohou být uloženy i certifikáty různého typu, např. šifrovací certifikát vedle kvalifikovaného certifikátu. Kapacita karty ProID+ je dostatečná, takže držitel může mít na své kartě uloženy všechny své klíče s certifikáty. Všechny klíče jsou chráněny stejnou hodnotou PIN.

Kolik certifikátů je možné na kartu uložit?

Karty ProID+ dodávány s úložnou kapacitou pro

  • RSA klíčů 1024 bitů 6x
  • RSA klíčů 2048 bitů 10x

Karty ProID+Q dodávány s úložnou kapacitou pro

  • RSA klíčů/kvalifikovaných max 4096 bitů 4x
  • RSA klíčů/komerčních max 4096 bitů 6x
  • ECC klíčů/kvalifikovaných max 521 bitů 3x
  • ECC klíčů/komerčních max 521 bitů 3

Na každou kartu lze tedy uložit 16 certifikátů.

spravce karty - detail zaplneni

Detailní informace o zaplnění karty lze zobrazit pomocí aplikace Správce karty, kde se po označení karty ve stromové struktuře levého panelu zobrazí v pravém panelu  příslušné informace.

Co je to Expertní mód aplikace Správce karty?

Některé operace s kartou nejsou po spuštění aplikace Správce karty přímo k dispozici. Jedná se například o výmaz objektu. Provádění takových operací je podmíněno aktivací tzv. Expertního módu, což provedete v hlavní nabídce Soubor zatržením položky Expertní mód:

expertni mod

Je možné certifikát z karty vymazat?

Smazání certifikátu z karty je možné  provést pomocí aplikace Správce karty. Výmaz objektů z karty vyžaduje aktivaci Expertního módu Správce karty. Smazání certifikátu neznamená smazání soukromého klíče, spojeného s daným certifikátem. Smazaný certifikát lze na kartu opět importovat (pokud na kartě existuje soukromý klíč certifikátu).

Pro smazání certifikátu je třeba v levém panelu Správce karty označit certifikát, určený ke smazání a poté použít tlačítko Smazání certifikátu.

Správce karty - Smazání certifikátu

Smazání certifikátu z karty je podmíněno zadáním platné hodnoty PIN nebo QPIN karty.

Lze z karty exportovat klíč s certifikátem?

Soukromý klíč nelze z karty exportovat ani kopírovat; to je základní bezpečnostní vlastnost karty ProID+ i ProID+Q.

Certifikát (s veřejným klíčem) lze z karty exportovat pomocí aplikace Správce karty. V levé části okna se zvolí certifikát k exportu a v pravé části se použije volba Export do souboru.

Správce karty – Export certifikátu do souboru

V dalším kroku se zvolí umístění a název souboru a export se provede použitím tlačítka Uložit.

Je možné z karty vymazat klíč s certifikátem?

Soukromý klíč lze smazat z karty pomocí aplikace Správce karty. Spolu s klíčem se z karty automaticky smaže i příslušný certifikát.
Výmaz klíče vyžaduje aktivaci Expertního módu Správce karty a je podmíněn zadáním platné hodnoty PIN/QPIN karty.

Je třeba upozornit, že smazání klíče je nevratná operace. Z karty by měly být mazány pouze klíče a certifikáty, které jsou určeny pro autentizaci a elektronické podepisování. Smazání klíče by mělo následovat až po nahrazení klíče a certifikátu nově vydanou sadou.

Před smazáním klíče šifrovacích certifikátů je potřeba důkladně zvážit, zda existují data, která byla tímto certifikátem zašifrována. Pro dešifrování těchto dat je nutné mít k dispozici daný soukromý klíč. Pokud se šifrovací klíč z karty smaže (a neexistuje záloha) nebude možno data dešifrovat a proto zůstanou navždy nečitelná.

Pro smazání klíče je třeba v levém panelu Správce karty označit klíč a poté použít tlačítko Smazání klíče.

smazani klice

 

Je možné na kartu importovat certifikát uložený v souboru?

Pomocí aplikace Správce karty je možné na kartu ProID+ importovat certifikát společně s jeho soukromým klíčem ze souboru PFX (standardizovaný formát PKCS#12).

V levém panelu Správce karty je třeba označit objekt karty a v pravém panelu zvolit možnost Import pfx:

import klice

Zobrazí se okno pro vyhledání souboru s klíčem.

