Sigillum Sign 4. Instrukcja Użytkownika. Wersja dokumentu 4.0. Data: wrzesień 2010 r.

Transkrypt

1 Instrukcja Użytkownika Wersja dokumentu 4.0 Data: wrzesień 2010 r.

2 Spis treści 1 WPROWADZENIE SŁOWNIK O PODPISIE ELEKTRONICZNYM SZYFROWANIE DANYCH CERTYFIKATY O APLIKACJI Podstawowa funkcjonalność aplikacji Sigillum Sign Zmiany w stosunku do poprzednich wersji aplikacji Sigillum Sign: Zgodność aplikacji ze standardami podpisu ZAWARTOŚĆ ZESTAWU DO PODPISU ELEKTRONICZNEGO SIGILLUM WYMAGANIA TECHNICZNE WYMAGANIA SPRZĘTOWE WYMAGANIA PROGRAMOWE POZOSTAŁE WYMAGANIA ZGODNOŚĆ PROGRAMU SIGILLUM SIGN 4 Z APLIKACJAMI MIDDLEWARE INSTALACJA INSTALACJA STANDARDOWA INSTALACJA DOSTOSOWANA Instalacja Wtyczki do Microsoft Office INSTALACJA KOMPONENTU MICROSOFT.NET FRAMEWORK REJESTRACJA CERTYFIKATU KONTROLA INSTALACJI DEINSTALACJA FUNKCJE APLIKACJI OKIENKOWEJ MENU GŁÓWNE ZARZĄDZANIE PLIKAMI W APLIKACJI Import plików Eksport plików Usuwanie plików Kategoryzacja plików

3 6.2.5 Filtrowanie widoku kategorii Funkcja otwórz plik Funkcja otwórz folder zawierający PODPIS ELEKTRONICZNY Podpisywanie plików Kontrasygnata Podpis ze znacznikiem czasu Dodawanie zniacznika czasu do istniejącego podpisu WERYFIKACJA PODPISU WYODRĘBNIANIE DANYCH SZYFROWANIE ODSZYFROWYWANIE FUNKCJA WYŚLIJ KONFIGURACJA Ustawienia aplikacji Certyfikaty Ustawienia podpisu Serwery Wtyczki POMOC Instrukcja obsługi O programie Sprawdzanie aktualizacji Zgłaszanie problemów MENU KONTEKSTOWE WTYCZKA DO MICROSOFT OFFICE KOMENDY Z LINII POLECEŃ POMOC PODPISYWANIE PLIKÓW Podpis w formacie XAdES Podpis w formacie CMS WERYFIKACJA WYODRĘBNIANIE DANYCH WYŚWIETLENIE DOSTĘPNYCH CERTYFIKATÓW

4 9.6 SZYFROWANIE ODSZYFROWANIE

5 1 WPROWADZENIE Celem niniejszego dokumentu jest zapoznanie użytkowników aplikacji Sigillum Sign 4 z jej funkcjonalnością, sposobem instalacji i deinstalacji oraz przedstawienie ogólnych zagadnień związanych z podpisem elektronicznym, których znajomość jest niezbędna do świadomego i bezpiecznego korzystania z aplikacji. 1.1 Słownik W rozdziale tym zostały zdefiniowane podstawowe pojęcia (w kolejności alfabetycznej) związane z podpisem elektronicznym: bezpieczny podpis elektroniczny (wg UoPE) Jest to podpis elektroniczny: - przyporządkowany wyłącznie do osoby składającej go, - sporządzany za pomocą bezpiecznych urządzeń i danych służących do jego złożenia, podlegających wyłącznej kontroli osoby składającej ten podpis, - powiązany z danymi, do których został dołączony w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest zauważalna. CA (ang. certification authority) (więcej pod hasłem Urząd ds. Certyfikacji) certyfikacja (ang. certification) Pod pojęciem certyfikacji należy rozumieć: - wydawanie certyfikatu elektronicznego przez urząd certyfikacji, - wydawanie certyfikatu zgodności z obowiązującymi kryteriami oceny zabezpieczeń przez jednostkę certyfikującą działającą w ramach krajowego systemu certyfikacji zabezpieczeń. certyfikat elektroniczny (ang. Digital Certificate) Certyfikat elektroniczny, jest to cyfrowe zaświadczenie, za pomocą którego możliwe jest potwierdzenie tożsamości osoby lub firmy posługującej się nim. Certyfikat elektroniczny jest zwykle zaszyfrowanym plikiem zawierającym informacje o właścicielu certyfikatu (imię i nazwisko, firma, adres, PESEL lub NIP) oraz inne dane (wystawca certyfikatu, termin ważności, klucz prywatny, klucz publiczny, przeznaczenie certyfikatu, unikatowy numer seryjny). Certyfikat jest niezbędny do podpisywania, szyfrowania i odszyfrowywania danych, a także weryfikacji podpisu elektronicznego. 5

6 certyfikat klucza publicznego (ang. public key certificate) Jest to informacja o kluczu publicznym poświadczona przez urząd certyfikacji, potwierdzająca, że klucz publiczny należy do konkretnego podmiotu (osoby, firmy lub innej organizacji). certyfikat ROOT- certyfikat główny Certyfikat głównego urzędu certyfikacji, będącego najwyżej w hierarchii urzędów. Certyfikat ten stanowi punkt zaufania dla wszystkich certyfikatów wydanych przez centra certyfikacji znajdujące się w Infrastrukturze Klucza Publicznego (PKI). CMS (ang. Cryptographic Message Syntax) Jest to jeden z formatów podpisu elektronicznego będący następcą standardu PKCS#7. Format ten umożliwia tworzenie kontrasygnat, czyli dołączanie podpisów kolejnych podmiotów do istniejących sygnatur, a w rozszerzonej wersji CMS Advanced Electronic Signature (CAdES) daje możliwość dołączania znaczników czasu. CRL (ang. Certificate Revocation List) Lista CRL - podpisane przez Urząd Certyfikacji chronologiczne zestawienie zawierające zbiór wszystkich certyfikatów unieważnionych bądź zawieszonych przez Urząd Certyfikacji. Zawierają numery seryjne certyfikatów, które zostały unieważnione np. na skutek ujawnienia klucza prywatnego. Alternatywą dla list CRL jest weryfikacja certyfikatów on-line (OCSP). Czas, w jakim żądanie unieważnienia certyfikatu powinno zostać opublikowane przez CA jest określony we właściwej polityce certyfikacji lub w przepisach prawnych. Format, w jakim zapisane są listy CRL jest określony w ramach standardu X.509. klucz prywatny Klucz służący do wykonywania zastrzeżonej czynności. Jego rozpowszechnienie zagraża bezpieczeństwu systemu. Klucz prywatny może być w wyłącznym posiadaniu adresata informacji. Najczęściej służy do odszyfrowywania i podpisywania informacji. klucz publiczny Klucz służący do wykonywania ogólnodostępnej czynności. Klucz publiczny może być rozpowszechniany wśród dowolnych osób. Najczęściej służy do szyfrowania informacji lub weryfikacji podpisu złożonego przez właściciela odpowiadającego mu klucza prywatnego. 6

7 kontrasygnata Kontrasygnata, w przypadku podpisu elektronicznego, to dołączanie przez drugą osobę kolejnego podpisu elektronicznego do już istniejącego podpisu, potwierdzając w ten sposób jego ważność. kwalifikowany certyfikat (wg UoPE) Jest to certyfikat spełniający warunki określone w Ustawie o Podpisie Elektronicznym, wydany przez kwalifikowany podmiot świadczący usługi certyfikacyjne, spełniający wymogi określone w tejże Ustawie. kwalifikowany podmiot świadczący usługi To podmiot świadczący usługi certyfikacyjne i wpisany do rejestru kwalifikowanych podmiotów realizujących ww. usługi. Musi on spełniać szereg warunków technicznych i organizacyjnych określonych przez ROZPORZĄDZENIE RADY MINISTRÓW z dnia 7 sierpnia 2002 r. mających na celu przede wszystkim bezpieczeństwo i pewność wystawianych certyfikatów. LDAP (ang. Lightweight Directory Access Protocol) Usługa katalogowa LDAP jest stosowana w celu umożliwienia zainteresowanym osobom dostępu do bazy certyfikatów osób zarejestrowanych w danym urzędzie (np. bazy Sigillum). Dzięki temu dostępowi możliwe jest odnalezienie certyfikatu wybranej osoby (oczywiście o ile znajduje się ona w bazie), a w konsekwencji np. zaszyfrowanie do niej poczty. Katalog LDAP daje też możliwość sprawdzenia, czy dany certyfikat faktycznie został wydany danej osobie przez określone centrum certyfikacji, a w konsekwencji może stanowić dodatkową formę potwierdzenia tożsamości. Microsoft Root Certificate Program firmy Microsoft zawierający listę komercyjnych urzędów certyfikacyjnych (CA) potwierdzonych przez firmę Microsoft. OCSP (ang. Online Certificate Status Protocol) Usługa OSCP służy do weryfikacji podpisu on-line. Udostępnia ona aktualną listę wszystkich certyfikatów unieważnionych i zawieszonych, certyfikatów klucza publicznego wystawionych przez dany podmiot świadczący usługi certyfikacyjne oraz ewentualnie unieważnionych zaświadczeń certyfikacyjnych wystawionych przez ten podmiot. Lista jest poświadczona elektronicznie przez podmiot świadczący usługi certyfikacyjne. odwołanie certyfikatu Proces polegający na usunięciu certyfikatu z systemu zarządzania urzędem certyfikacji. Jego zadaniem jest wskazanie, że klucz publiczny zawarty w odpowiednim certyfikacie nie może być dłużej używany. 7

8 podpis elektroniczny Zgodnie z definicją ustawową (Art. 3 Ustawy z dnia 18 września 2001r. o podpisie elektronicznym, Dz. U. Nr 130, Poz. 1450, z dnia r.) są to informacje w postaci cyfrowej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane służą do identyfikacji osoby składającej podpis elektroniczny. PKCS#7: (Public-Key Cryptography Standard) Standard, który definiuje dwa podstawowe typy: podpis cyfrowy i kopertę cyfrową. Podpis cyfrowy ma na celu zagwarantowanie, że dana wiadomość pochodzi od określonej osoby. Koperta cyfrowa gwarantuje poufność, dane są zaszyfrowane wraz z certyfikatem i kluczem publicznym, można je odczytać pod warunkiem posiadania klucza prywatnego zawartego w kopercie certyfikatu. PKCS#7 udostępnia także dołączanie kluczy w większej ilości niż 1 (np. zaszyfrowanie wiadomości przeznaczonej dla wielu odbiorców). PKI (ang. Public Key Infrastructure) - Infrastruktura Klucza Publicznego Ogół zagadnień technicznych, operacyjnych i organizacyjnych umożliwiających realizację różnych usług ochrony informacji przy zastosowaniu kryptografii klucza publicznego i certyfikatów klucza publicznego. polityka certyfikacji (ang. certificate policy - CP) Nazwany zbiór reguł, określający stosowalność certyfikatu dla konkretnej społeczności użytkowników i/lub klasy aplikacji ze wspólnymi wymaganiami w zakresie bezpieczeństwa. PROXY Serwer Proxy jest to usługa pośrednicząca w komunikacji między użytkownikiem a docelowym systemem. Jego zadaniem może być m.in. zapamiętywanie odwiedzonych stron WWW w celu ich szybszego wyświetlenia w przypadku ponownego wywołania ich. Root CA (ang. Root Certification Authority) Główny Urząd Certyfikacji pełniący rolę nadrzędną w stosunku do kwalifikowanej infrastruktury klucza publicznego. Posługuje się on tzw. certyfikatem samo podpisanym, tzn. podlegającym weryfikacji w urzędzie, który go wystawił. Pozostałe urzędy certyfikacji działają na podstawie certyfikatów wystawionych przez urzędy nadrzędne. Root CA są ujęte w wielu aplikacjach (np. Microsoft Root Certificate) a wystawione przez nie certyfikaty są domyślnie zaufane. 8

