.

Podpora

INSTALAČNÍ BALÍČKY PROID+/PROID+Q

MS Windows

Balíčky obsahují instalaci ovladačů karet ProID+ i ProID+Q:

Verze 32/64bit Jazyk Soubor s instalačním balíčkem
MS windows Vista a vyšší 32bit CZ ProID+_v2.3.7_cz_x86.msi
MS windows Vista a vyšší 32bit EN ProID+_v2.37_en_x86.msi
MS windows Vista a vyšší 64bit CZ ProID+_v2.3.7_cz_x64.msi
MS windows Vista a vyšší 64bit EN ProID+_v2.3.7_en_x64.msi

Postup instalace ProID+/ProID+Q:

Po stažení instalačního balíčku je třeba soubor spustit a dále postupovat podle instrukcí instalačního průvodce.

Provedení instalace vyžaduje administrátorská práva k operačnímu systému.

Pro plošnou instalaci lze využít nástroje bezobslužné instalace (např. doménové group policy apod…)

Instalační balíček obsahuje knihovny aplikačních rozhraní PKCS#11:

  • PKCS#11 knihovna je určena například pro aplikace Firefox, Thunderbird. Použití knihovny PKCS#11 je v aplikacích nutno nastavit. Knihovny s podporou PKCS#11 jsou uloženy v různých adresářích. Strukturu znázorňuje následující tabulka:
Karta Architektura aplikace
Procesor
Umístění PKCS#11 knihovny
ProID+ 64-bitová X64 C:\Windows\system32\proidcm11.dll
ProID+ 32-bitová X64 C:\Windows\SysWOW64\proidcm11.dll
ProID+Q 64-bitová X64 C:\Windows\system32\proidqcm11.dll
ProID+Q 32-bitová X64 C:\Windows\SysWOW64\proidqcm11.dll
ProID+ 32-bitová X86 (32-bit) C:\Windows\system32\proidcm11.dll
ProID+Q 32-bitová X86 (32-bit) C:\Windows\system32\proidqcm11.dll

Linux

Pro instalaci ProID+ na operační systém Linux jsou k dispozici instalační balíčky pro distribuce Ubuntu, CentOS a RedHat ve formátu .deb a .rpm.

Verze 32/64bit Formát Soubor s instalačním balíčkem
Ubuntu 32bit deb libproidplus-gui_2.2.2-0_i386.deb
Ubuntu 64bit deb libproidplus-gui_2.2.2-0_amd64.deb
CentOS/RedHat 32bit rpm libproidplus-gui-2.2.2-0.i386.rpm
CentOS/RedHat 64bit rpm libproidplus-gui-2.2.2-0.x86_64.rpm

Instalační balíček obsahuje knihovny aplikačních rozhraní PKCS#11:

  • PKCS#11 knihovna je určena například pro aplikace Firefox, Thunderbird. Použití knihovny PKCS#11 je v aplikacích nutno nastavit. Knihovny libproidcm11.so (ProID+) a libproidqcm11.so (ProID+Q) s podporou PKCS#11 jsou uloženy dle typu instalačního balíčku v různých adresářích. Strukturu znázorňuje následující tabulka:
Karta Instalační balíček Umístění PKCS#11 knihovny
ProID+ libproidplus-gui_*_i386.deb /usr/lib/i386-linux-gnu/libproidcm11.so
ProID+Q libproidplus-gui_*_i386.deb /usr/lib/i386-linux-gnu/libproidqcm11.so
ProID+ libproidplus-gui_*_amd64.deb /usr/lib/x86_64-linux-gnu/libproidcm11.so
ProID+Q libproidplus-gui_*_amd64.deb /usr/lib/x86_64-linux-gnu/libproidqcm11.so
ProID+ libproidplus-gui-*.i386.rpm /usr/lib/libproidcm11.so
ProID+Q libproidplus-gui-*.i386.rpm /usr/lib/libproidqcm11.so
ProID+ libproidplus-gui-*.x86_64.rpm /usr/lib64/libproidcm11.so
ProID+Q libproidplus-gui-*.x86_64.rpm /usr/lib64/libproidqcm11.so

Postup instalace ProID+

Po stažení instalačního média je třeba soubor spustit například pomocí balíčkovacího nástroje a dále postupovat dle instrukcí na obrazovce. 