Po otevření souboru s klíčem  se zobrazí výzva k vložení hesla, kterým je zašifrován soubor s klíčem:

Správce karty – zadání hesla při importu privátního klíče

Po vložení hesla k souboru a potvrzení tlačítkem OK dojde k zobrazení výzvy pro zadání kódu PIN ke kartě a následně uložení klíče s certifikátem na kartu.

Je možné změnit kód PIN, QPIN a PUK karty?

Změna maximálního počtu pokusů zadání hodnoty kódu PIN je možná pouze u karet ProID+. Karty ProID+Q tuto možnost změny nepodporují.

Změna kódu PIN pomocí aplikace Správce Karty

Změnu kódu PIN je možné provést pomocí aplikace Správce karty.  Změna PINu je podmíněna znalostí současné (původní) hodnoty.

V levém panelu se zvolí objekt karty a v pravém panelu se použije tlačítko Změna PINu.

zmena pinu

Dále se zobrazí dialog Změna uživatelského PINU.

Do pole PIN se zadá původní hodnota PINu, do pole Nový PIN se zadá nová hodnota PINu. Novou hodnotu je nutné – pro kontrolu – zopakovat v poli Nový PIN zopakovaný. Po stisku tlačítka Změnit se provede požadovaná změna hodnoty PIN.

zmena kodu PIN

Změna maximálního počtu pokusů zadání hodnoty kódu PIN je možná pouze u karet ProID+.

Změna kódu QPIN pomocí aplikace Správce Karty

Změnu kódu QPIN je možné provést pomocí aplikace Správce karty.  Změna QPINu je podmíněna znalostí současné (původní) hodnoty.

1. V levém panelu se zvolí objekt karty

2. Po kliknutí na tlačítko Více informací se zpřístupní Informace o Počtu pokusů zadání  podpisového pinu. Je zde k dispozici tlačítko Změnit

3. Tlačítko Změnit vyvolá  dialog Změna podpisového pinu (QPINu).

vyvolani dialogu zmena QPIN

Dále se zobrazí dialog Změna podpisového PINU

Do pole PIN se zadá původní hodnota PINu, do pole Nový PIN se zadá nová hodnota PINu. Novou hodnotu je nutné – pro kontrolu – zopakovat v poli Nový PIN zopakovaný. Po stisku tlačítka Změnit se provede požadovaná změna hodnoty PIN.

zmena QPIN

Změna maximálního počtu pokusů zadání hodnoty kódu Podpisového PINu (QPIN) není u karet ProID+Q možná.

Změna kódu PUK pomocí aplikace Správce Karty

Změnu kódu PUK je možné provést pomocí aplikace Správce karty.  Změna PUKu je podmíněna znalostí současné (původní) hodnoty.

V levém panelu se zvolí objekt karty a v pravém panelu se použije tlačítko Změna PUKu.

zmena PUK tlacitko

Dále se zobrazí dialog Změna PUKU.

Do pole PUK se zadá původní hodnota PUKu, do pole Nový PUK se zadá nová hodnota PUKu. Novou hodnotu je nutné – pro kontrolu – zopakovat v poli Nový PUK zopakovaný. Po stisku tlačítka Změnit se provede požadovaná změna hodnoty PUK.

zmena PUK dialog

Změna kódu PIN pomocí OS Windows

Změnu kódu PIN lze provést i pomocí prostředků samotného operačního systému MS Windows.

Proces změny kódu PIN se aktivuje stiskem kláves CTRL+ALT+DELETE, kdy dojde k zobrazení obrazovky tzv. citlivých operací; zde se vybere položka Změnit heslo.

zmena PIN windows 1

Následně zvolit Možnosti přihlášení a vybrat volbu Čipová karta

zmena PIN windows 2 potvrzeni

V dialogu pro změnu kódu PIN se nejprve vloží původní kód PIN a poté se zadá nový kód PIN, který je potřeba pro kontrolu vložit ještě jednou. Změna se potvrdí zvolením ikony se šipkou. Provedení změny je zobrazeno oznámením Pin kód byl úspěšně změněn.

Jak mohu zjistit, co je na kartě uloženo?

Obsah karty ProID+ ProID+Q lze zobrazit pomocí aplikace Správce karty. Po spuštění aplikace je třeba načíst obsah karty tlačítkem Obnovit , popř. funkční klávesou F5. Karta musí být po celou dobu načítání informací zasunuta ve čtečce.