9 ścieżka certyfikacji Łańcuch różnorodnych certyfikatów niezbędnych do stwierdzenia ważności danego certyfikatu klucza publicznego. Ścieżka certyfikacyjna powinna zawierać certyfikat użytkownika końcowego podpisany przez urząd certyfikacji oraz certyfikaty wszystkich nadrzędnych urzędów certyfikacji występujących w danej architekturze klucza publicznego. Urząd ds. Certyfikacji - CA (ang. Certification Authority) Centrum certyfikacji wystawiające certyfikaty elektroniczne. Urząd realizujący usługę wydawania i zarządzania certyfikatami. Potoczne nazwy to Urząd Certyfikacji lub Centrum Certyfikacji najbardziej typowego urzędu certyfikacyjnego realizującego podstawową usługę certyfikacyjną w ramach PKI - certyfikację kluczy publicznych. unieważnienie certyfikatu Urząd, który wystawił certyfikat ma prawo unieważnić go, jeśli: został on wydany na podstawie nieprawdziwych lub nieaktualnych danych osoby lub podmiotu, dla którego został wystawiony, podmiot świadczący usługi certyfikacyjne nie dopełnił obowiązków określonych w ustawie, osoba składająca podpis elektroniczny weryfikowany na podstawie tego certyfikatu nie dopełniła ustawowego obowiązku przechowywania danych służących do składania podpisu elektronicznego w sposób zapewniający ich ochronę przed nieuprawnionym wykorzystaniem w okresie ważności certyfikatu służącego do weryfikacji tych podpisów, podmiot świadczący usługi certyfikacyjne zaprzestaje tej działalności, a jego praw i obowiązków nie przejmuje inny kwalifikowany podmiot, zażąda tego osoba składająca podpis elektroniczny lub osoba trzecia wskazana w certyfikacie, zażąda tego Minister właściwy do spraw gospodarki, osoba składająca podpis elektroniczny utraciła pełną zdolność do czynności prawnych. Certyfikat, który został unieważniony, nie może być ponownie uznany za ważny. Urząd Rejestracji, Urząd ds. Rejestracji (ang. Registration Authority (RA)) Organ odpowiedzialny za weryfikację tożsamości subskrybenta oraz przekazanie odpowiednich informacji do urzędu certyfikacji zgodnie z procedurą rejestracji stosowaną w celu wydania certyfikatu. 9

10 urządzenie służące do składania podpisu elektronicznego (wg UoPE) Sprzęt i oprogramowanie skonfigurowane w sposób umożliwiający złożenie podpisu lub poświadczenia elektronicznego przy wykorzystaniu danych służących do składania podpisu lub poświadczenia elektronicznego. urządzenie służące do weryfikacji podpisu elektronicznego (wg UoPE) Sprzęt i oprogramowanie skonfigurowane w sposób umożliwiający identyfikację osoby fizycznej, która złożyła podpis elektroniczny przy wykorzystaniu danych służących do weryfikacji podpisu elektronicznego lub w sposób umożliwiający identyfikację podmiotu świadczącego usługi certyfikacyjne bądź organu wydającego zaświadczenia certyfikacyjne przy wykorzystaniu danych służących do weryfikacji poświadczenia elektronicznego. usługi certyfikacyjne Szeroki zakres zadań dotyczących TTP obejmujących działania polegające na poświadczeniu wybranych informacji przez wygenerowanie podpisanego elektronicznie zaświadczenia certyfikacyjnego, jak certyfikacja kluczy publicznych, certyfikacja istnienia danych elektronicznych w określonym czasie, certyfikacja przedstawienia danych elektronicznych przez określonych użytkowników w ustalonym czasie. usługi certyfikacyjne (wg UoPE) Wydawanie certyfikatów, znakowanie czasem lub inne usługi związane z podpisem elektronicznym. UoPE (Ustawa o Podpisie Elektronicznym) Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (Dziennik Ustaw z dnia 15 listopada 2001 r.), określająca warunki stosowania podpisu elektronicznego, skutki prawne jego stosowania, zasady świadczenia usług certyfikacyjnych oraz zasady nadzoru nad podmiotami świadczącymi te usługi. uwierzytelnienie (ang. authentication) Sprawdzenie tożsamości jednostki; proces polegający na sprawdzeniu, czy przedstawiająca się osoba (także komputer, urządzenie lub usługa) jest tą, za którą się podaje. Urząd Znacznika Czasu - UZC (ang. Time Stamping Authority - TSA) - Urząd realizujący usługę certyfikacyjną oznaczania czasem przedstawionego skrótu dokumentu elektronicznego. 10

11 XADES Jeden z formatów podpisu elektronicznego. Rodzaje podpisu XAdES: 1. XAdES-BES (Basic Electronic Signature) zgodnie z nazwą jest to podstawowy format podpisu XAdES, który powstał, jako rozwinięcie formatu XML-DSig, do którego dodano takie informacje jak: czas lokalny, miejsce, rola osoby składającej podpis, ścieżka certyfikacji, znaczniki czasowe oraz możliwość stosowania dodatkowych podpisów (podpis wielokrotny, kontrasygnata); 2. XAdES-EPES (Explicit Policy based Electronic Signature) format ten uzupełnia podstawowy podpis (XAdES-BES) o element wskazujący na politykę, według której został stworzony podpis i określającej, w jaki sposób ma on być weryfikowany; 3. XAdES-T (Time Stamp) format ten dodaje do podpisu typu XAdES-BES znacznik czasowy wystawiony przez Urząd Znakowania Czasem, co umożliwia określenie ważności podpisu w ustalonym momencie czasowym; 4. XAdES-C (Complete) format umożliwia dodanie do powyższych formatów elementów wskazujących na certyfikaty użyte podczas tworzenia podpisu oraz elementów pozwalających na sprawdzenie ważności użytych do podpisu certyfikatów; 5. XAdES-X (Extended) format dodaje znacznik czasu na elementach, o które został uzupełniony podpis podczas tworzenia XAdES-C; 6. XAdES-XL (Extended Long Term) format umożliwia dodanie do powyższych formatów dodatkowych certyfikatów (poza certyfikatem osoby podpisującej). Ponadto zawiera informacje pobrane z serwerów CRL lub OCSP. Podpis w tym formacie szczegółowo określa warunki, w jakich został złożony. Zapewnia on, że certyfikat osoby podpisującej w chwili podpisania pliku był ważny; 7. XAdES-A (Archival) format ten umożliwia dodawanie znaczników czasowych wystawianych przez Urząd Znakowania Czasem. Jest on stosowany m.in. w celu konserwacji podpisu (przedłużenia jego ważności). Dzięki niemu, właściciel podpisanego pliku może dodawać nowe zaświadczenia certyfikacyjne UZC przed upływem terminu ważności poprzedniego. Strukturę podpisów XAdES przedstawia poniższy rysunek: XAdES-T XAdES-BES XAdES-XL XAdES-A 11

12 XMLDsig (ang. XML signature) Jeden z formatów podpisu elektronicznego dla XML. Jako jego rozwinięcie powstał format XAdES-BES. Najważniejsze cechy tego formatu to: tworzenie podpisu w oddzielnym pliku oraz możliwość podpisania wielu plików jednocześnie. Brak w nim jest elementów wymaganych dla podpisu kwalifikowanego. zawieszenie certyfikatu W przypadku istnienia podejrzenia uprawniających do unieważnienia certyfikatu, wystawca certyfikatu zobowiązany jest go zawiesić. Jednocześnie zostają podjęte działania wyjaśniające powstałe wątpliwości. Urząd certyfikacji ma 7 dni na ich wyjaśnienie. Po upływie tego okresu lub w przypadku braku możliwości wyjaśnienia wątpliwości certyfikat zostaje unieważniony. znakowanie czasem (wg UoPE) Usługa polegająca na dołączaniu do danych w postaci elektronicznej logicznie powiązanych z plikami opatrzonymi podpisem lub poświadczeniem elektronicznym, oznaczenia czasu w chwili wykonania tej usługi oraz poświadczenia elektronicznego tak powstałych danych przez podmiot świadczący tę usługę. zaświadczenie certyfikacyjne Elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji poświadczenia elektronicznego są przyporządkowane do podmiotu świadczącego usługi certyfikacyjne lub organu - kwalifikowanego podmiotu świadczącego usługi certyfikacyjne, umożliwiające identyfikację tego podmiotu lub organu. 1.2 O podpisie elektronicznym Upowszechnianie się elektronicznych form przekazu informacji wiąże się z przesyłaniem ich w sieciach publicznych. Dokumenty przekazywane w ten sposób wymagają zapewnienia wysokiego poziomu bezpieczeństwa. Znaczne jego zwiększenie ułatwia zastosowanie metod kryptograficznych. Metody te umożliwiają: utrzymanie i weryfikację integralności dokumentu - można mieć pewność, że nikt nic nie zmienił podczas transmisji, uwierzytelnienie podmiotu uczestniczącego w wymianie informacji, niezaprzeczalność - zapobieganie próbom wyparcia się uczestnictwa w procesie wymiany informacji, ponadto wraz z podpisem stosowanie szyfrowania danych zapewnia poufność, dzięki czemu dokument taki staje się nieczytelny dla osób niebędących jego adresatami. Powyższe cechy można zagwarantować stosując podpis elektroniczny. 12

13 Wyróżnia się dwa rodzaje podpisów elektronicznych: zwykły i bezpieczny. Bezpieczny podpis elektroniczny weryfikowany za pomocą ważnego, kwalifikowanego certyfikatu jest przyporządkowany wyłącznie do osoby składającej go oraz jest sporządzony za pomocą bezpiecznych urządzeń służących do składania podpisu elektronicznego i danych do tego przeznaczonych, podlegających wyłącznej kontroli osoby składającej podpis elektroniczny. Zgodnie z ustawą został on w wielu przypadkach zrównany pod względem prawnym z podpisem odręcznym. Koncepcja podpisu elektronicznego jest ściśle związana z kryptografią asymetryczną oraz infrastrukturą klucza publicznego. Wymiana informacji pomiędzy dwoma podmiotami powinna opierać się na zaufaniu tzn. odbiorca powinien mieć pewność, że nadawca jest tym, za kogo się podaje. Natomiast nadawca może zakładać, że odbiorca jest tym, dla kogo informacja była przeznaczona. Do takiej formy wymiany informacji służą pary kluczy (prywatny i publiczny) stosowanych w szyfrowaniu. Klucz prywatny służy do deszyfrowania wiadomości (zaszyfrowanej kluczem publicznym) oraz bierze udział w procesie tworzenia podpisu cyfrowego. Klucz prywatny jest znany jedynie jego właścicielowi i powinien być chroniony ze szczególną starannością. Nośnikiem dla klucza prywatnego jest karta kryptograficzna (mikroprocesorowa). Klucz publiczny służy do zaszyfrowania wiadomości. Osoba, która chce zaszyfrować wiadomość używa do tego celu klucza publicznego odbiorcy wiadomości. Tylko właściciel klucza prywatnego może odszyfrować taką wiadomość. W ten sposób osoba wysyłająca wiadomość ma pewność, że treść wiadomości może zostać odczytana wyłącznie przez odbiorcę. Wykorzystując podpisy elektroniczne możliwe jest podpisywanie faktur, transakcji elektronicznych, umów cywilno-prawnych, deklaracji elektronicznych ZUS. Podpis ten jest na równi traktowany (w sensie prawnym) z podpisem złożonym ręcznie. 1.3 Szyfrowanie danych Celem szyfrowania jest ukrycie informacji przed możliwością jej odczytania przez niepowołaną osobę. W przeciwieństwie do podpisu elektronicznego, w procesie szyfrowania wykorzystujemy klucz publiczny powiązany z certyfikatem osoby, której chcemy nadać uprawnienia do odczytu informacji. Taka osoba jest w stanie odkodować te informacje używając swojego klucza prywatnego. Proces szyfrowania wygląda następująco: określamy dane, które chcemy zaszyfrować (wskazujemy jeden plik), definiujemy listę osób, które będą miały możliwość odszyfrowania tych danych (wybieramy certyfikaty komercyjne przypisane do osób; prawo nie przewiduje możliwości wykorzystania certyfikatu kwalifikowanego do szyfrowania), wykonywane są funkcje kryptograficzne szyfrujące dane, wyniki szyfrowania zapisywane są w jednym pliku, który teraz mogą odszyfrować osoby, których certyfikaty zostały użyte do zaszyfrowania. W wyniku całego procesu powstaje nowy jeden plik zawierający zaszyfrowane dane. 13

