FAQ – Nejčastější dotazy

eIDAS je nařízení Evropského parlamentu a Rady o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním evropském trhu. Toto nařízení ruší směrnici Evropské unie 1999/93/EC. Aktuální a platná verze eIDAS byla publikována Evropským parlamentem a Evropskou radou dne 23. července 2014.

Nařízení eIDAS v ČR v oblasti služeb vytvářejících důvěru doplňuje již platný zákon č. 297/2016 Sb. a doprovodný zákon č. 298/2016 Sb. Zákon o elektronické identifikaci byl přijat pod č. 250/2017 Sb. s účinností od 1.7.2018.

Nařízení dohlíží na elektronickou identifikaci a důvěryhodné služby pro elektronické transakce na vnitřním trhu Evropské unie. Upravuje elektronické podpisy, elektronické transakce, definuje zúčastněné subjekty a procesy, aby zajistila bezpečnost pro uživatele podnikající on-line, například při elektronickém převodu finančních prostředků nebo při komunikaci s veřejnými službami. Nařízení EIDAS umožňuje bezpečně a pohodlně provádět transakce přes hranice bez užití tradičních papírových metod, jako jsou pošta nebo fax.

Nařízení vytvořilo standardy pro elektronické podpisy, kvalifikované digitální certifikáty, elektronické pečeti, časová razítka a další způsoby ověření autentizačních mechanismů. Ty umožňují, aby elektronická transakce měla stejné právní postavení jako transakce prováděná na papíře.

Na webových stránkách ministerstva vnitra je k dispozici Kmenový i změnový zákon. https://www.mvcr.cz/clanek/informace-k-pouzivani-elektronickeho-podpisu.aspx

Instalační balíčky pro všechny podporované platformy operačních systémů jsou dostupné na www.proid.cz/podpora. Pro OS Windows jsou k dispozici jazykové lokalizace (v současné době čeština [CZ] anebo angličtina [EN]).

Ke zprovoznění produktu ProID+ je potřeba:

• Počítač se systémem MS Windows Vista nebo novějším (verze pro Linux a MacOS jsou dostupné na vyžádání)
• Čtečku čipových karet, která odpovídá standardu PC/SC
• Čipovou kartu ProID+ nebo ProID+Q
• Alespoň jeden pár klíčů s certifikátem, uloženými v čipu karty
• Ovládací software karty ProID+ / ProID+Q

Řešení ProID+ nabízí dvě varianty čipových karet:

Karta ProID+Q

Kontaktní QSCD čipová karta s personalizovanou PKI aplikací. Čipové karty lze dodat ve formátu ID-1 (velikost bankovní karty) nebo ID-000 (SIM) pro využití v USB nebo Bluetooth tokenech.
Karta ID-1 může mít do těla integrovaný libovolný bezkontaktní čip na technologiích Emarine, DESFire, Mifare, atd.

Na čipové kartě mohou být uloženy certifikáty od různých certifikačních autorit a pro rozmanité účely, včetně kvalifikovaných certifikátů, vydaných akreditovanými poskytovateli (certifikáty budou mít příznak uložení na kvalifikovaném prostředku).

Typické využití Karty ProID+Q:

• Zaručený i kvalifikovaný elektronický podpis dle nejpřísnějších standardů eIDAS.
• Bezpečnost certifikovaného prostředku QSCD
• Poskytuje bezpečnou dvou faktorovou autentizaci
• Elektronické podepisování
• (De-)šifrování

Detailní specifikace karty ProID+Q je dostupná na www.proid.cz/techspec.

Karta ProID+

Kontaktní čipová karta s personalizovanou PKI aplikací. Čipové karty lze dodat ve formátu ID-1 (velikost bankovní karty) nebo ID-000 (SIM) pro využití v USB nebo Bluetooth tokenech.
Karta ID-1 může mít do těla integrovaný libovolný bezkontaktní čip na technologiích Emarine, DESFire, Mifare, atd.

Na čipové kartě mohou být uloženy certifikáty od různých certifikačních autorit a pro rozmanité účely, včetně certifikátů, vydaných akreditovanými poskytovateli (certifikáty nebudou mít příznak uložení na kvalifikovaném prostředku).

Typické využití Karty ProID+:

• Elektronické podepisování
• Poskytuje bezpečnou dvou faktorovou autentizaci
• (De-)šifrování

Detailní specifikace karty ProID+ je dostupná na www.proid.cz/techspec.

Obecně lze použít libovolnou čtečku karet , která podporuje standard PC/SC (většina čteček na trhu jej podporuje) a umožňuje vložení karty v podporovaném formátu. Čipové karty ProID+ a ProID+Q  jsou dodávány v těchto standardizovaných formátech:

a) Klasický formát ID-1 o rozměru 85,60 x 53,98 mm

b) Zmenšený formát ID-000 (SIM) o rozměru 25 x 15 mm

Je z bezpečnostního hlediska vhodnější klasická karta se čtečkou nebo token (SIM)?

Z hlediska poskytované úrovně zabezpečení jsou obě dodávané varianty srovnatelné. Rozdíl je pouze v komfortu manipulace s kartou, kdy při použití čtečky s kartou běžného formátu, může uživatel snadno používat více karet, zatímco token poskytuje větší mobilitu. Detailní specifikace karet ProID+ a ProID+Q je dostupná na www.proid.cz/specifikace-karet-proid.