V levém panelu Správce karty se zobrazí v přehledné stromové struktuře důležité objekty:

  • Čtečka čipových karet identifikovaná jejím názvem a pořadovým číslem
  • Karta ProID+ identifikovaná číselným označením karty
  • Uživatelské objekty na kartě – se vážící certifikát

zobrazeni obsahu karty

Jednotlivé objekty lze zvolit pomocí myši a získat tak detailnější informace, které jsou zobrazeny v pravém panelu aplikace.

Je možné použít kartu ProID+ i pro bezkontaktní operace?

Funkce ProID+ jsou implementovány nad kontaktním čipem karty. V případě zájmu však lze kartu ProID+ i ProID+Q dodat jako duální, tzn. že kromě kontaktního nese také bezkontaktní čip. Nad bezkontaktním čipem karty ProID+ pak lze provozovat obvyklé bezkontaktní systémy, jako jsou např. docházkové, stravovací systémy anebo ochrana fyzického přístupu do prostor organizace.

Detailní specifikace karty ProID+Q je dostupná na www.proid.cz/techspec

K čemu slouží administrační karta ProID+?

Jedná se o čipovou kartu ProID+, na které je, na rozdíl od uživatelských karet, uložen specifický autorizační klíč. Pomocí tohoto administračního klíče lze autorizovat správcovské operace, jako například odblokování PIN či recyklaci karty.

Co je proces recyklace karty ProID+?

Recyklace je proces, kdy se čipové kartě:

  • Kompletně vymaže obsah čipu
  • Nastaví nové hodnoty PIN a PUK – na výchozí hodnoty dle konfigurace
  • Odebere v evidenci držitel karty

Výsledkem recyklace je tedy prázdná karta, která nemá v evidenci uvedeného držitele a má nastaveny výchozí hodnoty PIN a PUK.

Co  je proces repersonalizace karty ProID+Q?

Repersonalizace je proces, kdy se po zablokování přístupových kódů PUK, PIN a QPIN na čipové kartě ProID+Q provede proces její opětovné inicializace. Při této operaci dojde ke smazání veškerého obsahu a jsou nastaveny nové přístupové kódy PUK, PIN a QPIN. Karta také dostane nové číslo karty CLN. Takto nově inicializovaná karta má vlastnosti nové karty bez jakéhokoliv předchozího obsahu a lze jí znova plnohodnotně používat.

Repersonalizaci karet ProID+ a ProID+Q může provést pouze Monet+, a.s..

 

Problémy a jejich řešení

Čtečka čipových karet nefunguje a není uvedena ve Správci zařízení

Běžně dodávané čtečky jsou zařízení typu Plug and Play, které se po připojení k portu počítače zobrazí v seznamu Správce zařízení Windows. V případě, že je v systému instalován vhodný ovladač, je tento přiřazen tomuto zařízení a čtečka je uvedena v sekci Čtečky karet Smart Card. V případě nenalezení vhodného ovladače je zařízení uvedeno s výstražným symbolem v sekci  na instalaci vhodného ovladače .

Pokud je tedy čtečka v pořádku a je instalován kompatibilní ovladač, je uvedena ve Správci zařízení Windows ve dvou sekcích:

  • Řadiče USB – jako hardwarové zařízení na USB rozbočovači
  • Čtečky karet Smart Card – jako zařízení podporující standard PC/SC

Správce zařízení – korektně instalovaná čtečka

V případě, že systém Windows nenalezne vhodný ovladač čtečky, je nutné jej instalovat ručně Aktuální ovladače ke čtečkám jsou dostupné na internetových stránkách výrobce.

Pokud čtečka po připojení k portu PC není uvedena ve Správci zařízení, doporučuje se provést následující kroky:

  • zapojit čtečku do jiného USB portu
  • při zapojení vynechat jakékoli další prvky, jako například USB HUB nebo prodlužovací kabel USB
  • vyměnit čtečku za jiný kus

Dioda čtečky čipových karet po připojení nesvítí

Většina dostupných čteček je vybavena diodou, která signalizuje stav čtečky. Pokud se tato dioda po připojení čtečky k portu počítače nerozsvítí, jsou pravděpodobně čtečka nebo její kabel fyzicky poškozeny. V takovém případě je vhodné kontaktovat dodavatele zařízení a konzultovat s ním další postup.