14 Odszyfrowywanie danych dedykowanych dla danego odbiorcy, polega na użyciu przez niego, jego własnego klucza prywatnego, dzięki któremu tylko on może dane odczytać. 1.4 Certyfikaty Certyfikaty, o których mowa w instrukcji to elektroniczne zaświadczenia, za pomocą których dane służące do weryfikacji podpisu elektronicznego są przyporządkowane do osoby składającej podpis elektroniczny i które umożliwiają jej identyfikację. Wyróżniamy dwa główne typy certyfikatów: kwalifikowany i komercyjny. Certyfikat kwalifikowany służy do wyrażania woli i wiedzy na temat podpisywanych treści plików. Nie służy on jednak (czuwa nad tym oprogramowanie) do szyfrowania, ani podpisywania poczty elektronicznej, czy logowania do systemu. Te dodatkowe funkcjonalności umożliwia certyfikat komercyjny. Certyfikat komercyjny (niekwalifikowany) może służyć: szyfrowaniu, podpisywaniu plików (to zastosowanie jest podobne do zastosowań certyfikatu kwalifikowanego, jednak posiada ono słabsze umocowanie prawne) i poczty elektronicznej, podpisywania kodu aplikacji, uwierzytelnianiu serwera, logowaniu do systemu. 1.5 O aplikacji Sigillum Sign 4 jest aplikacją przeznaczoną do użytkowania na pojedynczym komputerze. Korzystanie z aplikacji jest możliwe na kilka sposobów: APLIKACJA OKIENKOWA główny interfejs służący do komunikacji z użytkownikiem, MENU KONTEKSTOWE sposób uruchamiania poszczególnych funkcjonalności aplikacji za pomocą menu kontekstowego dostępnego dla każdego pliku, WIERSZ POLECEŃ sposób uruchamiania funkcjonalności programu z wykorzystaniem wiersza poleceń i komend, WTYCZKA DO OFFICE wtyczka do MS OFFICE, pozwalająca na uruchomienie określonych funkcjonalności aplikacji z programu biurowego. Aplikacja wchodzi w skład Bezpiecznego Urządzenia do składania podpisu (zgodnie z Ustawą o podpisie elektronicznym z 2001 roku) i jest podstawową aplikacją służącą do składania i weryfikacji podpisu cyfrowego w ramach Centrum Certyfikacji Sigillum. Ze względu na charakter aplikacji jej użytkownikami mogą być zarówno klienci indywidualni, jak i klienci korporacyjni z sektora publicznego i biznesowego. 14

15 Podstawowym środowiskiem działania aplikacji jest komputer osobisty z 32 bitowym systemem operacyjnym Windows 7, Vista, XP SP3, 2003 lub 64 bitowym Windows 7 i Vista. W ramach tego oprogramowania nie przewiduje się połączenia z urządzeniami typu HSM. Aplikacja może podpisywać i szyfrować dowolny rodzaj danych, które są w postaci dowolnego pliku. Mogą to być zarówno dane binarne, tekstowe, multimedialne, XML itd. o dowolnym rozszerzeniu pliku zawierającego dane. Z powyższego wynika, że każdy plik, do którego mamy dostęp możemy podpisać elektronicznie lub zaszyfrować. Podpisowi nie podlegają meta dane pliku typu: nazwa, data utworzenia, właściciel itp. (zmianie ulega tylko data ostatniego użycia pliku, która jest zgodna z datą złożenia podpisu/zaszyfrowania). W procesie szyfrowania zmianie ulegają zarówno meta dane jak i zawartość pliku. Dane w postaci pliku, które są wskazane dla aplikacji, podczas jej działania ulegają przekształceniom, w wyniku których powstaje nowy plik zawierający podpis lub zaszyfrowane pliki z meta danymi. W przypadku odszyfrowania lub wyodrębnienia danych, wynikiem jest plik źródłowy. Do przeprowadzania operacji na kartach elektronicznych aplikacja wykorzystuje oprogramowanie CryptoCard Suite firmy CryptoTech. Aplikacja współpracuje również z oprogramowaniem Active Card Podstawowa funkcjonalność aplikacji Sigillum Sign 4 obsługuje standardy podpisu: ETSI TS i ETSI (XAdES BES, XAdES-T oraz CMS) obsługuje pliki z podpisem innych kwalifikowanych centrów certyfikacji. W chwili obecnej są to: Unizeto i Krajowa Izba Rozliczeniowa, pozwala na zabezpieczanie (szyfrowanie i odszyfrowywanie) plików certyfikatem elektronicznym, Zmiany w stosunku do aplikacji Sigillum Sign Pro 2.5 oraz 3.0: interfejs do zbierania przez PWPW S.A. uwag i wymagań od użytkowników aplikacji, interfejs okienkowy, wtyczki (plug-in) do produkowanych w PWPW S.A. systemów centralnej obsługi, podpisanych elektronicznie, dokumentów (np. efaktura), zwiększenie funkcjonalności biblioteki dowolnie kategoryzowanych, podpisanych i niepodpisanych dokumentów (użytkownik, na wzór kategorii MS Outlook, będzie miał możliwość tworzenia i modyfikacji dowolnych kategorii; kategorie te służą systematyzowaniu pracy nad dokumentami, które użytkownik zamierza zweryfikować, odszyfrować, odczytać, zmodyfikować oraz które podpisał/zaszyfrował lub zamierza podpisać/zaszyfrować), możliwość podglądu historii podpisanych dokumentów, ułatwiającego ich lokalizację oraz zawierającego informacje o fakcie podpisania i umiejscowienia dokumentów (w chwili ich podpisywania), kontrasygnata, kolejkowanie dokumentów do podpisu masowego, pomoc kontekstowa (help). 15

16 1.5.3 Zgodność aplikacji ze standardami podpisu W poniższej tabeli wymieniono standardy obsługiwane przez aplikację Sigillum Sign 4 Format podpisu Rozszerzenie pliku Obsługiwana operacja CMS *.sig Podpis, Weryfikacja XAdES *.xades Podpis, Weryfikacja PKCS#7 *.sig, *.pkcs7 Weryfikacja SDOC *.sdoc Weryfikacja SMIME *.signpro Weryfikacja 16

17 2 ZAWARTOŚĆ ZESTAWU DO PODPISU ELEKTRONICZNEGO SIGILLUM Pełen zestaw do podpisu elektronicznego udostępniany przez PCCE Sigillum przy zakupie certyfikatu zawiera: Czytnik kart mikroprocesorowych, Kartę mikroprocesorową z certyfikatami, Płytę instalacyjną, umożliwiającą automatyczną pełną instalację aplikacji Sigillum Sign 4 17

18 3 WYMAGANIA TECHNICZNE W celu prawidłowej pracy aplikacji Sigillum Sign 4, a co się z tym wiąże bezpiecznego i prawidłowego składnia podpisu elektronicznego, weryfikacji i szyfrowania konieczne jest spełnienie wymagań środowiska sprzętowoprogramowego, na którym ma ona funkcjonować. 3.1 Wymagania sprzętowe Wymagania sprzętowe: komputer klasy PC, spełniający zalecaną konfigurację sprzętową dla zainstalowanego systemu operacyjnego karta sieciowa 10/100/1000 MB lub modem umożliwiający dostęp do sieci Internet jeden z poniższych czytników kart zawierających certyfikaty podpisu elektronicznego OMNIKEY: o CardMan 2020 SCM MICROSYSTEM: o o SCR3310 dla CryptoCard SCR3310 dla Active Card Gemplus USB Key Użytkowanie innych czytników nie gwarantuje prawidłowej współpracy z aplikacją. 3.2 Wymagania programowe Podstawowe wymagania programowe niezbędne do działania aplikacji: system operacyjny w wersji 32-bit o Windows XP z dodatkiem SP3 o Windows 2003 Server o Windows Vista o Windows 7 64-bit o Windows Vista o Windows 7 18

19 program obsługi czytnika kart Microsoft NET Framework 2.0 Aplikacja współpracuje z następującymi programami: Aplikacje obsługujące kartę kryptograficzną Crypto Card Suit 1.50 Active Card Pakiety biurowe obsługujace wtyczkę Sigillum Sign 4 Microsoft Office 2003, 2007 oraz 2010 Klienci poczty , umożliwiające stworzenie wiadomości z podpisanymi lub zaszyfrowanymi załącznikami z poziomu aplikacji. Outlook Express Microsoft Outlook Eudora Thunderbird 3.3 Pozostałe wymagania Konfiguracja sieciowa: Interfejs karty sieciowej Połączenie z siecią Internet 3.4 Zgodność programu Sigillum Sign 4 z aplikacjami middleware Aplikacja Sigillum Sign 4 ściśle współpracuje z oprogramowaniem middleware CryptoCard Suite. Zalecana jest aplikacja CCS w wersji i wyższej 19

20 4 INSTALACJA Aby zainstalować aplikację należy zalogować się do systemu jako użytkownik z pełnymi prawami - Administrator systemu operacyjnego. W szczególności może to być konto o nazwie Administrator. Instalację rozpoczynamy od włożenia do napędu otrzymanej przy odbiorze zestawu do podpisu Sigillum płyty instalacyjnej. Przed kontynuowaniem procesu instalacji należy upewnić się, że wszystkie wcześniej uruchomione aplikacje zostały zamknięte. UWAGA! Instalacja wymaga uprawnień administratora systemu. W przypadku pracy w domenie może to być administrator lokalny lub domeny. W celu rozpoczęcia instalacji należy uruchomić instalator dwukrotnie klikając na plik Sigillum Sign 4.exe. Uruchomiony zostaje program instalatora, który poprowadzi użytkownika przez proces instalacji. Jeśli w systemie był już zainstalowany program Sigillum Sign 4 lub Sigillum Sign 4 Weryfikator, musi on zostać odinstalowany przed zainstalowaniem bieżącej wersji. Instalator automatycznie wybierze język instalacji w zależności od kultury ustawionej w systemie operacyjnym. Jeśli w systemie użytkownika ustawiony jest język polski Instalator uruchomi się po polsku. W przeciwnym razie instalator uruchomi się po angielsku. Pierwszy ekran jest oknem informacyjnym. Należy zastosować się do zawartych w nim uwag. 20

21 Aby przejść do właściwej instalacji, należy przeczytać i zaakceptować warunki umowy licencyjnej. Instalator wyświetli jej treść. Aby móc kontynuować instalację należy zaznaczyć pole Akceptuję warunki umowy licencyjnej i kliknąć przycisk Dalej. Kolejnym krokiem instalacji jest wybór komponentów, które mają zostać zainstalowane. Zalecany jest wybór instalacji pełnej, ponieważ rezygnacja z niektórych komponentów może spowodować nieprawidłowe działanie aplikacji. Instalacja dostosowana jest przeznaczona tylko dla zaawansowanych użytkowników. 21

22 Program jest gotowy do instalacji. Jeśli została wybrana instalacja pełna to kontynuujemy instalację zgodnie z pkt. Instalacja Pełna tej instrukcji. Natomiast jeśli została wybrana instalacja niestandardowa, to kontynuujemy instalację zgodnie z pkt. Instalacja Dostosowana 4.1 Instalacja Standardowa Po wybraniu opcji Instalacja Standardowa otrzymujemy poniższy ekran. Na ekranie tym należy zdecydować czy instalator ma włączyć opcje podpisywania poczty elektronicznej w programie Microsoft Outlook oraz czy aplikacja ma zostać automatycznie uruchomiona podczas następnego rozruchu komputera. Po zaznaczeniu ww. opcji i wybraniu przycisku Dalej otrzymujemy ekran podsumowujący wybrane komponenty oraz zadania, które zostaną wykonane podczas instalacji. Aby kontynuować należy wcisnąć przycisk Instaluj. 22

23 Po wybraniu przycisku Instaluj Instalator sprawdza czy w systemie istnieje komponent Microsoft.NET Framework. W razie wykrycia jego braku (możliwe w systemie Windows XP), pobierze go ze strony Microsoftu i uruchomi proces instalacji (zob. punkt 4.3 Instalacja komponentu Microsoft.NET Framework). Jeśli komponent Microsoft.NET Framework został poprawnie zainstalowany lub już wcześniej istniał w systemie, rozpocznie się proces instalacji składników aplikacji Sigillum Sign 4, a na ekranie wyświetlany będzie jego postęp. 23