Způsob získání certifikátu závisí na účelu použití certifikátu:

Pro (osobní) komunikaci s veřejnými institucemi je vhodné nakoupit certifikát od komerční certifikační autority . Některé veřejně dostupné certifikační autority vydávají kvalifikované certifikáty, vhodné pro elektronickou komunikaci se státní správou ČR. (Kvalifikované certifikáty jsou nezcizitelně uloženy s kryptografickými klíči bezpečně v čipu ProID+Q karty.)

Pro zabezpečení dat a komunikace v rámci organizace je asi nejčastějším řešením zprovoznění vlastní (interní) certifikační autority, která je součástí serverového operačního systému Microsoft Windows. Tuto certifikační autoritu lze snadno integrovat do doménového prostředí s Active Directory – viz např.:

http://blogs.technet.com/b/askds/archive/2009/09/01/designing-and-implementing-a-pki-part-i-design-and-planning.aspx

Musím před získáním certifikátu instalovat ProID+?

Pokud má být certifikát uložen na čipové kartě ProID+ nebo ProID+Q, probíhá generování kryptografického klíče v čipu karty. Klíče se generují společně se žádostí o certifikát. Proto je třeba před započetím generování žádosti instalovat a zprovoznit ProID+.

Jak získám certifikát od komerční certifikační autority?

Certifikační autority mají obvykle na svých webových stránkách postupy, které musí žadatel o certifikát provést. Některé z těchto postupů uvádí i zmínky o podpoře uložení certifikátů na čipové karty. Obecně lze postup získání certifikátu na kartu ProID+ a ProID+Q popsat v těchto krocích:

• Prostudování podmínek získání certifikátu (na stránkách zvolené certifikační autority)
• Vygenerování žádosti o certifikát. Pro generování žádosti se obvykle používají příslušné nástroje (aplikace nebo webové stránky dané certifikační autority). V průběhu generování žádosti jsou generovány kryptografické klíče, pro generování klíčů na kartě ProID+ / ProID+Q je nutno zvolit kryptografického poskytovatele Microsoft Base Smart Card Crypto Provider
• Doručení vygenerované žádosti do certifikační autority. Tento krok obvykle zajistí webové stránky certifikační autority automaticky.
• Návštěva kontaktního místa certifikační autority, kontrola osobních dokladů žadatele a vydání certifikátu. (Některé certifikační autority ukládají žadateli certifikát na výměnné médium, jiné zasílají certifikát e-mailem anebo umožní stažení souboru s certifikátem z webových stránek.)
• Import certifikátu na kartu ProID+ / ProID+Q. Pokud certifikační autorita nepodporuje instalaci certifikátu ze své webové stránky, je třeba certifikát importovat na kartu pomocí Správce karty (který je součástí instalace ProID+).
• Importem certifikátu na kartu proces končí; kartu s certifikátem je možno ihned používat.

Správcové organizace, která využívá doménu s Active Directory, mohou velmi jednoduše zprovoznit např. přihlašování do počítačů pomocí karty ProID+ nebo ProID+Q. Stačí provést následující kroky:

• na serverovém operačním systému aktivovat certifikační službu (je součástí operačního systému)
• připravit šablony pro vydání certifikátů (jsou ukládány do Active Directory)
• distribuovat software ProID+ na doménové počítače, např. instalace MSI balíčku ProID+ prostřednictvím doménových politik
• nastavit doménové politiky, spojené s provozem karet (např. zamknutí uživatelské stanice po vyjmutí karty)
• distribuovat karty a vydat na ně certifikáty; buď pomocí nástrojů operačního systému anebo user-friendly aplikace Kartové centrum

Pracovníci Monet+ mají se zprovozněním certifikačních služeb v doméně dlouholeté zkušenosti a jsou připraveni poskytnout konzultace či pomoc s tímto tématem.

Moderní operační systémy Windows (Windows Vista a novější) s přístupem ke službě Windows Update jsou schopny v řadě případů provést instalaci ovladače čtečky automaticky po připojení zařízení do příslušného portu počítače (USB). Pokud tento postup z různých příčin není funkční, je nutné provést instalační postup doporučovaný výrobcem čtečky.  Instalační postup je uveden na stránkách výrobce .

Volitelnou součástí dodávky řešení ProID+ jsou čtečky od firmy Gemalto. Aktuální ovladače k těmto čtečkám jsou dostupné na internetových stránkách výrobce https://supportportal.gemalto.com/csm

Software ProID+ je dodáván ve formě grafického instalačního průvodce, který je spolu s instrukcemi součástí instalačního balíčku ProID+. Instrukce k instalaci najdete na www.proid.cz/navody

Instalační balíčky pro všechny podporované platformy operačních systémů jsou dostupné na www.proid.cz/ke-stazeni

Pro hromadnou a bezobslužnou instalaci mohou správcové informačních systémů použít instalační balíčky ve formátu MSI – viz: http://support.microsoft.com/kb/816102

Ke každému certifikátu patří, mimo jiné, také soukromý klíč. Soukromý klíč reprezentuje elektronickou identitu držitele v elektronických systémech. Držitel certifikátu musí mít svůj soukromý klíč pod svou výhradní kontrolou.

Zcizení (zkopírování) klíče umožní jinému subjektu vydávat se za držitele certifikátu, např.