Karta ProID+Q od PostSignum (česká pošta)

Řešení problémových stavů karty ProID+Q pro zákazníky PostSignum je popsáno v jejich uživatelské příručce, která je dostupná na internetových stránkách PostSignum.

http://www.postsignum.cz/files/proid/ProIDQ_manual_1_0.pdf

http://www.postsignum.cz/proid_q.html

Další informace získáte také na zákaznické podpoře PostSignum. http://www.postsignum.cz/zakaznicka_podpora.html

Správce karty hlásí, že není dostupná žádná čtečka čipových karet

Předpoklady pro správné fungování čtečky ve Správci zařízení jsou:

  • Čtečka je viditelná ve Správci zařízení v sekci Čtečky karet Smart Card
  • V počítači je funkční PC/SC rozhraní

ProID+ využívá ke komunikaci s čtečkami čipových karet standardizované rozhraní PC/SC (Personal Computer/Smart Card). Toto rozhraní je již ve všech podporovaných verzích Windows dostupné. Aby mohl ovládací software ProID+ se čtečkou pracovat, musí být čtečka přes toto rozhraní dostupná. Registraci zařízení na PC/SC zprostředkovává ovladač čtečky.

Pro správné fungování PC/SC musí být spuštěna systémová služba Čipová karta (Karta Smart Card, Smart Card).

Přehled služeb OS Windows
Přehled služeb OS Windows

Systémová služba Čipová karta ve stavu Zastaveno
Systémová služba Čipová karta ve stavu Zastaveno

Systémová služba Čipová karta v korektním stavu
Systémová služba Čipová karta v korektním stavu

Mám problém se zobrazením obsahu karty v aplikaci správce karty

V případě, že lze vyloučit chybu hardware, je nutné prověřit softwarovou část instalace.

Software ProID+

Pro vyloučení možnosti, že  příčinou problémů je nefunkční software ProID+, je doporučeno provést jeho re-instalaci následovně:

  • odinstalace software ProID+
  • restart počítače
  • nová instalace software ProID+

Instrukce k instalaci obsahuje dokument pdf, který je dostupný na www.proid.cz/navody

Konfliktní stav s jiným PKI klientským software

V případě, že je již na počítači nainstalován jiný PKI klientský software a současně ještě není nainstalován software ProID+, může nastat situace, kdy při vložení karty ProID+ nebo ProID+Q dojde při pokusu o přečtení karty k mylnému užití dříve nainstalovaného (nesprávného) software, což skončí chybou. Pro odstranění problému je třeba provést následující kroky:

  • odinstalace software jiného (kolidujícího) PKI klienta
  • restart počítače
  • instalace software ProID+
  • vložení karty ProID+ nebo ProID+Q , spuštění Správce karty a načtení obsahu karty
  • instalace software jiného PKI klienta

Mám problém s použitím certifikátu  (přihlášení, podpis, šifrování vlastních dat)

Podmínky pro přihlášení do systému

Možnost přihlášení čipovou kartou do systému Windows je podmíněna následujícími body:

  • počítač i uživatel jsou součástí Active Directory (domény)
  • řadič domény (server) má vystaven certifikát s účelem Řadič domény (většinou proběhne automaticky do několika hodin po zprovoznění CA)
  • uživatelský certifikát je vystaven doménovou certifikační autoritou a je vystaven dle šablony, která ve svých vlastnostech podporuje použití certifikátu pro Přihlášení čipovou kartou
  • Při použití komerční certifikační autority je nutné zavést její certifikát jako důvěryhodný v celé doméně, viz http://support.microsoft.com/kb/281245

Podmínky pro podpis dokumentu

Pro  podepsání dokumentu certifikátem je vyžadováno následující:

  • uživatel vlastní certifikát, mezi jehož účely použití patří, mimo jiné, elektronický podpis; tento certifikát by měl být uložen na kartě ProID+ nebo ProID+Q.
  • aplikace, ve které se bude podepisovat dokument, má v úložišti certifikátů k dispozici certifikát vydávající certifikační autority a důvěřuje mu pro dané účely.

U aplikací Microsoft (MS Office) se jedná o systémové úložiště certifikátů – postup importu certifikátu kořenové certifikační autority je popsán v části (Jak naimportuji certifikát kořenové certifikační autority do systémového úložiště windows), zatímco aplikace jiných výrobců, např. Mozilla nebo Adobe, požívají svá vlastní úložiště – postup importu certifikátu kořenové certifikační autority je popsán v části (Jak naimportuji certifikát certifikační autority do úložiště aplikací mozilla firefox nebo thunderbird?)