24 Po zainstalowaniu wszystkich składników aplikacji, użytkownik zostanie poinformowany komunikatem o rezultacie instalacji oraz poproszony o ponowne uruchomienie komputera. Po zakończeniu instalacji na pulpicie zostanie utworzony skrót do aplikacji. Dla prawidłowej pracy wszystkich komponentów aplikacji wymagane jest ponowne uruchomienie komputera. 24

25 4.2 Instalacja dostosowana Po wybraniu opcji Instalacja dostosowana otrzymujemy poniższy ekran. W oknie tym należy wybrać komponenty, które powinny zostać zainstalowane. Następnie po wybraniu przycisku Dalej, jeśli brakuje któregoś z niezbędnych do prawidłowego dziłania komponentów, wyświetlone zostaje okno z ostrzeżeniem o niepełnej instalacji. Po zaakceptowaniu ostrzeżenia instalacja jest kontynuowana analogicznie do rozdziału Instalacja Pełna z uwzględniem braku procesów instalacji komponentów, które nie zostały wybrane. Dla prawidłowej pracy aplikacji, po procesie instalacji wymagane jest ponowne uruchomienie komputera Instalacja Wtyczki do Microsoft Office Jeżeli użytkownik wybrał instalację wtyczki do Microsoft Office, to do menu głównego aplikacji Excel oraz Word dodana zostanie funkcjonlaność podpisywania oraz szyfrowania pliku. Aby wtyczka do Microsoft Office działała poprawnie wymagane jest zainstalowanie dwóch poprawek dla systemu Windows. Ich 25

26 instalacja zostanie przprowadzona automatycznie wraz z kompnentem samej wtyczki. Instalacja wtyczki do Microsoft Office może zostać przeprowadzona wcześniej, niż instalacja Microsoft Office wtyczki zostaną automatycznie dodane do menu aplikacji Word i Excel po przeprowadzeniu instalacji pakietu biurowego. 4.3 Instalacja komponentu Microsoft.NET Framework Jeśli instalator wykryje w systemie brak komponentu Microsoft.NET Framework, sam pobierze go ze strony Microsoft, aby później go zainstalować. Pierwszy ekran informuje użytkownika o rozpoczęciu instalacji komponentu. Aby kontynuować należy wcisnąć przycisk Dalej. 26

27 W kolejnym kroku należy przeczytać i zaakceptować licencję użytkownika, a następnie wcisnąć przycisk Zainstaluj. Kolejny ekran zawiera informacje o postępie instalacji. 27

28 Po zakończeniu zostanie wyświetlony ekran podsumowujący. Aby kontynuować należy wcisnąć przycisk Zakończ. 28

29 4.4 Rejestracja certyfikatu W celu rejestracji certyfikatów należy uruchomić CryptoCard Monitor, włożyć kartę i poczekać aż zostaną zarejestrowane certyfikaty lub uruchomić Menedżera CryptoCard Suite i wykonać poniższe kroki. W menu Start ->Programy ->CryptoTech ->CryptoCard Suite należy uruchomić Asystenta Certyfikatów, następnie opcję Rejestracja certyfikatu w systemie i przejść do następnego okna klikając na przycisk Dalej W momencie rejestracji certyfikatu osobistego czytnik mikroprocesorowy musi być podłączony do komputera wraz z wsuniętą do czytnika kartą mikroprocesorową z certyfikatami. Następne okno prezentuje rodzaje certyfikatów, które znajdują się w chipie karty mikroprocesorowej. Użytkownik wybiera i zaznacza rodzaj certyfikatu, którym będzie się posługiwał: CryptoCard PKI Token oznacza certyfikat komercyjny a SetEID certyfikat kwalifikowany. Aby zainstalować certyfikat należy zaznaczyć odpowiednią pozycję, po czym przejść Dalej. UWAGA! W przypadku braku kart w czytniku kart inteligentnych, bądź niepoprawnym umiejscowieniu karty w czytniku Kreator Instalacji certyfikatów w systemie wyświetli poniższe okno: 29

30 Następnie Asystent rejestracji certyfikatu w systemie wyświetli informacje dotyczące wybranego certyfikatu; w razie potrzeby można cofnąć się do poprzedniego okna za pomocą przycisku Wstecz, w innym przypadku kliknąć przycisk Dalej. Ostatnie okno pozwala na utworzenie przyjaznej nazwy dla wybranego certyfikatu oraz wskazanie magazynu (miejsca), w którym certyfikat zostanie zainstalowany. Dla większości przypadków zaleca się wybranie magazynu Osobisty. Po zakończeniu operacji należy kliknąć na przycisk Zakończ. 30

31 Kreator rejestracji certyfikatów w systemie powiadomi użytkownika o poprawnej instalacji. 31

32 4.5 Kontrola instalacji Do poprawnego działania aplikacji Sigillum Sign 4 wymagane jest zainstalowanie odpowiednich komponentów: Komponenty Wymagane 1. Sigillum Sign 4 Aplikacja (Application) 2. Sigillum Sign 4 Aktualizacje (Updates) 3. Sigillum Context Menu Menu kontekstowe 4. Sigillum Trusted CA Certificates Certyfikaty Zaufanych CA 5. Cryptocard SuitCryptocard Suit 6. Sterowniki do czytnika karty kryptograficznej Komponenty Opcjonalne 7. Sigillum Sign 4 Wtyczka do Microsoft Office (Office Plugin) wraz z poprawkami: a. Shared Add-in Extensibility Update for Microsoft.NET Framework 2.0 b. Sgared Add-in Support for Microsoft.NET Framework 2.0 Niezbędne czynności użytkownika Przeprowadzenie rejestracji certyfikatów osobistych z karty mikroprocesorowej zgodnie z instrukcją w rozdziale

33 5 DEINSTALACJA Deinstalacji można dokonać na dwa sposoby: - z menu Start/Programy/ Sigillum Sign 4/, uruchamiając program lub - z panelu sterowania W celu deinstalacji aplikacji z panelu sterowania należy w menu Start ->Panel Sterowania wybrać ikonę Dodaj / Usuń Programy. Na liście, w oknie instalacji należy odszukać wpis Sigillum Sign 4 (Odinstaluj /Uninstall All) i kliknąć przycisk Usuń. Aby proces deinstalacji został rozpoczęty należy potwierdzić decyzję wybierając przycisk TAK. Kolejny ekran przedstawia postęp procesu deinstalacji. Po zakończeniu procesu deinstalacji pojawia się ekran informacyjny 33

34 34

35 6 FUNKCJE APLIKACJI OKIENKOWEJ Aplikację w wersji okienkowej uruchamiamy z menu Start ->Programy-> Sigillum Sign 4 lub dwukrotnie klikając na skrócie aplikacji znajdującym się na pulpicie. Po uruchomieniu aplikacji otwiera się okno zawierające: Menu Główne; Eksplorator Plików znajdujących się na dysku twardym komputera; Widok Kategorii zawierający poukładane w kategoriach pliki (przy pierwszym uruchomieniu okno to jest puste); 35

36 6.1 Menu główne Podstawowe okno aplikacji zawiera Menu Główne, w którym znajdują się odwołania do odpowiednich funkcji. Podzielone jest ono na 3 części: Operacje - zawiera główne funkcje aplikacji Sigillum Sign 4 (tj. Podpis, Weryfikacja, Wyodrębnienie danych, wysłanie pliku pocztą elektroniczną oraz Szyfrowanie) Konfiguracja zawiera opcje ustawień aplikacji Pomoc zawiera opcje związane z prawidłowym działaniem oraz użytkowaniem aplikacji 6.2 Zarządzanie plikami w aplikacji Pliki skojarzone z aplikacją przechowywane są w formie referencji (odwołań) do plików. Referencje te są przechowywane po zamknięciu aplikacji, dzięki czemu przywraca ona swój poprzedni stan po ponownym uruchomieniu. 36

37 Ponieważ pliki przechowywane są jako referencje (a nie dane) skasowanie pliku na dysku, do którego było odwołanie w aplikacji spowoduje, że referencja zostanie oznaczona jako nieprawidłowa Import plików Przed przystąpieniem do dowolnej operacji kryptograficznej, udostępnionej przez aplikację (np. operacja weryfikacji podpisu), należy najpierw zaimportować pliki, na których ma być ona przeprowadzona. Należy pamiętać, że aplikacja przeprowadza operacje tylko na plikach zaznaczonych w widoku kategorii (lewe okno). Importu plików można dokonać na kilka sposobów. wyszukać pliki na dysku za pomocą Eksploratora Plików w prawym oknie aplikacji, zaznaczyć je a następnie użyć przycisku importu zostaną dodane do kategorii Import w lewym oknie) (pliki wyszukać pliki na dysku za pomocą Eksploratora Plików w prawym oknie aplikacji, zaznaczyć je a następnie przeciągnąć je i upuścić w lewym oknie zawierającym Widok Kategorii (pliki zostaną dodane do kategorii, na którą zostały upuszczone lub do kategorii Import, jeśli widok był pusty) wyszukać pliki na dysku w dowolnym miejscu poza oknem aplikacji, zaznaczyć je a następnie przeciągnąć i upuścić w lewym oknie aplikacji zawierającym Widok Kategorii 37

38 6.2.2 Eksport plików Eksportu pliku do folderu na dysku można dokonać w analogiczny sposób do opisanego wcześniej importu. zaznaczyć pliki w Widoku Kategorii a następnie użyć przycisku eksportu. Pliki zostaną skopiowane do folderu, który był aktualnie otworzony w Eksploratorze Plików. zaznaczyć pliki w Widoku Kategorii a następnie przeciągnąć je i upuścić w Eksploratorze Plików. wyszukać pliki na dysku w dowolnym miejscu poza oknem aplikacji, zaznaczyć je a następnie przeciągnąć i upuścić w Eksploratorze Plików Usuwanie plików Aby wymazać pliki z aplikacji należy zaznaczyć je w Widoku Kategorii, a następnie wybrać opcję ich usunięcia Operacje -> Zarządzanie plikami -> Usuń pliki lub przycisnąć prawy przycisk myszy i wybrać opcję Usuń plik z menu kontekstowego. Wyświetlone zostanie okno potwierdzające operację, w którym należy wcisnąć przycisk Tak. 38

39 6.2.4 Kategoryzacja plików Aplikacja została zaprojektowana tak, aby użytkownik w łatwy sposób mógł grupować przetwarzane pliki w kategoriach. Podstawową kategorią jest domyślna kategoria Import. Aby przypisać pliki do kategorii należy je zaznaczyć a następnie wybrać opcję Operacje -> Zarządzanie plikami -> Kategoryzuj pliki lub przycisnąć prawy przycisk myszy i wybrać opcję Kategoryzuj z menu kontekstowego. Wyświetlone zostanie okno z listą dostępnych kategorii. Obok nazwy kategorii znajduje się pole wyboru. Symbol oznacza, że wszystkie plik przypisane są do tej kategorii, a kwadrat, że część plików jest przypisana a część nie. Puste pole oznacza, że żaden plik nie jest przypisany. Klikając w pole wyboru obok kategorii można zmienić przypisania. Należy pamiętać o tym, że w widoku plików nie pokazują się puste kategorie (kategorie, do których nie są przypisane żadne pliki). 39

40 Dodawanie kategorii Aby dodać nową kategorię należy w oknie przypisywania kategorii wcisnąć przycisk Dodaj Kategorię. W wyświetlonym oknie należy wprowadzić nazwę kategorii (nazwy kategorii nie mogą się powtarzać) a następnie wcisnąć przycisk OK Usuwanie kategorii Wciśnięcie ikony kosza obok wybranej kategorii w oknie przypisywania kategorii spowoduje jej usunięcie, a wraz z nią jednoczesne usunięcie referencji wszystkich przypisanych do niej plików. Kategorię można również usunąć z poziomu Widoku kategorii klikając na niej prawym przyciskiem myszy, a następnie wybierając opcję Usuń kategorię. Wyświetlone zostanie okno potwierdzające operację, w którym należy wcisnąć przycisk Tak Edycja kategorii W celu edycji kategorii należy na nią kliknąć prawym przyciskiem myszy w Widoku kategorii, a następnie wybrać z wyświetlonego menu opcję Edytuj kategorię. 40