• přihlašování do systémů na cizí účet (účet držitele certifikátu),
• elektronické podepisování podvržených e-mailů a dokumentů jménem držitele certifikátu
• dešifrování dat držitele certifikátu

Při běžném uložení certifikátu a soukromého klíče v souborovém systému počítače je klíč vystaven vysokému riziku zkopírování a následnému zneužití.

Čip karty ProID+ i ProID+Q je vybaven výkonným kryptografickým koprocesorem. Díky   němu může provádět veškeré operace se soukromým klíčem uvnitř čipu. Soukromý  klíč, uložený na kartě, nikdy neopustí bezpečné prostředí čipu. Karta nedisponuje funkcemi, které by umožnily exportovat či kopírovat soukromé klíče. Navíc je vybavena bezpečnostními mechanismy, odolnými před sofistikovanými mechanickými či elektromagnetickými útoky na obsah čipu.

V případě karty ProID+ je použití soukromého klíče podmíněno zadáním platné hodnoty PIN. Po třech po sobě jdoucích nesprávných zadání PIN se operace se soukromými klíči zablokují. Tento mechanismus chrání obsah karty před zcizením (bez znalosti PIN nelze klíče zneužít).

V případě karty ProID+Q je použití soukromého klíče podmíněno zadáním platné hodnoty QPIN. Po třech po sobě jdoucích nesprávných zadání QPIN se operace se soukromými klíči zablokují. Tento mechanismus chrání obsah karty před zcizením (bez znalosti QPIN nelze klíče zneužít).

Další obrovskou výhodou čipové karty je mobilita; držitel karty si může své klíče vzít kamkoli (a bezpečně) s sebou. Může je používat v různých počítačích a přitom má své klíče (fyzicky) pod kontrolou – neboť neexistuje žádná kopie klíče, pouze originál, uložený v čipu.
Klíče, které jsou chráněné jen (softwarovými) prostředky operačního systému, sice lze exportovat a přenést jinam, ale:

• Pro běžného uživatele je provedení exportu a následného klíčů dosti komplikovanou záležitostí
• Klíče pak existují v několika kopiích, držitel je nemá pod kontrolou a musí navíc chránit všechny kopie klíčů

Na kartu lze ukládat certifikáty různých certifikačních autorit. V jednom čipu mohou být uloženy i certifikáty různého typu, např. šifrovací certifikát vedle kvalifikovaného certifikátu. Kapacita karty ProID+ je dostatečná, takže držitel může mít na své kartě uloženy všechny své klíče s certifikáty. Všechny klíče jsou chráněny stejnou hodnotou PIN.

Karty ProID+ dodávány s úložnou kapacitou pro

• RSA klíčů 1024 bitů 6x
• RSA klíčů 2048 bitů 10x

Karty ProID+Q dodávány s úložnou kapacitou pro

• RSA klíčů/kvalifikovaných max 4096 bitů 4x
• RSA klíčů/komerčních max 4096 bitů 6x
• ECC klíčů/kvalifikovaných max 521 bitů 3x
• ECC klíčů/komerčních max 521 bitů 3

Na každou kartu lze tedy uložit 16 certifikátů.

Detailní informace o zaplnění karty lze zobrazit pomocí aplikace Správce karty, kde se po označení karty ve stromové struktuře levého panelu zobrazí v pravém panelu  příslušné informace.

Některé operace s kartou nejsou po spuštění aplikace Správce karty přímo k dispozici. Jedná se například o výmaz objektu. Provádění takových operací je podmíněno aktivací tzv. Expertního módu, což provedete v hlavní nabídce Soubor zatržením položky Expertní mód:

Smazání certifikátu z karty je možné  provést pomocí aplikace Správce karty. Výmaz objektů z karty vyžaduje aktivaci Expertního módu Správce karty. Smazání certifikátu neznamená smazání soukromého klíče, spojeného s daným certifikátem. Smazaný certifikát lze na kartu opět importovat (pokud na kartě existuje soukromý klíč certifikátu).

Pro smazání certifikátu je třeba v levém panelu Správce karty označit certifikát, určený ke smazání a poté použít tlačítko Smazání certifikátu.

Smazání certifikátu z karty je podmíněno zadáním platné hodnoty PIN nebo QPIN karty.

Soukromý klíč nelze z karty exportovat ani kopírovat; to je základní bezpečnostní vlastnost karty ProID+ i ProID+Q.

Certifikát (s veřejným klíčem) lze z karty exportovat pomocí aplikace Správce karty. V levé části okna se zvolí certifikát k exportu a v pravé části se použije volba Export do souboru.

V dalším kroku se zvolí umístění a název souboru a export se provede použitím tlačítka Uložit.

Soukromý klíč lze smazat z karty pomocí aplikace Správce karty. Spolu s klíčem se z karty automaticky smaže i příslušný certifikát.
Výmaz klíče vyžaduje aktivaci Expertního módu Správce karty a je podmíněn zadáním platné hodnoty PIN/QPIN karty.

Je třeba upozornit, že smazání klíče je nevratná operace. Z karty by měly být mazány pouze klíče a certifikáty, které jsou určeny pro autentizaci a elektronické podepisování. Smazání klíče by mělo následovat až po nahrazení klíče a certifikátu nově vydanou sadou.

Před smazáním klíče šifrovacích certifikátů je potřeba důkladně zvážit, zda existují data, která byla tímto certifikátem zašifrována. Pro dešifrování těchto dat je nutné mít k dispozici daný soukromý klíč. Pokud se šifrovací klíč z karty smaže (a neexistuje záloha) nebude možno data dešifrovat a proto zůstanou navždy nečitelná.