Podmínky pro šifrování dokumentu

Podmínky pro schopnost zašifrování dokumentu jsou identické s podmínkami pro podpis dokumentu:

  • uživatel vlastní certifikát, mezi jehož účely použití patří, mimo jiné, šifrování dat; tento certifikát by měl být uložen na kartě ProID+ nebo ProID+Q.
  • aplikace, pomocí které bude dokument šifrován, má v úložišti certifikátů k dispozici certifikát vydávající certifikační autority a důvěřuje mu pro dané účely.
    U aplikací Microsoft (MS Office) se jedná o systémové úložiště certifikátů – postup importu certifikátu kořenové certifikační autority je popsán v části (Jak naimportuji certifikát kořenové certifikační autority do systémového úložiště windows), zatímco aplikace jiných výrobců, např. Mozilla nebo Adobe, požívají svá vlastní úložiště – postup importu certifikátu kořenové certifikační autority je popsán v části (Jak naimportuji certifikát certifikační autority do úložiště aplikací mozilla firefox nebo thunderbird?)

Ověření účelu použití, platnosti a cesty certifikátu

V případě potíží s použitím certifikátu je doporučeno provést následující:

  • přihlášení do systému běžným způsobem a zobrazení obsahu karty v aplikaci Správce karty:

Správce karty - Zobrazení obsahu karty

  • zobrazení vlastností uživatelského certifikátu, který slouží pro daný účel (přihlášení čipovou kartou, digitální podpis nebo šifrování);
  • ověření platnosti jeho cesty (1) , registrace v systému (2), účelu použití (3) a zobrazení detailních informací (4):

Správce karty – informace o certifikátu

Správce karty – informace o certifikátu 2

Pokud v zobrazených informacích není všechno v pořádku, problémy mohou být následující:

Nelze ověřit cestu certifikátu

Nejčastější příčinou je v systému nepřítomný (nezaregistrovaný) certifikát certifikační autority, která daný certifikát uživateli vydala; v detailech certifikátu se tato skutečnost projeví následovně:

Správce karty – cesta k certifikátu

V doménovém prostředí Active Directory je distribuce certifikátu certifikační autority automatická a mohlo by pomoci restartování počítače, jinak je nutné provést import certifikátu ručně – postup importu certifikátu kořenové certifikační autority je popsán dále.

Certifikát není zaregistrován v systému

Pro použití službami operačního systému musí být certifikát registrován. Pro registraci certifikátu lze použít funkci Registrace certifikátu přímo ve Správci karty.

Správce karty – registrace certifikátu

Certifikát nesplňuje požadovaný účel použití

V seznamu Rozšíření certifikátu chybí požadovaný účel (přihlášení čipovou kartou, digitální podpis, šifrování). V případě, že organizace využívá vlastní certifikační autoritu v doméně MS Windows, je možno definovat účely, pro které lze certifikát použít, pomocí šablon certifikátů; bližší informace naleznete zde:

http://technet.microsoft.com/cs-cz/library/cc753641%28v=ws.10%29.aspx

U komerčních certifikačních autorit je nutné účely (např. digitální podpis, šifrování, řadič domény), pro které bude možné vystavený certifikát použít, prověřit ve fázi výběru vhodné certifikační autority.

Certifikátu vypršela platnost

Každý certifikát má časově omezenou platnost. Certifikát, jemuž vypršela platnost, nelze použít k provádění aktivních elektronických operací.

V tomto případě je nutné zažádat o vystavení nového certifikátu.

Jak naimportuji certifikát kořenové certifikační autority do systémového úložiště windows?

K importu certifikátu kořenové CA je potřebný soubor s certifikátem – ten lze získat na tzv. distribučních místech certifikační autority; u komerčních autorit je to přímo na jejich webových stránkách. Import zahájíte dvojkliknutím  na soubor s certifikátem a v následně otevřeném okně použitím tlačítka Nainstalovat certifikát. Dojde ke spuštění Průvodce importem certifikátu, kde se na první obrazovce zvolí úložiště Místní počítač, na druhé obrazovce se zatrhne možnost „Všechny certifikáty umístit v následujícím úložišti“ a stiskne se tlačítko Procházet. V následně zobrazeném seznamu úložišť se zvolí úložiště „Důvěryhodné kořenové certifikační autority“, potvrdí OK a pokračuje stiskem tlačítka Další a Dokončit. Obsluha je vyzvána k potvrzení importu, (potvrdit tlačítkem Ano);  na závěr se zobrazí informace o úspěšném importu.

Průběh importu certifikátu kořenové CA

 

Jak nastavím MS Outlook pro posílání šifrovaných zpráv

Posílání šifrovaných zpráv je dvoustranný proces. Na straně odesílatele dojde k zašifrování zprávy veřejným klíčem příjemce uvedeným v jeho certifikátu. Příjemce po obdržení takové zprávy zjistí, jakým certifikátem byla tato zpráva zašifrována. V případě, že vlastní příslušný privátní klíč, je schopen zprávu dešifrovat.