41 W wyświetlonym oknie należy wprowadzić nową nazwę kategorii i potwierdzić zmianę wciskając przycisk OK Filtrowanie widoku kategorii W celu szybkiego znalezienia dokumentu w Widoku Kategorii można użyć opcji filtrowania kolumn. Aby nałożyć filtr na kolumnę należy najechać na jej nagłówek kursorem, co spowoduje pojawienie się symbolu lejka, w który należy kliknąć. W wyniku kliknięcia pojawi się okno sugestii, które wyświetla wszystkie możliwe wystąpienia w danej kolumnie - np. w kolumnie Status pliku pojawi się możliwość wyboru jednego z występujących statusów Wybierając status (Filtr użytkownika), można zdefiniować bardziej zaawansowane wyszukiwanie. 41

42 Przedstawiony powyżej filtr spowoduje wyszukanie wszystkich plików mających w nazwie wyraz nowy (wielkość liter nie jest istotna) albo plików, które mają rozszerzenie xml. W nagłówku kolumny, na której jest założony filtr widnieje ikona lejka. Aby usunąć filtr, należy kliknąć na tą ikonę i wybrać z dostępnej listy opcję (Usuń filtr) Funkcja otwórz plik Plik znajdujący się w Widoku kategorii użytkownik może w łatwy sposób otworzyć w jego domyślnej aplikacji (np. w celu zapoznania się z treścią dokumentu, który akurat ma zamiar zaszyfrować). Aby to zrobić należy zaznaczyć pojedynczy plik, kliknąć na nim prawym przyciskiem myszy i wybrać opcję Otwórz plik 42

43 6.2.7 Funkcja otwórz folder zawierający Aby otworzyć folder systemu Windows, w którym znajduje się plik umieszczony w Widoku kategorii, należy zaznaczyć pojedynczy plik, kliknąć na nim prawym przyciskiem myszy, a następnie wybrać opcję Otwórz folder zawierający. Funkcja ta może być bardzo przydatna w celu szybkiej lokalizacji pliku na dysku. 43

44 6.3 Podpis elektroniczny Aplikacja umożliwia podpisywanie plików w następujących formatach: XAdES (w wariancie: BES, T) oraz CMS, które szczegółowo opisane są w rozdziale 1.1 Słownik Podpisywanie plików Aby podpisać dokument elektronicznie, należy go zaznaczyć w Widoku Kategorii, a następnie wcisnąć przycisk Operacje -> Podpis elektroniczny -> Podpisz pliki. lub kliknąć na nim prawym przyciskiem myszy i wybrać opcję Podpisz -> Podpisz z menu kontekstowego. W pojawiającym się oknie należy wybrać ustawienia podpisu (Więcej informacji odnośnie możliwych ustawień podpisu można znaleźć w rozdziale Ustawienia podpisu), certyfikat przeznaczony do podpisu danych oraz w przypadku przygotowania podpisu opatrzonego w znacznik czasu, certyfikat służący do podpisania żądania znacznika czasu. 44

45 Istnieje możliwość prezentacji szczegółów wybranego certyfikatu w nowym oknie. Aby to zrobić należy kliknąć w symbol lupy obok certyfikatu. Okno ze szczegółami certyfikatu prezentuje informacje pogrupowane w trzech zakładkach: Ogólne zawiera główne informacje o wystawcy i właścicielu certyfikatu, Szczegóły zawiera szczegółowe informacje o certyfikacie oraz jego rozszerzeniach, Ścieżka certyfikacji prezentuje pełną ścieżkę certyfikacji pozwalającą ustalić wiarygodność certyfikatu. Po wciśnięciu przycisku Dalej > pokazuje się kolejny ekran. Przedstawia on podsumowanie operacji podpisu, która ma zostać wykonana. Zawarte są na nim informacje o wybranym certyfikacie oraz wybranych ustawieniach podpisu. Wyświetlona jest również lista plików przeznaczonych do podpisu. W przypadku podpisu wewnętrznego (otoczonego) istnieje dodatkowo możliwość dodania załączników (dodatkowych plików stanowiących np. załączniki do umowy). Warto pamiętać, że choć istnieje możliwość wskazania załączników z różnych folderów systemowych, to dobrą praktyką jest przechowywanie złączników w tym samym folderze, co plik źródłowy. Aby dodać załącznik należy wcisnąć przycisk Dodaj w kolumnie Załączniki. Wybrane załączniki zostaną dodane do pliku podpisu. Jeśli na liście przypadkowo pojawił się niepożądany załącznik należy go usunąć korzystając z przycisku Usuń znajdującego się obok ścieżki tego załącznika. 45

46 Korzystając z przycisku <Wstecz można cofnąć się do poprzedniego ekranu, aby zmienić ustawienia podpisu lub certyfikat. Przycisk Pokaż certyfikat pozwala obejrzeć szczegółowe informacje o certyfikacie przeznaczonym do podpisu danych lub certyfikacie użytym do podpisu żądania znacznika czasu. Przycisk Anuluj przerywa akcję podpisywania plików. Aby kontynuować operację podpisu należy wcisnąć przycisk Podpisz. UWAGA! Częstą praktyką ataków hackerskich jest podsunięcie użytkownikowi do podpisu innej treści niż się spodziewa. (np. zamiast wniosku urlopowego, niekorzystną umowę na dużą sumę). Dokumenty wybrane do podpisu są zabezpieczone przed zmianą treści, dlatego aby uchronić się przed tego typu atakami należy zawsze przed przystąpieniem do podpisywania (wciśnięciem przycisku Podpisz) przeczytać treść wszystkich dokumentów, które mają zostać podpisane. Aby otworzyć dokument należy wcisnąć znajdujący się obok niego przycisk lupy. 46

47 W następnym etapie wyświetlone zostanie okno Postępu podpisywania, które przedstawia informacje o stanie zaawansowania operacji podpisu. Użytkownik może przerwać operację wciskając przycisk Anuluj 47

48 UWAGA! Jeżeli czytnik kart nie został wykryty przez system Windows, w czytniku kart nie umieszczono odpowiedniej karty z certyfikatem lub gdy karta jest nieprawidłowo włożona w trakcie operacji podpisu wyświetlone zostanie okno błędu z informacją, że aplikacja nie może uzyskać dostępu do klucza prywatnego. Podobny problem może pojawić się, gdy tworzony jest podpis opatrzony w znacznik czasu, a karta z certyfikatem użytym do podpisania żądania znacznika czasu nie jest włożona do czytnika. Szczególnym przypadkiem powstawania tego typu problemów jest sytuacja, gdy certyfiakt do podpisu danych oraz certyfikat do podpisania żądania znacznika czasu znajduja się na różnych kartach, a użytkownik nie podpiął ich jednocześnie do komputera, ponieważ ma tylko jeden czytnik. W takiej sytuacji w trakcie tworzenia podpisu należałoby zmienić karty w czytniku, ale domyślnie nie jest to możliwe ponieważ aplikacja CryptoCard jest skonfigurowana w taki sposób, że jeśli nie wykryje w systemie odpowiedniej karty z certyfikatem, to generuje błąd. Aby zmienić te ustawienia i wymusić oczekiwanie aplikacji CryptoCard na odpowiednią kartę z certyfikatem, należy uruchomić aplikację Manager CryptoCard Suit, a następnie w zkładce Konfiguracja zaznaczyć opcję Oczekuj na włożenie karty elektronicznej do czytnika 48

49 Jeśli do operacji podpisu wybrano certyfikat znajdujący się na kracie kryptograficznej w następnym etapie wyświetlone zostanie okno aplikacji CryptoCard w celu autoryzacji użytkownika za pomocą kodu PIN. Po wprowadzeniu kodu PIN należy wcisnąć przycisk OK w celu kontynuowania operacji podpisu. Podczas jednej operacji podpisu w przypadku korzystania z certyfikatu kwalifikowanego okno pytające o kod PIN może pojawiać się wielokrotnie, raz lub wcale. Zależy to od ustawień aplikacji CryptoCard oraz od wybranego certyfikatu 49

50 Jeżeli w trakcie operacji podpisu wystąpi konflikt ścieżek (wynikowy plik podpisu będzie miał taką samą ścieżkę jak już istniejący plik na dysku) wyświetlone zostanie okno nadpisywania pliku. Użytkownik może nadpisać istniejący plik korzystając z funkcji Zamień na nowy, pozostawić istniejący plik korzystając z funkcji Pozostaw stary. Może również zapisać nowopowstały plik podpisu pod inną nazwą korzystając z funkcji Zapisz nowy pod inną nazwą. Wciśnięcie przycisku Anuluj przerywa całą operację podpisu. 50

51 Po ukończeniu operacji podpisu wyświetlone zostaje okno informujące o pomyślnym przebiegu operacji. 51

52 6.3.2 Kontrasygnata Kontrasygnata w przypadku podpisu elektronicznego to dołączanie przez drugą osobę kolejnego podpisu elektronicznego do istniejącej struktury danych, potwierdzając w ten sposób ich ważność. W celu złożenia kontrasygnaty należy w Widoku Kategorii a następnie wcisnąć przycisk wybrać pliki, Operacje -> Podpis elektroniczny -> Dodaj kontrasygnatę lub kliknąć na jednym z nich prawym przyciskiem myszy i wybrać z menu kontekstowego opcję Podpisz -> Dodaj kontrasygnatę Operacja tworzenia kontrasygnaty przebiega podobnie do operacji podpisu, która była szczegółowo opisana wcześniej. Przebieg ona w następujący sposób. W pojawiającym się oknie należy wybrać ustawienia podpisu (Więcej informacji odnośnie możliwych ustawiń podpisu można znaleźć w rozdziale Ustawienia podpisu), certyfikat przeznaczony do podpisu danych oraz w przypadku przygotowania podpisu opatrzonego w znacznik czasu, certyfikat służący do podpisania żądania znacznika czasu. 52

53 Po wciśnięciu przycisku Dalej> pojawia się okno podsumowujące operację podpisu. Przed dokonaniem kontrasygnaty szczególnie, gdy ma być złożona przy pomocy certyfikatu kwalifikowanego, użytkownik powinien sprawdzić treść każdego z plików, aby uchronić się przed podpisaniem niepożądanej treści. Aby otworzyć plik w celu zapoznania się z jego zawartością wcisnąć przycisk lupy znajdujący się obok jego ścieżki. Po prawej stronie pod ustawieniami podpisu prezentowane są główne informacje o ustawieniach podpisu, certyfikacie wybranym do kontrasygnaty oraz ewentualnie o certyfikacie przeznaczonym do podpisania znacznika czasu Aby kontynuować operację podpisu należy wcisnąć przycisk Podpisz. W następnym etapie wyświetlone zostanie okno Postępu podpisywania, które wyświetla informacje o stanie zaawansowania operacji składania kontrasygnaty. Użytkownik może przerwać operację wciskając przycisk Anuluj 53

54 UWAGA! Jeżeli czytnik kart nie został wykryty przez system Windows, w czytniku kart nie umieszczono odpowiedniej karty z certyfikatem lub gdy karta jest nieprawidłowo włożona w trakcie operacji podpisu wyświetlone zostanie okno błędu z informacją, że aplikacja nie może uzyskać dostępu do klucza prywatnego. Podobny problem może pojawić się, gdy tworzony jest podpis opatrzony w znacznik czasu, a karta z certyfikatem użytym do podisania żądania znacznika czasu nie jest włożona do czytnika. Szczególnym przypadkiem powstawania tego typu problemów jest sytuacja, gdy certyfiakt do podpisu danych oraz certyfikat do podpisania żądania znacznika czasu znajduja się na różnych kartach, a użytkownik nie podpiął ich jednocześnie do komputera, ponieważ ma tylko jeden czytnik. W takiej sytuacji w trakcie tworzenia podpisu należałoby zmienić karty w czytniku, ale 54

55 domyślnie nie jest to możliwe ponieważ aplikacja CryptoCard jest skonfigurowana w taki sposób, że jeśli nie wykryje w systemie odpowiedniej karty z certyfikatem, to generuje błąd. Aby zmienić te ustawienia i wymusić oczekiwanie aplikacji CryptoCard na odpowiednią kartę z certyfikatem, należy uruchomić aplikację Manager CryptoCard Suit, a następnie w zkładce Konfiguracja zaznaczyć opcję Oczekuj na włożenie karty elektronicznej do czytnika Jeśli do operacji podpisu wybrano certyfikat znajdujący się na kracie kryptograficznej w następnym etapie wyświetlone zostanie okno aplikacji CryptoCard w celu autoryzacji użytkownika za pomocą kodu PIN. Po wprowadzeniu kodu PIN należy wcisnąć przycisk OK w celu kontynuowania operacji podpisu. 55