Provedení instalace vyžaduje administrátorská práva k operačnímu systému.

Po dokončení instalace je pro správnou funkci ProID+ doporučen restart OS. 

MAC OS X

Pro instalaci ProID+ na MAC OS X je k dispozici grafický instalační průvodce ve formátu pkg; je určen pro operační systémy MAC OS X 10.9-10.12.

ProID+_2.1.dmg

Instalační balíček obsahuje knihovny aplikačních rozhraní TokenD a PKCS#11:

  • Knihovna TokenD je určena pro nativní aplikace MAC OS X jako jsou například Safari a Mail.
  • PKCS#11 knihovna je určena například pro aplikace Firefox, Chrome, Thunderbird. Použití knihovny PKCS#11 je v aplikacích nutno nastavit. Umístění jednotlivých PKCS#11 knihoven naleznete v následující tabulce.

 

Karta Umístění PKCS#11 knihovny
ProID+ /usr/local/lib/ProIDplus/libproidcm11.dylib
ProID+Q /usr/local/lib/ProIDplus/libproidqcm11.dylib

 

Postup instalace ProID+

Po stažení instalačního média je třeba soubor připojit jako souborový systém (tzv. mount) a z připojeného adresáře spustit soubor ProID+.pkg a dále postupovat dle instrukcí na obrazovce.

Provedení instalace vyžaduje administrátorská práva k operačnímu systému.

Po dokončení instalace je pro správnou funkci ProID+ doporučen restart OS. 

Instalace čteček

Pro práci s ProID+/ProID+Q je třeba mít v operačním systému instalován ovladač používané čtečky čipových karet.

MS Windows

Karty ProID+ pracují se čtečkami, které splňují standard PC/SC. (Většina čteček kontaktních karet tento standard splňuje.) 

Moderní operační systémy MS Windows (Windows Vista a novější) s přístupem ke službě Windows Update jsou schopny v řadě případů provést instalaci ovladače čtečky automaticky po připojení zařízení do USB portu počítače. Pokud tento postup z nějakých příčin není funkční, je nutné instalovat ovladače čtečky postupem doporučovaným výrobcem čtečky. 

ProID+/ProID+Q je standartně dodáváno se čtečkami Gemalto. Aktuální ovladače k těmto čtečkám najdete zde: 

USB čtečky

Bluetooth čtečky

Linux

Karty ProID+ pracují se čtečkami, které splňují standard PC/SC. (Většina čteček kontaktních karet tento standard splňuje.) Podporu PC/SC zajišťuje balíček pcsc-lite, který je k použití čteček nutné doinstalovat. Balíček pcsc-lite je možné nalézt ve standardních repozitářích podporovaných distribucí. Po dokončení instalace pcsc-lite je doporučen restart OS. 

Operační systémy Linux jsou u podporovaných typů čteček schopny provést instalaci ovladače čtečky automaticky po připojení zařízení do USB portu počítače (ccid ovladače čteček jsou součástí OS). 

Mac OS X

Karty ProID+ pracují se čtečkami, které splňují standard PC/SC. (Většina čteček kontaktních karet tento standard splňuje.) 

Operační systémy MAC OS X s přístupem ke službě MAC APP Store jsou u podporovaných typů čteček schopny provést instalaci ovladače čtečky automaticky po připojení zařízení do USB portu počítače. 

Pro instalaci ovladače čtečky stačí připojit čtečku k USB portu a počkat na stažení a instalaci potřebných ovladačů.

Nejčastější dotazy

Co potřebuji pro provoz ProID+/ProID+Q?

Ke zprovoznění ProID+/ProID+Q je potřeba:

  • Počítač s operačním systémem MS Windows Vista nebo novějším, Linuxem nebo MacOS X.
  • Čtečku čipových karet, která odpovídá standardu PC/SC
  • Čipovou kartu nebo token ProID+/ProID+Q
  • Alespoň jeden pár klíčů s certifikátem X.509 uloženými v čipu karty
  • Ovládací software karty ProID+, resp. ProID+Q, instalovaný do OS

 

Jak zprovozním ProID+/ProID+Q?