Zpráva je však zároveň zašifrována veřejným klíčem odesílatele, aby mohl odesílatel tuto zprávu později dešifrovat ve složce Odeslaná pošta.

Aby bylo možné odeslat zašifrovanou zprávu, je tedy nutné vlastnit šifrovací certifikát příjemce (certifikát disponuje rozšířením Šifrování klíče a Ochrana emailů) a zároveň disponovat vlastním šifrovacím certifikátem (certifikátem odesílatele).

MS Outlook používá šifrovací certifikáty příjemců z úložiště certifikátů Windows ze sekce Ostatní uživatelé.  Úložiště certifikátů je dostupné pomocí nástroje MMC konzole (Start -> Spustit -> certmgr.msc).

Programy jiných výrobců, než Microsoft (např. Mozilla Thuderbird ), většinou používají své vlastní úložiště certifikátů, do kterého je nutné naimportovat potřebné certifikáty ještě před jejich použitím.

Bližší informace k nastavení poštovního programu MS Outlook obsahuje článek:

http://office.microsoft.com/en-us/mac-outlook-help/send-a-digitally-signed-or-encrypted-message-HA102928381.aspx?CTT=5&origin=HA102928229

Ztratil/Zapomněl jsem PIN k čipové kartě ProID+

PIN (Personal Identification Number) je sada alfanumerických znaků, která autorizuje přístup k chráněným objektům na kartě (soukromých klíčů). Bez znalosti PINu nelze kartu použít (ani zneužít).

V případě ztráty nebo zablokování PINu lze na kartě nastavit novou hodnotu kódu PIN. Tuto operaci je však nutné autorizovat. Autorizaci lze provést:

1. Kódem PUK (Pin Unblocked Key) – dodaným uživateli spolu s kartou ProID+

2. Administračním klíčem, uloženým na administrační kartě. (Administrační klíč se používá jen na kartách ProID+, určeným pro použití v rámci organizace. Pro odblokování PIN administračním klíčem je nezbytná aplikace.)

Nový PIN lze nastavit např. v aplikaci Správce karty.

Odblokování kódu PIN – nastavení nové hodnoty kódu PIN pomocí kódu PUK ve Správci karty

Po načtení karty ve Správci karty (tlačítko Obnovit/F5)se v levém panelu označí  karta. V pravém panelu se stiskne tlačítko Odblokování PINu. Do pole PUK se zadá hodnota kódu PUK, dodaného k čipové kartě. Do pole Nový PIN se zadá nová hodnota kódu PIN. Novou hodnotu je nutné pro kontrolu zopakovat v poli Nový PIN zopakovaný.

Správce karty – tlačítko Odblokování PINU

Správce karty – odblokování podpisového PINU (QPIN) pomocí PUK

 

Ztratil/Zapomněl jsem Podpisový pin (QPIN) k čipové kartě ProID+Q

PIN (Personal Identification Number) je sada alfanumerických znaků, která autorizuje přístup k chráněným objektům na kartě (soukromých klíčů). Bez znalosti PINu nelze kartu použít (ani zneužít).

PIN pro kvalifikované elektronické podpisy (QPIN) – slouží ke schvalování kvalifikovaného elektronického podpisu.
Používá se při každém vytváření kvalifikovaného elektronického podpisu.

V případě ztráty nebo zablokování QPINu lze na kartě nastavit novou hodnotu kódu QPIN. Tuto operaci je však nutné autorizovat. Autorizaci lze provést:

  • Kódem PUK (Pin Unblocked Key) – dodaným uživateli spolu s kartou ProID+

Nový QPIN lze nastavit např. v aplikaci Správce karty.

Odblokování kódu QPIN – nastavení nové hodnoty kódu QPIN pomocí kódu PUK ve Správci karty

Odblokování kódu QPIN je možné provést pomocí aplikace Správce karty. 

1. V levém panelu se zvolí objekt karty

2. Po kliknutí na tlačítko Více informací se zpřístupní Informace o Počtu pokusů zadání  podpisového pinu. Je zde k dispozici tlačítko Odblokovat

3. Tlačítko Odblokovat vyvolá dialog Odblokování podpisového PINU.

Správce karty – odblokování podpisového PINU (QPIN)

 

Dále se zobrazí dialog Odblokování podpisového PINU

Do pole PUK se zadá hodnota PUKu, do pole Nový PIN se zadá nová hodnota QPIN

Novou hodnotu QPIN je nutné – pro kontrolu – zopakovat v poli Nový PIN zopakovaný. Po stisku tlačítka Odblokovat se provede požadovaná změna hodnoty QPIN.