56 Podczas jednej operacji podpisu w przypadku korzystania z certyfikatu kwalifikowanego okno pytające o kod PIN może pojawiać się wielokrotnie, raz lub wcale. Zależy to od ustawień aplikacji CryptoCard oraz od wybranego certyfikatu. Po ukończeniu operacji podpisu wyświetlone zostaje okno informujące o pomyślnym przebiegu operacji Podpis ze znacznikiem czasu Dołączanie znacznika czasu, do popdisu elktronicznego pozwala ustalenie dokładnej daty podpisu pliku podczas weryfikacji. Funkcja znakowania czasem jest domyślnie włączona w przypadku formatu podpisu XAdES-T. W przypadku formatu CMS użytkownik może sam zdecydować czy składając podpis chce również użyć funkcji znakowania czasem. Znaczniki czasu pobierane są z serwera UZC (Urząd Znakowania Czasem). Urzędy znakowania czasem prowadzone są przez centra certyfikacyjne. Domyślnie w aplikacji ustawiony jest adres serwera UZC prowadzonego przez PCCE Sigillum. Zmiany i dodanie nowego serwera UZC szczegółowo zostały opisane w rozdziale Serwery UZC. W większości przypadków żądanie znacznika czasu musi być podpisane certyfikatem elektronicznym i jest usługą odpłatną. Aplikacja Sigillum Sign 4 pozwala użytkownikowi samodzielnie określić który certyfikat ma być wykorzystany do popdisania żądania znacznika czasu. Jeśli nie zostanie wybrany żaden certyfikat, żądanie nie będzie podpisane. 56

57 6.3.4 Dodawanie znacznika czasu do istniejącego podpisu Dla plików podpisu nie opatrzonych znacznikiem czasu istnieje możliwość dodania go poprzez wywołanie operacji Operacje -> Podpis elektroniczny -> Dodaj znacznik czasu. Spowoduje to uruchomione okna, w którym zaprezentowany jest adres serwera, do którego skierowane jest żądanie znacznika czasu oraz wybrany certyfikat, który zostanie użyty do podpisania tego żądania. Zmiana domyślnego serwera znakowania czasem możliwa jest tylko z posiomu konfiguracji (Więcej informacji na ten temat znajduje się w rozdziale Serwery UZC). Aby zaakceptować wybrane certyfikat należy wcisnąć przycisk Dalej>. W kolejnym etapie wyświetlone zostanie okno podsumowujące operację znakowania czasem. Przedstawia ono informacje o pliku podpisu oraz o certyfikacie użytym do podpisania żądania znakowania czasem. Aby zakończyć operację należy wcisnąć przycisk Podpisz. 57

58 W następnym kroku wyświetlone zostanie okno Postępu podpisywania, które wyświetla informacje o stanie zaawansowania operacji dodawnia znacznika czasu. Użytkownik może przerwać operację wciskając przycisk Anuluj Po ukończeniu operacji dodawnaia znacznika czasu wyświetlone zostaje okno informujące o pomyślnym przebiegu operacji. 58

59 6.4 Weryfikacja podpisu Certyfikat można uważać za elektroniczny dowód tożsamości. Wynika to z faktu, że weryfikacja podpisu elektronicznego odbywa się za pomocą danych służących do weryfikacji, zawartych w certyfikacie. Jeśli więc weryfikacja podpisu zakończy się pozytywnie, to wystarczy zajrzeć do elektronicznego dowodu tożsamości (certyfikatu kwalifikowanego) i sprawdzić, kto złożył podpis. Aplikacja Sigillum Sign 4 posiada funkcjonalność zweryfikowania uprzednio podpisanego pliku w jednym z następujących, automatycznie rozpoznawanych formatów. CMS / PKCS#7 XAdES SDOC SMIME W przypadku kontrasygnaty aplikacja weryfikuje wszystkie podpisy. W celu weryfikacji podpisów należy w Widoku Kategorii wybrać podpisane pliki, a następnie wcisnąć przycisk Operacje -> Podpis elektroniczny -> Weryfikuj podpisy. lub kliknąć na nich prawym przyciskiem myszy i wybrać z menu kontekstowego opcję Weryfikuj. W kolejnym etapie operacji wyświetlone zostanie okno weryfikacji, do którego wczytywane będą kolejno statusy weryfikacji dla poszczególnych plików. Możliwe są następujące wyniki weryfikacji każdego z podpisów: pozytywna negatywna niekompletna brak możliwości pełnego zweryfikowania ważności podpisu lub certyfikatu, którym został złożony. nieznana aplikacja nie rozpoznała pliku, jako plik opatrzony podpisem cyfrowym lub miała problem z wczytaniem jego zawartości np. ze względu na brak wystarczającej ilości wolnej pamięci operacyjnej w systemie) 59

60 W przypadku negatywnej lub niekompletnej weryfikacji, w panelu Szczegóły weryfikacji wyświetlone zostają dodatkowe informacje o przyczynie wystąpienia takiego statusu. Przycisk Wyodrębnij dane pozwala wyodrębnić z pliku podpisu plik danych źródłowych. Przycisk Pokaż certyfikat pozwala obejrzeć certyfikat, którym zostały podpisane dane. Przycisk Anuluj powoduje przerwanie procesu weryfikacji, natomiast przycisk OK kończy pracę z oknem weryfikacji. W zakładce Pliki danych i załączniki znajduje się informacja o połączonych z plikiem podpisu pliku danych podpisu zewnętrznego lub złącznikach w przypadku podpisu otoczonego. Istnieje możliwość otworzenia każdego z tych plików za pomocą przycisku lupy lub zapisania poprzez wciśnięcie symbolu dyskietki. W przypadku, gdy aplikacja nie mogła odnaleźć powiązanego z plikiem załącznika lub pliku danych wyświetlana jest przy nim informacja o błędzie. 60

61 W zakładce Szczegóły w dostępne są dodatkowe informacje o pliku podpisu (tj. Algorytm podpisu, certyfikat użyty do podpisu, data podpisu, typ zawartości, ). 6.5 Wyodrębnianie danych Wyodrębnianie danych to wyodrębnienie z plików podpisu podpisanych danych. W celu wywołania tej funkcji należy najpierw zaznaczyć podpisane pliki w Widoku kategorii, a następnie wcisnąć przycisk Operacje -> Podpis elektroniczny -> Wyodrębnij dane z podpisanych plików lub kliknąć na nich prawym przyciskiem myszy i wybrać z menu kontekstowego opcję Wyodrębnij dane. Wyświetlone zostanie okno wyodrębniania danych, gdzie kolejno będą wczytywane pliki podpisu wraz ze statusem operacji. 61

62 Jeżeli aplikacja pomyślnie wyodrębni dane z pliku w kolumnie Plik wynikowy wyświetlona zostanie nazwa pliku danych a opcje Pokaż i Zapisz będą dostępne. Dzięki nim użytkownik będzie miał możliwość odpowiednio obejrzenia i zapisania wyodrębnionego pliku. W przypadku, gdy wyodrębnienie danych nie jest możliwe w kolumnie Plik wynikowy wyświetlona zostanie przyczyna błędu. Przycisk Anuluj przerywa operację wyodrębniania danych. Po zakończeniu operacji na wyodrębnionych plikach należy wcisnąć przycisk OK. 6.6 Szyfrowanie Celem szyfrowania jest ukrycie informacji przed możliwością jej odczytania przez niepowołaną osobę. W przeciwieństwie do podpisu elektronicznego, w procesie szyfrowania wykorzystujemy klucz publiczny powiązany z certyfikatem osoby, której chcemy nadać uprawnienia do odczytu informacji. Taka osoba jest w stanie odkodować te informacje używając swojego klucza prywatnego. Aby zaszyfrować pliki należy w Widoku Kategorii wybrać pliki a następnie wcisnąć przycisk Operacje -> Szyfrowanie -> Szyfruj pliki lub kliknąć na nich prawym przyciskiem myszy i wybrać z menu kontekstowego opcję Szyfruj W pojawiającym się oknie należy wybrać certyfikaty osób, dla których zostaną zaszyfrowane pliki. Należy pamiętać o tym, że nie mogą to być certyfikaty, które nie są do tego przeznaczone. Na liście odbiorców warto również umieścić swój certyfikat, co pozwoli na późniejsze odszyfrowanie zawartości pliku. 62

63 UWAGA! W szczegółach certyfikatu można znaleźć informację czy certyfikat jest przeznaczony do szyfrowania plików (Certyfikaty w rozszerzeniu Użycie klucza zawierają wartość Szyfrowanie klucza) 63

64 Użytkownik ma możliwość wyszukania certyfikatów użytkowników w: magazynie systemowym wśród certyfikatów przechowywanych na komputerze użytkownika katalogu LDAP. Domyślnym katalogiem LDAP jest katalog, w którym przechowywane są certyfikaty komercyjne wystawione przez PCCE Sigillum. Użytkownik ma również możliwość zmiany lub dodania nowego katalogu LDAP (jest to opisane dokładnie w rozdziale ). 64

65 UWAGA! Aby wyszukać certyfikat w katalogu LDAP należy wybrać z listy katalog, w którym ma zostać przeprowadzone wyszukiwanie, wprowadzić warunki wyszukiwania (Należy podać pełne wartości wybranych właściwości certyfikatu, który ma zostać znaleziony), a następnie wcisnąć przycisk Szukaj. Wyszukiwanie możen przprowadzić po jednej lub po kilku właściwościach na raz. Dostępne właściwości przeszukiwania to: Nazwa powszechna, Imię, Nazwisko, Adres , oraz nazwa organizacji. Aby dodać certyfikat do listy odbiorców należy wcisnąć przycisk. Aby usunąć certyfikat z listy odbiorców należy wcisnąć przycisk. Aby zaakceptować listę wybranych certyfikatów należy wcisnąć przycisk Dalej >. Przycisk Anuluj przerywa operację szyfrowania. Po wybraniu certyfikatu pojawia się okno podsumowujące operację szyfrowania. Z lewej strony wyświetlona jest lista wybranych do szyfrowania plików. Obok każdego pliku widnieje ikona lupy, która pozwala obejrzeć treść pliku w jego domyślnej aplikacji. Po prawej stronie wyświetlona jest lista wybranych do szyfrowania certyfikatów. Jeśli użytkownik uzna, że chce jeszcze zmienić listę certyfikatów odbiorców może to zrobić używając przycisku <Wstecz 65

66 Aby kontynuować operację szyfrowania należy wcisnąć przycisk Szyfruj. Przycisk Anuluj przerywa akcję szyfrowania pliku. W następnym etapie wyświetlone zostanie okno Postępu szyfrowania zwierające informację o stanie zaawansowania operacji szyfrowania. Użytkownik może przerwać operację wciskając przycisk Anuluj. Jeżeli w trakcie operacji szyfrowania wystąpi konflikt ścieżek (zaszyfrowany plik będzie miał taką samą ścieżkę jak już istniejący plik na dysku) wyświetlone zostanie okno nadpisywania pliku. Użytkownik może nadpisać istniejący plik korzystając z funkcji Zamień na nowy, pozostawić istniejący plik korzystając z funkcji Pozostaw stary. Może również zapisać zaszyfrowany plik pod inną 66

67 nazwą korzystając z funkcji Zapisz nowy pod inną nazwą. Wciśnięcie przycisku Anuluj przerywa całą operację szyfrowania. Po ukończeniu operacji szyfrowania zostaje wyświetlone okno informujące o pomyślnym przebiegu operacji. 67

68 6.7 Odszyfrowywanie Odszyfrowywanie plików dedykowanych dla danego odbiorcy polega na użyciu przez niego jego własnego klucza prywatnego, dzięki któremu tylko on może odczytać dane. W celu odszyfrowania zaszyfrowanych plików należy je zaznaczyć w Widoku kategorii a następnie użyć opcji Operacje -> Szyfrowanie -> Odszyfruj pliki lub kliknąć na nie prawym przyciskiem myszy i wybrać z menu kontekstowego opcję Odszyfruj. Wyświetlone zostanie okno odszyfrowywania plików danych, gdzie kolejno będą wczytywane pliki wraz ze statusem operacji. Dla każdego pliku, przed odszyfrowaniem, należy wskazać certyfikat, który będzie użyty w procesie odszyfrowywania. Wyświetlone zostanie w tym celu okno 68