Pro smazání klíče je třeba v levém panelu Správce karty označit klíč a poté použít tlačítko Smazání klíče.

Pomocí aplikace Správce karty je možné na kartu ProID+ importovat certifikát společně s jeho soukromým klíčem ze souboru PFX (standardizovaný formát PKCS#12).

V levém panelu Správce karty je třeba označit objekt karty a v pravém panelu zvolit možnost Import pfx:

Zobrazí se okno pro vyhledání souboru s klíčem.

Po otevření souboru s klíčem  se zobrazí výzva k vložení hesla, kterým je zašifrován soubor s klíčem:

Po vložení hesla k souboru a potvrzení tlačítkem OK dojde k zobrazení výzvy pro zadání kódu PIN ke kartě a následně uložení klíče s certifikátem na kartu.

Změna maximálního počtu pokusů zadání hodnoty kódu PIN je možná pouze u karet ProID+. Karty ProID+Q tuto možnost změny nepodporují.

Změna kódu PIN pomocí aplikace Správce Karty

Změnu kódu PIN je možné provést pomocí aplikace Správce karty.  Změna PINu je podmíněna znalostí současné (původní) hodnoty.

V levém panelu se zvolí objekt karty a v pravém panelu se použije tlačítko Změna PINu.

Dále se zobrazí dialog Změna uživatelského PINU.

Do pole PIN se zadá původní hodnota PINu, do pole Nový PIN se zadá nová hodnota PINu. Novou hodnotu je nutné – pro kontrolu – zopakovat v poli Nový PIN zopakovaný. Po stisku tlačítka Změnit se provede požadovaná změna hodnoty PIN.

Změna maximálního počtu pokusů zadání hodnoty kódu PIN je možná pouze u karet ProID+.

Změna kódu QPIN pomocí aplikace Správce Karty

Změnu kódu QPIN je možné provést pomocí aplikace Správce karty.  Změna QPINu je podmíněna znalostí současné (původní) hodnoty.

1. V levém panelu se zvolí objekt karty

2. Po kliknutí na tlačítko Více informací se zpřístupní Informace o Počtu pokusů zadání  podpisového pinu. Je zde k dispozici tlačítko Změnit

3. Tlačítko Změnit vyvolá  dialog Změna podpisového pinu (QPINu).

Dále se zobrazí dialog Změna podpisového PINU

Do pole PIN se zadá původní hodnota PINu, do pole Nový PIN se zadá nová hodnota PINu. Novou hodnotu je nutné – pro kontrolu – zopakovat v poli Nový PIN zopakovaný. Po stisku tlačítka Změnit se provede požadovaná změna hodnoty PIN.

Změna maximálního počtu pokusů zadání hodnoty kódu Podpisového PINu (QPIN) není u karet ProID+Q možná.

Změna kódu PUK pomocí aplikace Správce Karty

Změnu kódu PUK je možné provést pomocí aplikace Správce karty.  Změna PUKu je podmíněna znalostí současné (původní) hodnoty.

V levém panelu se zvolí objekt karty a v pravém panelu se použije tlačítko Změna PUKu.

Dále se zobrazí dialog Změna PUKU.

Do pole PUK se zadá původní hodnota PUKu, do pole Nový PUK se zadá nová hodnota PUKu. Novou hodnotu je nutné – pro kontrolu – zopakovat v poli Nový PUK zopakovaný. Po stisku tlačítka Změnit se provede požadovaná změna hodnoty PUK.

Změna kódu PIN pomocí OS Windows

Změnu kódu PIN lze provést i pomocí prostředků samotného operačního systému MS Windows.

Proces změny kódu PIN se aktivuje stiskem kláves CTRL+ALT+DELETE, kdy dojde k zobrazení obrazovky tzv. citlivých operací; zde se vybere položka Změnit heslo.

Následně zvolit Možnosti přihlášení a vybrat volbu Čipová karta

V dialogu pro změnu kódu PIN se nejprve vloží původní kód PIN a poté se zadá nový kód PIN, který je potřeba pro kontrolu vložit ještě jednou. Změna se potvrdí zvolením ikony se šipkou. Provedení změny je zobrazeno oznámením Pin kód byl úspěšně změněn.

Obsah karty ProID+ ProID+Q lze zobrazit pomocí aplikace Správce karty. Po spuštění aplikace je třeba načíst obsah karty tlačítkem Obnovit , popř. funkční klávesou F5. Karta musí být po celou dobu načítání informací zasunuta ve čtečce.

V levém panelu Správce karty se zobrazí v přehledné stromové struktuře důležité objekty:

• Čtečka čipových karet identifikovaná jejím názvem a pořadovým číslem
• Karta ProID+ identifikovaná číselným označením karty
• Uživatelské objekty na kartě – se vážící certifikát

Jednotlivé objekty lze zvolit pomocí myši a získat tak detailnější informace, které jsou zobrazeny v pravém panelu aplikace.

Funkce ProID+ jsou implementovány nad kontaktním čipem karty. V případě zájmu však lze kartu ProID+ i ProID+Q dodat jako duální, tzn. že kromě kontaktního nese také bezkontaktní čip. Nad bezkontaktním čipem karty ProID+ pak lze provozovat obvyklé bezkontaktní systémy, jako jsou např. docházkové, stravovací systémy anebo ochrana fyzického přístupu do prostor organizace.