Správce karty – odblokování podpisového PINU (QPIN) pomocí PUK

 

Jak mohu použít kartu ProID+ v aplikacích Mozilla Firefox nebo Thunderbird?

Webový prohlížeč Mozilla Firefox i poštovní klient Thunderbird mají zabudovanou podporu pro práci s bezpečnostními certifikáty. Jako úložiště klíčů a certifikátů umožňují použít čipovou kartu ProID+ prostřednictvím standardizovaného modulu PKCS#11 (též nazývaný Cryptoki). Tento modul je součástí standardního instalačního balíčku a má formu dynamicky linkované knihovny (DLL). Jeho jméno je proidcm11.dll a je instalován do systémového adresáře.

Modul přidaný v aplikaci Mozilla Firefox není automaticky dostupný v Thunderbird a naopak. Pro každou aplikaci je nutné registrovat modul samostatně.

Před použitím je nutné modul zaregistrovat. To lze provést v menu příslušné aplikace.

  • Firefox: Nástroje – Možnosti – Soukromí a zabezpečení – Certifikáty – Bezpečnostní zařízení.
  • Thunderbird: Nástroje – Možnosti – Rozšířené – Certifikáty – Bezpečnostní zařízení.

Firefox – Správce bezpečnostních zařízení

Správce bezpečnostních zařízení zobrazuje seznam všech registrovaných modulů. Další modul lze přidat stiskem tlačítka Načíst. Do pole Jméno modulu se vyplní  libovolný název (např. ProID+). Do pole Název souboru modulu se zapíše proidcm11.dll. V případě použití karty ProID+Q použijte soubor proidqcm11.dll.

Firefox – registrace PKCS11 modulu ProID+Q

Alternativně lze modul vybrat pomocí tlačítka Procházet v systémovém adresáři (standardně C:\Windows\System32).

Po stisku tlačítka OK aplikace zobrazí modul ProID+ P11 ve stromu informuje o výsledku přidání modulu.

Firefox – informace o přidaném modulu ProID+

Použitím volby Přihlásit a vložením kódu PIN se stav modulu změní na Přihlášen.

Firefox – Přihlášení k bezpečnostnímu zařízení

Správce bezpečnostních zařízení se uzavře stiskem tlačítka OK.  Tímto je aplikace připravena k používání karty ProID+.

Firefox/Thunderbird hlásí, že certifikát není důvěryhodný

Zjednodušeně lze říci, že certifikát je pro danou aplikaci důvěryhodný, pokud je certifikát certifikační autority uveden v seznamu důvěryhodných certifikátů a nastaven příznak důvěryhodnosti pro danou množinu použití. Mozilla Firefox ani Thunderbird nepoužívají úložiště certifikátů Windows, proto je nutné importovat certifikáty certifikačních autorit do jejich lokálních úložišť. Každá z aplikací si spravuje tato úložiště samostatně.  Import certifikátu do úložiště Firefox neovlivní obsah úložiště Thunderbird a naopak.

Jak naimportuji certifikát certifikační autority do úložiště aplikací Mozilla Firefox nebo Thunderbird?

Import certifikátů certifikační autority lze provést v menu příslušné aplikace:

  • Firefox: Nabídka Nástroje – Možnosti – Rozšířené – Certifikáty
  • Thunderbird: Nabídka Úpravy – Předvolby – Rozšířené – Certifikáty – Certifikáty

Zobrazí se okno s názvem Správce certifikátů. Vybere se záložka Autority a stiskněte tlačítko Importovat.

Firefox – import certifikátů CA

V počítači vyhledejte soubor obsahující certifikát vydávající certifikační autority, označte jej a stiskněte tlačítko Otevřít.

Firefox – výběr certifikátu CA k importu¨

Před potvrzením importu certifikátu se současně zvolí účel, pro který je certifikát důvěryhodný.

Firefox – stažení certifikátu CA

Import se dokončí stiskem tlačítka OK a opět OK. Pokud se používají certifikáty více certifikačních autorit, je nutné postup opakovat pro každou certifikační autoritu zvlášť.

Chci použít kartu ProID+ v aplikaci Adobe Reader

Koncepce použití karty ProID+ a bezpečnostních certifikátů v Adobe Reader do značné míry kopíruje koncept použití ve Firefox nebo Thunderbird.