69 wyboru certyfikatów, w którym do wybory będą certyfikaty znajdujące się w magazynie osobiste i jednocześnie użyte do szyfrowania tego pliku. Jeżeli aplikacja pomyślnie odszyfruje plik, w kolumnie Plik wynikowy wyświetlona zostanie nazwa odszyfrowanego pliku, a opcje Pokaż i Zapisz będą dostępne. Dzięki nim użytkownik będzie miał możliwość odpowiednio obejrzenia i zapisania odszyfrowanego pliku. W przypadku, gdy odszyfrowanie danych nie jest możliwe, w kolumnie Plik wynikowy wyświetlony zostanie komunikat o przyczynie błędu. Przycisk Anuluj przerywa operację odszyfrowywania danych. Po zakończeniu operacji na plikach należy wcisnąć przycisk OK. 69

70 6.8 Funkcja wyślij Aplikacja Sigillum Sign 4 udostępnia możliwość szybkiego wysłania podpisanych lub zaszyfrowanych plików za pomocą poczty . Należy pamiętać, że aby opcja ta działała poprawnie użytkownik musi korzystać z klienta poczty , w którym ma zdefiniowane co najmniej jedno konto pocztowe. Aplikacja współpracuje z najbardziej popularnymi klientami poczty , wśród których można wymienić aplikacje: Outlook Express, Microsoft Outlook, Eudora, Thunderbird W celu wysłania plików należy je zaznaczyć w Widoku kategorii, a następnie wybrać z menu opcję Operacje-> Poczta-> Wyślij 6.9 Konfiguracja Menu konfiguracja pozwala na zarządzanie ustawieniami aplikacji. Znajdują się tu preferowane ustawienia podpisu, interfejsu użytkownika, poczty itp Ustawienia aplikacji W celu zmiany głównych ustawień aplikacji należy uruchomić opcję Konfiguracja -> Opcje Programu-> Ustawienia Powoduje to wyświetlenie okna Ustawienia, które pozwala na: Zmianę języka (do wyboru Polski lub Angielski) Zmianę skóry (wyglądu) aplikacji Zmianę ustawień automatycznego sprawdzania aktualizacji Zmianę ustawień dotyczących serwera Proxy. Użytkownik ma do wyboru opcje: 70

71 o o o Nie używaj połączenie z internetem będzie odbywać się bez pośrednictwa Proxy Użyj ustawień systemowych połaczenie z internetem będzie odbywać się za pomocą ustawień pobranych z ustawień systemowych, które można zmienić używając przeglądarki Internet Explorer Użyj własnych ustawień użytkownik może ustawić własny adres oraz dane autryzacyjne serwera proxy Zmianę ustawień dotyczących historii zdarzeń, która przechowuje informację o operacjach wykonanych za pomocą aplikacji Sigillum Sign 4 71

72 Wciśnięcie przycisku Przywróć ustawienia domyślne spowoduje przywrócenie ustawień do pierwotnego stanu. Aby zaakceptować wprowadzone zmiany należy wcisnąć przycisk OK, natomiast by je pominąć - Anuluj Historia zdarzeń Można ustawić przechowywanie informacji o dokonanych operacjach według dostępnych opcji: Przechowanie historii zdarzeń przez określony czas w przedziale miesięcy Przechowanie całej historii zdarzeń Nieprzechowywanie historii zdarzeń Aby obejrzeć historię zdarzeń użytkownik musi kliknąć w oknie ustawień przycisk Przeglądaj historię zdarzeń. Wyświetlone zostanie okno zawierające informacje o wszystkich operacjach na plikach wykonanych w aplikacji Sigillum Sign 4. Aby wyczyścić okno, należy wcisnąć przycisk Wyczyść historię zdarzeń 72

73 6.9.2 Certyfikaty Po kliknięciu w zakładkę Konfiguracja -> Opcje Programu-> Certyfikaty wyświetlnne zostanie okono konfiguacyjne Certyfikaty. Umożliwia ono ustawienie domyślnych certyfikatów aplikacji oraz przypomnienia o terminach ważności. Pozwala również na przeglądanie systemowych magazynów certyfikatów oraz na przeszukiwanie katalogów LDAP Domyślne certyfiakty Zakładka Ustawienia -> Domyślne certyfikaty pozwala na ustawienie domyślnych certyfikatów aplikacji używanych do podpisywania, znakowania czasem oraz szyfrowania. Aby ustawić domyślny certyfikat dla wybranej akcji, należy wybrać go z listy rozwijanej w odpowiadającej jej polu. Aby obejrzeć właściwości wybranego certyfikatu należy kliknąć w ikonkę lupy obok listy rozwijanej. W przypadku akcji znakowania czasem istnieje również możliwość zablokowania okienka pytającego o wybór certyfikatu podczas wykonywania operacji 73

74 dodawania znacznika czasu. Należy w tym celu zaznaczyć opcję Nie pokazuj okna wyboru certyfikatu Przypomnienie o ważności certyfikatów Zakładka Ustawienia -> Przypomnienia pozwala na zmianę ustawień dotyczących monitu o certyfikatach, których termin ważności dobiegł lub dobiega już końca. Zalecane jest, aby przypomnienie było włączone, aby użytkownik został poinformowany o terminie wygaśnięcia certyfikatu na tyle wcześnie, by zdążył wyrobić nowy certyfikat. Używając przycisku Ustaw przypomnienie dla certyfikatów o krótkim terminie ważności użytkownik będzie mógł zaznaczyć certyfikaty, które mają zostać. UWAGA! Monit z przypomnieniem o certyfikatach mających krótki termin ważności wyświetlany jest przy każdym uruchomieniu aplikacji w trybie okienkowym, jeżeli w systemowym magazynie certyfikatów osobistych istnieje co najmniej jeden certyfikat, którego termin ważności dobiega końca lub już upłynął, a przypomnienie nie zostało dla niego wyłączone 74

75 Przeglądanie systemowych magazynów certyfikatów Zakładki Magazyn systemowy zawierają listy wszystkich zarejestrowanych w systemie certyfikatów w odpowidającym im magazynie. Oprócz podstawowych informacji o certyfikacie, takich jak termin ważności oraz informacjach o wydawcy i właścicielu, prezentowana jest też informacja o liczbie wykorzystanych znaczników czasu. Informacja może być dość istotna ze względu praktykę pobierania opłat przez centra certyfikacyjne za każde użycie znacznika czasu. Aby obejrzeć szczegóły certyfikatu należy kliknąć w symbol lupy znajdujący się w ostatniej kolumnie. Wyświetlone zostanie okno zawierające szczegółowe informacje o certyfikacie. W zakładce Ogólne prezentowane są podstawowe informacje o certyfikacie, jego właścicielu oraz wystawcy. 75

76 W zakładce Szczegóły zawarte są właściwości oraz bardzo dokładne informacje o rozszerzeniach certyfikatu, określających jego przeznaczenie oraz ograniczenia. 76

77 77

78 W zakładce Ścieżka certyfikacji zawarte jest drzewo certyfikacji pozwalające zweryfikować wiarygodność certyfikatu Wyszukiwanie certyfikatów w katalogach LDAP Ostatnią zakładką w oknie Certyfikaty jest Wyszukiwanie certyfikatu w katalogach LDAP. Pozwala ona na przeszukiwanie wybranego katalogu LDAP w celu znalezienia umiesczonego w nim certyfikatu w celach informacyjnych. Aby wyszukać interesujący certyfikat należy wybrać z listy katalog, w którym ma zostać przeprowadzone wyszukiwanie, wprowadzić warunki wyszukiwania (Należy podać pełne wartości wybranych właściwości certyfikatu, który ma zostać znaleziony), a następnie wcisnąć przycisk Szukaj. Wyszukiwanie możen przprowadzić po jednej lub po kilku właściwościach na raz. Dostępne właściwości przeszukiwania to: Nazwa powszechna, Imię, Nazwisko, Adres , oraz nazwa organizacji. 78

79 6.9.3 Ustawienia podpisu Aby zmienić ustawienia podpisu należy uruchomić zakładkę Konfiguracja -> Opcje programu -> Ustawienia podpisu. Wyświetlone zostanie okno Ustawienia podpisu, które umożliwia zmianę domyślnych ustawień podpisu. 79

80 80

81 Profil podpisu umożliwia użycie jednego z predefinowanych ustawień podpisu. Wśród dostępnych profili podpisu są: Użytkownika pozwala na wprowadzenie własnych ustawień podpisu. Nie zawiera żadnych ograniczeń i jest profilem domyślnym. Dla systemu e-deklaracje jest to profil podpisu kompatybilny z portalem e-deklaracje.pl prowdzonym przez Ministerstwo Finansów. Podpisanie deklaracji podatkowej przy użyciu tego profilu gwarantuje jego zgodność z systemem e-deklaracje i będzie honorowane przez Ministerstwo Finansów. Dla dokumentów prawnych i normatywnych jest to profil umożliwiający opatrzenie dokumentu podpisem cyfrowym, który jest zgodny z rozporządzeniem ministra spraw wewnętrznych i administracji z dnia 25 kwietnia 2008 r w sprawie wymagań technicznych dokumentów elektronicznych zawierajacych akty normatywne i inne akty prawne, elektronicznej formy dzienników urzędowych oraz środków komunikacji elektronicznej i informatycznych nośńików danych Format pdopisu definiuje standard, według którego stworzony zostanie plik podpisu. Dostępne formaty podpisu to: CMS (Cryptographic Message Syntax) XAdES (Xml Advanced Electronic Signature) Typ podpisu wskazuje na sposób, w jaki zostanie utworzona sygnatura. Dostępne są trzy możliwości. 81

82 Wewnętrzny (Otaczający) Plik z podpisem cyfrowym zawiera w swojej strukturze dane z pliku źródłowego. o o Zalety Wady Do weryfikacji wystarczy tylko jeden plik - plik podpisu Możliwość podpisywania plików w dowolnym formacie Dłuższy czas podpisu dużych plików w stosunku do podpisu zewnętrznego. Dłuższy czas weryfikacji dużych plików w stosunku do podpisu zewnętrznego. Plik podpisu wewnętrznego (otaczającego) zwiera dane pliku źródłowego, co przy podpisywaniu dużych plików skutkuje utworzeniem pliku podpisu o jeszcze większym rozmiarze. Większe zapotrzebowanie na pamięć operacyjną powoduje, że maksymalny rozmiar źródłowego pliku jest znacznie mniejszy niż w przypadku podpisu zewnętrznego. Brak możliwości dołączania zewnętrznych załączników. Wewnętrzny (Otoczony) Plik wynikowy zwiera dane pliku źródłowego w formacie XML, do których dodano dodatkową gałąź (element) zawierającą podpis cyfrowy tych danych. Efekt jest taki, że gdy z pliku wynikowego usunie się gałąź (element) XML zawierającą podpis cyfrowy, to jego treść jest identyczna z treścią pliku źródłowego. o Zalety Do weryfikacji wystarczy tylko jeden plik - plik podpisu. Możliwość dodania załączników do pliku podpisu. o Wady Może być wykorzystany tylko do plików o wewnętrznej strukturze XML, przy zastrzeżeniu, że nie mogą być to pliki podpisu w formacie XAdES. Dłuższy czas podpisu dużych plików w stosunku do podpisu zewnętrznego. Dłuższy czas weryfikacji dużych plików w stosunku do podpisu zewnętrznego. 82