Detailní specifikace karty ProID+Q je dostupná na www.proid.cz/techspec

Jedná se o čipovou kartu ProID+, na které je, na rozdíl od uživatelských karet, uložen specifický autorizační klíč. Pomocí tohoto administračního klíče lze autorizovat správcovské operace, jako například odblokování PIN či recyklaci karty.

Recyklace je proces, kdy se čipové kartě:

• Kompletně vymaže obsah čipu
• Nastaví nové hodnoty PIN a PUK – na výchozí hodnoty dle konfigurace
• Odebere v evidenci držitel karty

Výsledkem recyklace je tedy prázdná karta, která nemá v evidenci uvedeného držitele a má nastaveny výchozí hodnoty PIN a PUK.

Repersonalizace je proces, kdy se po zablokování přístupových kódů PUK, PIN a QPIN na čipové kartě ProID+Q provede proces její opětovné inicializace. Při této operaci dojde ke smazání veškerého obsahu a jsou nastaveny nové přístupové kódy PUK, PIN a QPIN. Karta také dostane nové číslo karty CLN. Takto nově inicializovaná karta má vlastnosti nové karty bez jakéhokoliv předchozího obsahu a lze jí znova plnohodnotně používat.

Repersonalizaci karet ProID+ a ProID+Q může provést pouze Monet+, a.s..

Běžně dodávané čtečky jsou zařízení typu Plug and Play, které se po připojení k portu počítače zobrazí v seznamu Správce zařízení Windows. V případě, že je v systému instalován vhodný ovladač, je tento přiřazen tomuto zařízení a čtečka je uvedena v sekci Čtečky karet Smart Card. V případě nenalezení vhodného ovladače je zařízení uvedeno s výstražným symbolem v sekci  na instalaci vhodného ovladače .

Pokud je tedy čtečka v pořádku a je instalován kompatibilní ovladač, je uvedena ve Správci zařízení Windows ve dvou sekcích:

• Řadiče USB – jako hardwarové zařízení na USB rozbočovači
• Čtečky karet Smart Card – jako zařízení podporující standard PC/SC

V případě, že systém Windows nenalezne vhodný ovladač čtečky, je nutné jej instalovat ručně Aktuální ovladače ke čtečkám jsou dostupné na internetových stránkách výrobce.

Pokud čtečka po připojení k portu PC není uvedena ve Správci zařízení, doporučuje se provést následující kroky:

• zapojit čtečku do jiného USB portu
• při zapojení vynechat jakékoli další prvky, jako například USB HUB nebo prodlužovací kabel USB
• vyměnit čtečku za jiný kus

KARTA PROID+Q OD POSTSIGNUM (ČESKÁ POŠTA)

Předpoklady pro správné fungování čtečky ve Správci zařízení jsou:

• Čtečka je viditelná ve Správci zařízení v sekci Čtečky karet Smart Card
• V počítači je funkční PC/SC rozhraní

ProID+ využívá ke komunikaci s čtečkami čipových karet standardizované rozhraní PC/SC (Personal Computer/Smart Card). Toto rozhraní je již ve všech podporovaných verzích Windows dostupné. Aby mohl ovládací software ProID+ se čtečkou pracovat, musí být čtečka přes toto rozhraní dostupná. Registraci zařízení na PC/SC zprostředkovává ovladač čtečky.

Pro správné fungování PC/SC musí být spuštěna systémová služba Čipová karta (Karta Smart Card, Smart Card).

Přehled služeb OS Windows

Systémová služba Čipová karta ve stavu Zastaveno

Systémová služba Čipová karta v korektním stavu

V případě, že lze vyloučit chybu hardware, je nutné prověřit softwarovou část instalace.

Software ProID+

Pro vyloučení možnosti, že  příčinou problémů je nefunkční software ProID+, je doporučeno provést jeho re-instalaci následovně:

• odinstalace software ProID+
• restart počítače
• nová instalace software ProID+

Instrukce k instalaci obsahuje dokument pdf, který je dostupný na www.proid.cz/navody

Konfliktní stav s jiným PKI klientským software

V případě, že je již na počítači nainstalován jiný PKI klientský software a současně ještě není nainstalován software ProID+, může nastat situace, kdy při vložení karty ProID+ nebo ProID+Q dojde při pokusu o přečtení karty k mylnému užití dříve nainstalovaného (nesprávného) software, což skončí chybou. Pro odstranění problému je třeba provést následující kroky:

• odinstalace software jiného (kolidujícího) PKI klienta
• restart počítače
• instalace software ProID+
• vložení karty ProID+ nebo ProID+Q , spuštění Správce karty a načtení obsahu karty
• instalace software jiného PKI klienta

Podmínky pro přihlášení do systému

Možnost přihlášení čipovou kartou do systému Windows je podmíněna následujícími body:

• počítač i uživatel jsou součástí Active Directory (domény)
• řadič domény (server) má vystaven certifikát s účelem Řadič domény (většinou proběhne automaticky do několika hodin po zprovoznění CA)
• uživatelský certifikát je vystaven doménovou certifikační autoritou a je vystaven dle šablony, která ve svých vlastnostech podporuje použití certifikátu pro Přihlášení čipovou kartou
• Při použití komerční certifikační autority je nutné zavést její certifikát jako důvěryhodný v celé doméně, viz http://support.microsoft.com/kb/281245

Podmínky pro podpis dokumentu

Pro  podepsání dokumentu certifikátem je vyžadováno následující:

• uživatel vlastní certifikát, mezi jehož účely použití patří, mimo jiné, elektronický podpis; tento certifikát by měl být uložen na kartě ProID+ nebo ProID+Q.
• aplikace, ve které se bude podepisovat dokument, má v úložišti certifikátů k dispozici certifikát vydávající certifikační autority a důvěřuje mu pro dané účely.