Jednotlivé kroky vedoucí ke zprovoznění podpory ProID+ v Adobe Readeru jsou však mírně odlišné.

Ve výchozím nastavení má Adobe Reader zapnut tzv. Chráněný režim. Tento režim omezuje přístup souborů PDF do systému, čímž chrání Windows před škodlivými kódy, které by mohly modifikovat součásti operačního systému. Toto omezení však znemožňuje přístup aplikace k modulu PKCS#11. Pro správnou funkčnost modulu je tedy nutné Chráněný režim deaktivovat. Deaktivace Chráněného režimu může zvýšit riziko infikace systému škodlivým kódem!

V hlavní nabídce se zvolí menu Úpravy – Předvolby – Zabezpečení (Rozšířené) a zruší se zatržení u pole Zapnout po spuštění chráněný režim. Deaktivace se potvrdí stiskem tlačítka Ano. Proces se dokončí stiskem tlačítka OK a restartem aplikace.

Adobe Reader – vypnutí ochrany (Sandbox)

Po opětovném spuštění se zvolí v hlavní nabídce Úpravy – Předvolby – Podpisy – Identity a důvěryhodné certifikáty – tl. Další. Zobrazí se okno Nastavení digitálních identifikátorů a důvěryhodných certifikátů. Označí se položka Moduly a tokeny PKCS#11 a stiskne se tlačítko Připojit modul.

Adobe Reader – správa modulů PKCS11

V případě karty ProID+ se v počítači vyhledá soubor proidcm11.dll. Pokud používáte kartu ProID+Q, tak vyhledejte soubor proidqcm11.dll (instaluje se do systémového adresáře, standardně v C:\Windows\System32\) a stiskne se tlačítko Otevřít.

Adobe Reader – výběr knihovny PKCS11 modulu

Po uzavření okna Nastavení digitálních identifikátorů se stiskne tlačítko OK. Restartuje se aplikace Adobe Reader a poté je třeba znovu otevřít okno Nastavení digitálních identifikátorů, zvolit modul Monet+  MiniDriver PKCS#11 a použít tlačítko Přihlásit se.

Adobe Reader – připojený modul ProID+Q PKCS11

Na vyžádání je třeba přihlásit se k čipové kartě: zadat  PIN. Stav tokenu ProID+ by se pak měl změnit na Přihlášený.

Adobe Reader – přihlášení k bezpečnostnímu zařízení

Stejně jako v aplikacích Firefox a Thunderbird je nutné provést import certifikátu CA; ve stejném okně je třeba zvolit položku Důvěryhodné certifikáty a provést import certifikátu CA tlačítkem Importovat.

Chci pracovat v terminálovém sezení Vzdálené plochy s lokálně připojenou čtečkou

Systém Windows umožňuje zpřístupnit lokálně připojenou čtečku/kartu vzdálenému počítači pomocí terminálového připojení Vzdálená plocha. Toto zpřístupnění (propagace) je ve výchozím nastavení vypnuto.

Použití čtečky na vzdáleném počítači je podmíněno instalací ovladače čtečky a spuštěnou službou Čipová karta na lokálním počítači (počítač s fyzicky připojenou čtečkou). Na vzdáleném počítači musí být instalován software ProID+. Pokud se karta ProID+ používá pouze v sezení Vzdálené plochy, není nutná instalace software ProID+ na lokálním PC.

Po spuštění klienta Vzdálené plochy (mstsc.exe) se stiskne tlačítko Možnosti.

Připojení ke vzdálené ploše

Následně se zvolí záložka Místní prostředky a stiskne se tlačítko Další.

Připojení ke vzdálené ploše - nastavení

V sekci Místní zařízení a prostředky se zatrhne/ověří zatržení položky Karty Smart Card.

Připojení ke vzdálené ploše – místní zařízení a prostředky

Po připojení se na vzdálenou plochu lze ověřit správnou funkčnost načtením obsahu karty ve Správci karty (tlačítko Obnovit).

Chci pracovat v terminálovém sezení Vzdálené plochy se čtečkou připojenou ke vzdálenému PC

Tento způsob použití není v aplikaci Vzdálená plocha podporován.

Čipová karta slouží k uložení bezpečnostně citlivých dat, které mají být ve zvýšené míře chráněna. Jako s takovou musí být s kartou i nakládáno. Není vhodné ponechávat kartu bez dozoru. Což je mj. důvod, proč není tento koncept podporován.