83 Plik podpisu wewnętrznego (otoczonego) zwiera dane pliku źródłowego, co przy podpisywaniu dużych plików skutkuje utworzeniem pliku podpisu o jeszcze większym rozmiarze. Typ otoczony dostępny jest tylko przy tworzeniu plików podpisu w formacie XAdES. Zewnętrzny Plik z podpisem cyfrowym zostaje utworzony jako odrębny plik. Zawiera on referencję do pliku źródłowego, z którym jest powiązany. o Zalety Oszczędność miejsca na dysku plik podpisu ma małe rozmiary nawet, jeśli pliku źródłowy jest duży. Krótszy czas podpisu dużych plików w stosunku do podpisu wewnętrznego. Krótszy czas weryfikacji dużych plików w stosunku do podpisu wewnętrznego. Zmniejszone zużycie pamięci operacyjnej pozwala podpisać pliki o znacznie większym rozmiarze, niż w przypadku podpisu wewnętrznego. Możliwość podpisywania plików w dowolnym formacie. o Wady Weryfikacja podpisu możliwa jest tylko wtedy, gdy użytkownik posiada zarówno plik źródłowy jak i plik podpisu. Konieczność wskazywania lokalizacji pliku źródłowego podczas weryfikacji pliku podpisu. Brak możliwości dołączania zewnętrznych załączników. Większe zapotrzebowanie na pamięć operacyjną powoduje, że maksymalny rozmiar źródłowego pliku jest znacznie mniejszy niż w przypadku podpisu zewnętrznego. Dodaktowe opcjie dla podpisu w formacie XAdES Wariant podpisu XAdES o Xades BES Podstawowy wariant podpisu XAdES. Jest najprostszym wariantem przewidzianym w stadardzie XAdES o Xades T 83

84 Podpis w wariancie XAdES T jest rozszerzeniem XAdES-a Bes o znacznik czasu, który pozwala na dokładne i pewne określenie kiedy podpis został utworzony Typ zobowiązania Określa kontekst, w którym obowiązuje podpis cyfrowy. Opcja ta ma szczególnie uzasadnione zastosowanie w sytuacji, gdy podpis cyfrowy ma służyć w celu potwierdzenia statusu obiegu dokumentu. Funkcja skrótu Określa rodzaj algorytmu służący do wyliczania skrótu z treści podpisywanego dokumentu. Algorytm SHA-2 jest bezpieczniejszy od SHA- 1, ale nie zawsze ma uzasadnienie, ponieważ niektóre certyfikaty wspierają tylko alrorytm SHA-1. Sugerowanym rozwiązaniem jest ustawienie tej opcji na wartość: Dziedzicz z certyfikatu Dodatkowe opcje dla podpisu w formacie CMS Znakowanie czasem Znakowanie czasem pozwala na dodania do podpisu cyfrowego daty pewnej pochodzącej z zasufanego źródła. Dzięki znacznikowi czaus istnieje możliwość niepodważalnego określenia kiedy złożony został podpis cyforwowy W grupie Podpisywanie poczty możliwe jest taka konfiguracja klienta poczty, aby domyślnie włączone było podpisywanie poczty . Opcja ta dostępna jest, jeśli domyślnym klientem poczty jest program Outlook Express lub Microsoft Outlook. Przycisk Pokaż polityki certyfikacyjne pozwala na przejrzenie polityk certyfikacyjnych, względem których aplikacja weryfikuje podpisy. 84

85 Przycisk Przywróć domyślne ustawienia przywraca wszystkie ustawienia zakładki do stanu, jaki był po instalacji (domyślnego) aplikacji Sigillum Sign 4. 85

86 6.9.4 Serwery Zakładka Konfiguracja -> Opcje program -> Serwery pozwala na dodanie lub modyfikację list serwerów CRL, UZC, OCSP oraz katalogów LDAP Serwery CRL Zakładka Serwery CRL wyświetla listę adresów serwerów udostępniających listy CRL. Aby dodać do listy nowy serwer należy wcisnąć przycisk Dodaj i wprowadzić Nazwę serwera oraz jego Adres URL. 86

87 W celu edycji istniejącego już serwera należy kliknąć w ikonę klucza. Spowoduje to pojawienie się okna edycji, w którym można zmienić nazwę oraz adres URL serwera CRL Aby usunąć serwer z listy należy kliknąć ikonę kosza. Pole wyboru Auto aktualizacja pozwala określić, czy listy CRL udostępnione przez zdefiniowane serwery mają być automatycznie aktualizowane. Przycisk Przywróć ustawienia domyślne przywraca pierwotną listę serwerów CRL Serwery OCSP Zakładka Serwery OCSP prezentuje listę adresów serwerów udostępniających usługę walidacji certyfikatów w czasie rzeczywistym Aby dodać do listy nowy serwer należy wcisnąć przycisk Dodaj i wprowadzić Nazwę serwera, Adres URL oraz certyfikat Urzędu certyfikacyjnego. Następnie należy określić, czy aplikacja powinna korzystać z usług tego serwera zaznaczając pole wyboru Używaj tego serwera. 87

88 W celu edycji istniejącego już serwera należy kliknąć w ikonę klucza. Spowoduje to pojawienie się okna edycji, w którym można zmienić ustawienia serwera OCSP. W celu potwierdzenia nowych ustawień należy wcisnąć przycisk OK Aby usunąć serwer z listy należy kliknąć ikonę kosza. Przycisk Przywróć ustawienia domyślne przywraca pierwotną listę serwerów OCSP Serwery UZC Zakładka Serwery UZC wyświetla listę adresów serwerów udostępniających usługę znakowania czasem 88

89 Aby dodać do listy nowy serwer należy wcisnąć przycisk Dodaj i wprowadzić Nazwę serwera oraz jego Adres URL. Pole Podpisz żądanie określa, czy żądanie pobrania znacznika czasu powinno być podpisane certyfikatem w celu potwierdzenia tożsamości użytkownika pobierającego znacznik czasu. Zalecane jest ustawienie tej opcji dla wszystkich serwerów, choć może się zdarzyć, że niektóre serwery UZC nie będą przyjmowały podpisanych żądań. W takim wypadku należy odznaczyć tą opcję. Pole Domyślny pozwala ustawić domyślny serwer UZC, wykorzystywany podczas tworzenia podpisu zawierającego znacznik czasu W celu edycji istniejącego już serwera należy kliknąć w ikonę klucza. Spowoduje to pojawienie się okna edycji, w którym można zmienić ustawienia serwera UZC. W celu potwierdzenia nowych ustawień należy wcisnąć przycisk OK 89

90 Aby usunąć serwer z listy należy kliknąć ikonę kosza. Pole wyboru Auto aktualizacja pozwala określić, czy listy CRL udostępnione przez zdefiniowane serwery mają być automatycznie aktualizowane. Przycisk Przywróć ustawienia domyślne przywraca pierwotną listę serwerów CRL. Przycisk Przywróć ustawienia domyślne przywraca pierwotną listę serwerów UZC Katalogi LDAP Zakładka Katalogi LDAP wyświetla listę adresów serwerów udostępniających bazę danych certyfikatów użytkowników za pośrednictwem protokołu LDAP Aby dodać do listy nowy serwer należy wcisnąć przycisk Dodaj i wprowadzić Nazwę serwera oraz jego Adres URL. 90

91 W celu edycji istniejącego już serwera należy kliknąć w ikonę klucza. Spowoduje to pojawienie się okna edycji, w którym można zmienić nazwę oraz adres URL serwera CRL. W celu potwierdzenia nowych ustawień należy wcisnąć przycisk OK Aby usunąć serwer z listy należy kliknąć ikonę kosza. Przycisk Przywróć ustawienia domyślne przywraca pierwotną listę serwerów LDAP Wtyczki Wciśnięcie przycisku Konfiguracja -> Wtyczki -> Zarządzaj spowoduje próbę nawiązania połączenia z serwerem wtyczek. Jeżeli połączenie zostanie nawiązane wyświetlona zostanie lista wtyczek dostępnych do pobrania. Aby zainstalować wybraną wtyczkę w aplikacji należy kliknąć przycisk Zainstaluj. 91

92 Spowoduje to pobranie wtyczki z serwera oraz jej instalację Jeżeli proces instalacji przebiegnie pomyślnie status wtyczki zostanie zmieniony na Zainstalowana i zostanie dodana, jako nowa zakładka w oknie Eksploratora plików Aby odinstalować zainstalowaną wtyczkę należy w oknie wybrać z listy zainstalowaną wtyczkę, a następnie wcisnąć przycisk Odinstaluj. Spowoduje to usunięcie wtyczki z okna Eksploratora plików a status wtyczki zostanie zmieniony na Niezainstalowana. Szczegółowe informację na temat działania poszczególnych wtyczek należy szukać w załączonej do nich dokumentacji. 92

93 6.10 Pomoc Menu Pomoc zawiera funkcje pozwalające użytkownikowi pozyskać informację na temat obsługi oraz aktualnej wersji aplikacji, zgłaszanie problemów z aplikacją oraz instalację aktualizacji automatycznych Instrukcja obsługi Aby wyświetlić instrukcję obsługi aplikacji Sigillum Sign 4 należy wcisnąć przycisk Pomoc -> Podręcznik użytkownika Pomoc aplikacji umożliwia w trakcie pracy odpowiedź na wiele pytań dotyczących podpisu elektronicznego oraz korzystania z funkcji programu. Jeżeli użytkownik będzie miał problem z obsługą któregokolwiek okna aplikacji, może również uruchomić podręcznik użytkownika dokładnie na temacie dotyczącym tego okna poprzez kliknięcie w ikonę przedstawiającą znak zapytania? 93

94 O programie Po wybraniu z menu głównego opcji Pomoc -> O programie wyświetli się okno zawierające dane kontaktowe oraz informacje o używanej wersji aplikacji Sigillum Sign Sprawdzanie aktualizacji Wybranie z menu głównego Pomoc > Sprawdź aktualizacje spowoduje nawiązanie połączenia z serwerem w celu sprawdzenia dostępności nowych aktualizacji. Jeżeli aktualizacje zostaną znalezione program zamknie wszystkie aktywne okna aplikacji Sigillum Sign 4 a następnie przystąpi do pobierania oraz instalacji aktualizacji 94

95 Zgłaszanie problemów Jeżeli użytkownik stwierdzi nieprawidłowości w działaniu aplikacji lub będzie chciał zgłosić swoje uwagi do PCCE Sigillum, powinien użyć zakładki Pomoc -> Zgłoś Problem. Spowoduje to otwarcie okna nowej wiadomości pocztowej w domyślnej aplikacji użytkownika wraz z wpisanym adresem infolinii PWPW (infolinia@pwpw.pl). Należy wpisać treść wiadomości opisując jak najdokładniej napotkany problem, a następnie przesłać, wciskając przycisk Wyślij. Przycisk Anuluj powoduje zamknięcie okna wiadomości. 95

96 7 MENU KONTEKSTOWE Aplikacja Sigillum Sign 4 udostępnia użytkownikowi możliwość wywoływania głównych funkcji z poziomu Eksploratora systemu Windows, poprzez Menu kontekstowe dostępne po kliknięciu prawym przyciskiem myszy na wybranym pliku. Z poziomu menu kontekstowego można wywoływać operacje zarówno na pojedynczych plikach, jak i na wybranej grupie. Nie istnieje możliwość wykonywania żadnych operacji na folderach, dlatego należy pamiętać, aby w grupie zaznaczonych elementów nie było katalogów. Jeżeli wśród zaznaczonych elementów będzie katalog, w menu kontekstowym nie zostaną wyświetlone opcje Aplikacji Sigillum Sign 4 96

97 Z poziomu menu kontekstowego użytkownik może Uruchomić aplikację Podpisać lub kontrasygnować plik Zweryfikować podpis Wyodrębnić dane z pliku podpisu Zaszyfrować plik Odszyfrować plik Wszystkie przedstawione operacje przebiegają w ten sam sposób, co dla aplikacji okienkowej. Jedyny wyjątek stanowi weryfikacja plików podpisu zewnętrznego lub wewnętrznego z załącznikami. Różnica polega na tym, że aplikacja uruchomiona z menu kontekstowego nie przechowuje informacji o tym, gdzie na dysku znajdują pliki danych lub załączniki dodane w trakcie utworzenia podpisu. Oznacza to, że jeśli pliki zewnętrzne nie będą się znajdowały w tym samym folderze, co plik podpisu lub będą miały inne nazwy niż w momencie tworzenia podpisu, to każdy z nich trzeba będzie wskazać ręcznie. 97

98 8 WTYCZKA DO MICROSOFT OFFICE Jeżeli użytkownik ma zainstalowany pakiet biurowy Microsoft Office, to po wykonaniu pełnej instalacji aplikacji Sigillum Sign 4 w aplikacjach Word oraz Excel dodane zostaną funkcje podpisu oraz szyfrowania plików. W przypadku Office 2007 oraz 2010 dostępne one będą w menu Dodatki, a w przypadku Office 2003 w menu Plik Operacje podpisu i szyfrowania przebiegają w analogiczny sposób do aplikacji okienkowej i zostały szczegółowo opisane w rozdziale 6. 98