U aplikací Microsoft (MS Office) se jedná o systémové úložiště certifikátů – postup importu certifikátu kořenové certifikační autority je popsán v části (Jak naimportuji certifikát kořenové certifikační autority do systémového úložiště windows), zatímco aplikace jiných výrobců, např. Mozilla nebo Adobe, požívají svá vlastní úložiště – postup importu certifikátu kořenové certifikační autority je popsán v části (Jak naimportuji certifikát certifikační autority do úložiště aplikací mozilla firefox nebo thunderbird?)

Podmínky pro šifrování dokumentu

Podmínky pro schopnost zašifrování dokumentu jsou identické s podmínkami pro podpis dokumentu:

• uživatel vlastní certifikát, mezi jehož účely použití patří, mimo jiné, šifrování dat; tento certifikát by měl být uložen na kartě ProID+ nebo ProID+Q.
• aplikace, pomocí které bude dokument šifrován, má v úložišti certifikátů k dispozici certifikát vydávající certifikační autority a důvěřuje mu pro dané účely.
  U aplikací Microsoft (MS Office) se jedná o systémové úložiště certifikátů – postup importu certifikátu kořenové certifikační autority je popsán v části (Jak naimportuji certifikát kořenové certifikační autority do systémového úložiště windows), zatímco aplikace jiných výrobců, např. Mozilla nebo Adobe, požívají svá vlastní úložiště – postup importu certifikátu kořenové certifikační autority je popsán v části (Jak naimportuji certifikát certifikační autority do úložiště aplikací mozilla firefox nebo thunderbird?)

Ověření účelu použití, platnosti a cesty certifikátu

V případě potíží s použitím certifikátu je doporučeno provést následující:

• přihlášení do systému běžným způsobem a zobrazení obsahu karty v aplikaci Správce karty:

• zobrazení vlastností uživatelského certifikátu, který slouží pro daný účel (přihlášení čipovou kartou, digitální podpis nebo šifrování);
• ověření platnosti jeho cesty (1) , registrace v systému (2), účelu použití (3) a zobrazení detailních informací (4):

Pokud v zobrazených informacích není všechno v pořádku, problémy mohou být následující:

Nelze ověřit cestu certifikátu

Nejčastější příčinou je v systému nepřítomný (nezaregistrovaný) certifikát certifikační autority, která daný certifikát uživateli vydala; v detailech certifikátu se tato skutečnost projeví následovně:

V doménovém prostředí Active Directory je distribuce certifikátu certifikační autority automatická a mohlo by pomoci restartování počítače, jinak je nutné provést import certifikátu ručně – postup importu certifikátu kořenové certifikační autority je popsán dále.

Certifikát není zaregistrován v systému

Pro použití službami operačního systému musí být certifikát registrován. Pro registraci certifikátu lze použít funkci Registrace certifikátu přímo ve Správci karty.

Certifikát nesplňuje požadovaný účel použití

V seznamu Rozšíření certifikátu chybí požadovaný účel (přihlášení čipovou kartou, digitální podpis, šifrování). V případě, že organizace využívá vlastní certifikační autoritu v doméně MS Windows, je možno definovat účely, pro které lze certifikát použít, pomocí šablon certifikátů; bližší informace naleznete zde:

http://technet.microsoft.com/cs-cz/library/cc753641%28v=ws.10%29.aspx

U komerčních certifikačních autorit je nutné účely (např. digitální podpis, šifrování, řadič domény), pro které bude možné vystavený certifikát použít, prověřit ve fázi výběru vhodné certifikační autority.

Certifikátu vypršela platnost

Každý certifikát má časově omezenou platnost. Certifikát, jemuž vypršela platnost, nelze použít k provádění aktivních elektronických operací.

V tomto případě je nutné zažádat o vystavení nového certifikátu.

K importu certifikátu kořenové CA je potřebný soubor s certifikátem – ten lze získat na tzv. distribučních místech certifikační autority; u komerčních autorit je to přímo na jejich webových stránkách. Import zahájíte dvojkliknutím  na soubor s certifikátem a v následně otevřeném okně použitím tlačítka Nainstalovat certifikát. Dojde ke spuštění Průvodce importem certifikátu, kde se na první obrazovce zvolí úložiště Místní počítač, na druhé obrazovce se zatrhne možnost „Všechny certifikáty umístit v následujícím úložišti“ a stiskne se tlačítko Procházet. V následně zobrazeném seznamu úložišť se zvolí úložiště „Důvěryhodné kořenové certifikační autority“, potvrdí OK a pokračuje stiskem tlačítka Další a Dokončit. Obsluha je vyzvána k potvrzení importu, (potvrdit tlačítkem Ano);  na závěr se zobrazí informace o úspěšném importu.