  • Stáhnete si instalační balíček, rozbalíte, spustíte a postupujete podle pokynů v instalačním průvodci.

 

Jak si opatřím certifikát?

Způsob získání certifikátu závisí na účelu použití certifikátu:

  1. a) Pro (osobní) komunikaci s veřejnými institucemi je vhodné nakoupit certifikát od komerční certifikační autority . Některé veřejně dostupné certifikační autority vydávají kvalifikované certifikáty, vhodné pro elektronickou komunikaci se státní správou ČR. Kvalifikované certifikáty mohou být s kryptografickými klíči bezpečně uloženy na v čipu ProID+Q.

  1. b) Pro zabezpečení dat a komunikace v rámci organizace je asi nejčastějším řešením zprovoznění vlastní (interní) certifikační autority, která je součástí serverového operačního systému MS Windows Server. Tuto certifikační autoritu lze snadno integrovat do doménového prostředí s Active Directory – viz např.:

    http://blogs.technet.com/b/askds/archive/2009/09/01/designing-and-implementing-a-pki-part-i-design-and-planning.aspx

 

Můžete se také inspirovat návody pracovníků MONET+, a.s., kteří mají s implementací certifikačních autorit na platformě MS Windows Server dlouholeté zkušenosti.

Aktivace a správa Certifikační autority v doméně MS Windows
wpProID_AktivaceCA_v1_0.pdf

Přihlašování do počítače pomocí čipových karet ProID+/ProID+Q
wpProID_SCLogon_v0_5.pdf

Pracovníci MONET+, a.s. jsou v případě potřeby připraveni poradit / pomoci se zprovozněním CA v organizaci.

Zasáhla ProID+ nějakým způsobem zranitelnost ROCA?

Ne. Technologie dodávané v rámci řešení ProID+, ProID+Q i dříve dodávané CryptoPlus tuto zranitelnost nemají a jsou nadále zcela bezpečné.

Dne 16. 10. 2017 byla zveřejněna zranitelnost v kryptografické knihovně firmy Infineon, označovaná jako ROCA (více zde). Tato knihovna je využívána mimo jiné v některých bezpečnostních čipech Gemalto. Čipy Gemalto také využíváme v našich kartových řešeních. Společně s Gemalto jsme důkladně otestovali naše aktuálně i historicky dodávané technologie, které kryptografické čipy využívají. U žádné z variant našich karet CryptoPlus, ProID+ a ProID+Q jsme tuto zranitelnost nedetekovali, považujeme je tak za zcela bezpečné a můžete je i nadále bez obav používat.

 

Jak odblokuji nebo změním podpisový PIN?

Objekty spadající do kategorie “kvalifikovaný” / “podpisový“ jsou chráněny samostatným kódem PIN, tzv. QPIN. Pro změnu případně pro odblokování Podpisového PINu – tzv. QPINu, prosím nepoužívejte tlačítko “ZMĚNA PINU” na hlavní obrazovce. Tato funkce slouží pro změnu běžného kódu PIN, ne podpisového QPINu.

Spusťte aplikaci Správce karty ProID+ a vložte kartu do čtečky. Po načtení karty ve Správci karty ProID+ (menu Zobrazení -> Obnovit, klávesou F5 nebo tlačítkem OBNOVIT) klikněte v levém sloupci na symbol čipové karty a vpravo klikněte na tlačítko “Více informací”.

11

Následně se zobrazí detailní informace o kartě, které, mimo jiné, obsahují počty pokusů a zbývající počty pokusů pro zadání kódů PIN, PUK a Podpisový PIN – tzv. QPIN.

22

Na příkladu na obrázku je viditelné, že QPIN má zbývající pouze jeden pokus na zadání (1/3). Kliknutím na “změnit” lze QPIN změnit za jiný při znalosti stávajícího platného QPINu. Pokud Podpisový PIN (QPIN) neznáte a nebo je počet pokusů vyčerpán, tzn. QPIN je zablokován, kliknutím na “odblokovat” lze nastavit QPIN nový (s použitím kódu PUK). Při prvním použití kódu PUK budete vyzváni k jeho změně.