Posílání šifrovaných zpráv je dvoustranný proces. Na straně odesílatele dojde k zašifrování zprávy veřejným klíčem příjemce uvedeným v jeho certifikátu. Příjemce po obdržení takové zprávy zjistí, jakým certifikátem byla tato zpráva zašifrována. V případě, že vlastní příslušný privátní klíč, je schopen zprávu dešifrovat.

Zpráva je však zároveň zašifrována veřejným klíčem odesílatele, aby mohl odesílatel tuto zprávu později dešifrovat ve složce Odeslaná pošta.

Aby bylo možné odeslat zašifrovanou zprávu, je tedy nutné vlastnit šifrovací certifikát příjemce (certifikát disponuje rozšířením Šifrování klíče a Ochrana emailů) a zároveň disponovat vlastním šifrovacím certifikátem (certifikátem odesílatele).

MS Outlook používá šifrovací certifikáty příjemců z úložiště certifikátů Windows ze sekce Ostatní uživatelé.  Úložiště certifikátů je dostupné pomocí nástroje MMC konzole (Start -> Spustit -> certmgr.msc).

Programy jiných výrobců, než Microsoft (např. Mozilla Thuderbird ), většinou používají své vlastní úložiště certifikátů, do kterého je nutné naimportovat potřebné certifikáty ještě před jejich použitím.

Bližší informace k nastavení poštovního programu MS Outlook obsahuje článek:

http://office.microsoft.com/en-us/mac-outlook-help/send-a-digitally-signed-or-encrypted-message-HA102928381.aspx?CTT=5&origin=HA102928229

PIN (Personal Identification Number) je sada alfanumerických znaků, která autorizuje přístup k chráněným objektům na kartě (soukromých klíčů). Bez znalosti PINu nelze kartu použít (ani zneužít).

V případě ztráty nebo zablokování PINu lze na kartě nastavit novou hodnotu kódu PIN. Tuto operaci je však nutné autorizovat. Autorizaci lze provést:

1. Kódem PUK (Pin Unblocked Key) – dodaným uživateli spolu s kartou ProID+

2. Administračním klíčem, uloženým na administrační kartě. (Administrační klíč se používá jen na kartách ProID+, určeným pro použití v rámci organizace. Pro odblokování PIN administračním klíčem je nezbytná aplikace.)

Nový PIN lze nastavit např. v aplikaci Správce karty.

Odblokování kódu PIN – nastavení nové hodnoty kódu PIN pomocí kódu PUK ve Správci karty

Po načtení karty ve Správci karty (tlačítko Obnovit/F5)se v levém panelu označí  karta. V pravém panelu se stiskne tlačítko Odblokování PINu. Do pole PUK se zadá hodnota kódu PUK, dodaného k čipové kartě. Do pole Nový PIN se zadá nová hodnota kódu PIN. Novou hodnotu je nutné pro kontrolu zopakovat v poli Nový PIN zopakovaný.

PIN (Personal Identification Number) je sada alfanumerických znaků, která autorizuje přístup k chráněným objektům na kartě (soukromých klíčů). Bez znalosti PINu nelze kartu použít (ani zneužít).

PIN pro kvalifikované elektronické podpisy (QPIN) – slouží ke schvalování kvalifikovaného elektronického podpisu.
Používá se při každém vytváření kvalifikovaného elektronického podpisu.

V případě ztráty nebo zablokování QPINu lze na kartě nastavit novou hodnotu kódu QPIN. Tuto operaci je však nutné autorizovat. Autorizaci lze provést:

• Kódem PUK (Pin Unblocked Key) – dodaným uživateli spolu s kartou ProID+

Nový QPIN lze nastavit např. v aplikaci Správce karty.

Odblokování kódu QPIN – nastavení nové hodnoty kódu QPIN pomocí kódu PUK ve Správci karty

Odblokování kódu QPIN je možné provést pomocí aplikace Správce karty.

1. V levém panelu se zvolí objekt karty

2. Po kliknutí na tlačítko Více informací se zpřístupní Informace o Počtu pokusů zadání  podpisového pinu. Je zde k dispozici tlačítko Odblokovat

3. Tlačítko Odblokovat vyvolá dialog Odblokování podpisového PINU.

 

Dále se zobrazí dialog Odblokování podpisového PINU

Do pole PUK se zadá hodnota PUKu, do pole Nový PIN se zadá nová hodnota QPIN

Novou hodnotu QPIN je nutné – pro kontrolu – zopakovat v poli Nový PIN zopakovaný. Po stisku tlačítka Odblokovat se provede požadovaná změna hodnoty QPIN.

FIREFOX/THUNDERBIRD HLÁSÍ, ŽE CERTIFIKÁT NENÍ DŮVĚRYHODNÝ

JAK NAIMPORTUJI CERTIFIKÁT CERTIFIKAČNÍ AUTORITY DO ÚLOŽIŠTĚ APLIKACÍ MOZILLA FIREFOX NEBO THUNDERBIRD?

Koncepce použití karty ProID+ a bezpečnostních certifikátů v Adobe Reader do značné míry kopíruje koncept použití ve Firefox nebo Thunderbird.

Jednotlivé kroky vedoucí ke zprovoznění podpory ProID+ v Adobe Readeru jsou však mírně odlišné.

Ve výchozím nastavení má Adobe Reader zapnut tzv. Chráněný režim. Tento režim omezuje přístup souborů PDF do systému, čímž chrání Windows před škodlivými kódy, které by mohly modifikovat součásti operačního systému. Toto omezení však znemožňuje přístup aplikace k modulu PKCS#11. Pro správnou funkčnost modulu je tedy nutné Chráněný režim deaktivovat. Deaktivace Chráněného režimu může zvýšit riziko infikace systému škodlivým kódem!

V hlavní nabídce se zvolí menu Úpravy – Předvolby – Zabezpečení (Rozšířené) a zruší se zatržení u pole Zapnout po spuštění chráněný režim. Deaktivace se potvrdí stiskem tlačítka Ano. Proces se dokončí stiskem tlačítka OK a restartem aplikace.

Po opětovném spuštění se zvolí v hlavní nabídce Úpravy – Předvolby – Podpisy – Identity a důvěryhodné certifikáty – tl. Další. Zobrazí se okno Nastavení digitálních identifikátorů a důvěryhodných certifikátů. Označí se položka Moduly a tokeny PKCS#11 a stiskne se tlačítko Připojit modul.

V případě karty ProID+ se v počítači vyhledá soubor proidcm11.dll. Pokud používáte kartu ProID+Q, tak vyhledejte soubor proidqcm11.dll (instaluje se do systémového adresáře, standardně v C:\Windows\System32\) a stiskne se tlačítko Otevřít.

Po uzavření okna Nastavení digitálních identifikátorů se stiskne tlačítko OK. Restartuje se aplikace Adobe Reader a poté je třeba znovu otevřít okno Nastavení digitálních identifikátorů, zvolit modul Monet+  MiniDriver PKCS#11 a použít tlačítko Přihlásit se.

Na vyžádání je třeba přihlásit se k čipové kartě: zadat  PIN. Stav tokenu ProID+ by se pak měl změnit na Přihlášený.

Stejně jako v aplikacích Firefox a Thunderbird je nutné provést import certifikátu CA; ve stejném okně je třeba zvolit položku Důvěryhodné certifikáty a provést import certifikátu CA tlačítkem Importovat.

Systém Windows umožňuje zpřístupnit lokálně připojenou čtečku/kartu vzdálenému počítači pomocí terminálového připojení Vzdálená plocha. Toto zpřístupnění (propagace) je ve výchozím nastavení vypnuto.

Použití čtečky na vzdáleném počítači je podmíněno instalací ovladače čtečky a spuštěnou službou Čipová karta na lokálním počítači (počítač s fyzicky připojenou čtečkou). Na vzdáleném počítači musí být instalován software ProID+. Pokud se karta ProID+ používá pouze v sezení Vzdálené plochy, není nutná instalace software ProID+ na lokálním PC.

Po spuštění klienta Vzdálené plochy (mstsc.exe) se stiskne tlačítko Možnosti.

Následně se zvolí záložka Místní prostředky a stiskne se tlačítko Další.

V sekci Místní zařízení a prostředky se zatrhne/ověří zatržení položky Karty Smart Card.

Po připojení se na vzdálenou plochu lze ověřit správnou funkčnost načtením obsahu karty ve Správci karty (tlačítko Obnovit).

Tento způsob použití není v aplikaci Vzdálená plocha podporován.

Čipová karta slouží k uložení bezpečnostně citlivých dat, které mají být ve zvýšené míře chráněna. Jako s takovou musí být s kartou i nakládáno. Není vhodné ponechávat kartu bez dozoru. Což je mj. důvod, proč není tento koncept podporován.

Na verzi 10.15.1 není rozhraní tokend funkční. Upgradujte verzi operačního systému na verzi 10.15.2

Pro řešení chyby v instalaci postupujte dle následujícího návodu:

• Stáhněte si soubor z následujícího odkazu: https://drive.google.com/file/d/18IwiowaP7j0txrwjkhJLklrySpzK5AoL
• Stažený soubor obsahuje 10 certifikátů. Tyto certifikáty je potřeba zaregistrovat do počítače.
• Registraci provedete otevřením souboru certifikátu a kliknutím na Nainstalovat certifikát.
• V dalším okně vyberte Místní počítač, následně pak volbu Všechny certifikáty umístit v následujícím úložišti a klikněte na Procházet.
• U certifikátů SHA2_CA_VeriSign Class 3 Public Primary Certification Authority – G5.cer, SHA2_TIME_CA_ VeriSign Universal Root Certification Authority.cer, SHA2_DIGICERT_ROOT.cer, SHA3_DIGICERT_ROOT.cer a SHA2_DIGICERT_TS_ROOT.cer vyberte možnost Důvěryhodné kořenové certifikační autority.
• U certifikátů SHA2_SUBCA_Symantec Class 3 Extended Validation Code Signing CA – G2.cer, SHA2_TIME_SUBCA_Symantec SHA256 TimeStamping CA.cer, SHA2_DIGICERT_SUBCA.cer, SHA3_DIGICERT_SUBCA a SHA2_DIGICERT_TS_SUBCA.cer vyberte možnost Zprostředkující certifikační autority.
• Potvrdíte pomocí OK, poté Další a Dokončit.
• Následně by již instalace měla proběhnout bez problémů.

Operační systém neobsahuje knihovnu libpng a je nutné ji doinstalovat.
Instalaci je možné provést pomocí správce balíků Homebrew https://brew.sh/index_cs
Příkaz pro instalaci repozitáře Homebrew:
/bin/bash -c “$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)”
Příkaz pro instalaci knihovny:
brew install libpng