wersja 2.3.4 Lite INSTRUKCJA UŻYTKOWANIA
SPIS TREŚCI WSTĘP... 3 1. JAK KORZYSTAĆ Z DOKUMENTACJI... 4 2. WYMAGANIA... 5 3. ROZPOCZĘCIE PRACY Z APLIKACJĄ PROCERTUM COMBI... 6 OPCJE MENU PLIK... 6 OPCJE MENU NARZĘDZIA... 10 MENU KONTEKSTOWE... 14 4. PODPIS ELEKTRONICZNY... 15 PODPISYWANIE ELEKTRONICZNE WIADOMOŚCI... 15 WERYFIKACJA... 19 PODPIS ELEKTRONICZNY I SZYFROWANIE... 22 DESZYFROWANIE I WERYFIKACJA... 25 5. ZNACZNIK CZASU... 26 OZNACZANIE CZASEM... 27 WERYFIKOWANIE ZNACZNIKA CZASU... 28 6. KRYPTOGRAFIA... 29 SZYFROWANIE WIADOMOŚCI... 30 DESZYFROWANIE... 32 7. WERYFIKACJA STATUSU CERTYFIKATU OCSP I CRL... 33 OCSP... 33 WERYFIKACJA NA PODSTAWIE LIST CRL... 37 WERYFIKACJA AUTOMATYCZNA... 39 8. KURIER ELEKTRONICZNY... 40 9. KONTRASYGNATA... 43 10. PODSTAWOWE DEFINICJE I SKRÓTY... 45 wersja 2.3.4 Lite 2
Wstęp Aplikacja procertum Combi wersja Lite jest ograniczoną wersją aplikacji procertum Combi. Obsługuje ona tylko certyfikaty i usługi Centrum Certyfikacji Powszechne - Unizeto CERTUM. Poniższa instrukcja opisuje pełną funkcjonalność procertum Combi, wskazując ograniczenia występujące w procertum Combi wersja Lite. Aplikacja procertum Combi wykorzystuje zintegrowane usługi Infrastruktury Klucza Publicznego zawarte w kryptograficznych modułach bibliotecznych - CERTUM API. Moduły te, to zestaw bibliotek dla środowiska Windows, które pozwalają na implementację funkcjonalności infrastruktury klucza publicznego w oprogramowaniu i systemach niezwiązanych tematycznie z PKI, a wykorzystujących rozwiązania PKI, takie jak: - podpis elektroniczny, - szyfrowanie danych, - weryfikacja statusu certyfikatu, - znakowanie wiarygodnym czasem, - kurier elektroniczny, - kontrasygnata, - skarbiec elektroniczny, - poświadczenia. Aplikacja procertum Combi daje użytkownikowi możliwość wykorzystania wszystkich wyżej wymienionych usług. Jednak ograniczenia wersji Lite powodują, że dwie ostatnie usługi są niedostępne. W związku z tym w wersji Lite dostępne będą następujące rozwiązania: - podpis elektroniczny (Digital Signature), - oznaczenie czasem (Time Stamp), - szyfrowanie i deszyfrowanie (Encryption, Decryption), - weryfikacja online statusu certyfikatu (OCSP), - kurier elektroniczny (Delivery Authority), - kontrasygnata (Countersignature). OGRANICZENIA WERSJI LITE: - możliwość korzystania tylko z certyfikatów wydanych przez Centrum Certyfikacji Powszechne - Unizeto CERTUM, - brak możliwości wprowadzania zmian w niektórych polach ustawień programu, - niedostępna usługa skarbca elektronicznego, - niedostępna usługa poświadczeń. wersja 2.3.4 Lite 3
1. Jak korzystać z dokumentacji Podręcznik podzielony jest na pięć części. Pierwsza część zawiera ogólne informacje o dokumentacji i jej wykorzystaniu. Część druga zawiera informacje o wymaganiach stawianych aplikacji dla prawidłowego działania. W części trzeciej przedstawiony jest sposób instalowania i konfigurowania aplikacji. Z kolei w części czwartej użytkownik pozna zasady jej obsługi. Piąta część zawiera wyjaśnienia podstawowych pojęć i definicji. Stosowane style czcionek Nazwy poszczególnych elementów aplikacji (takich jak okna, przyciski, komunikaty) są wyróżniane stylem czcionki: Styl czcionki Rejestracja listy CRL Start Zapisz Czy nadpisać istniejący katalog? Znaczenie Oznaczenie nazwy okna. Oznaczenie polecenia w menu oraz przycisków na pasku narzędzi. Oznaczenie przycisku. Tekst komunikatu aplikacji. Stosowane symbole W dokumencie stosowane są też następujące symbole graficzne: Symbol Znaczenie Uwaga bardzo ważna dla realizacji zadania z punktu widzenia aplikacji lub z przyczyn merytorycznych. objaśnienie Objaśnienie wskazanego elementu wersja 2.3.4 Lite 4
2. Wymagania Aplikacja procertum Combi 2.3.4 jest aplikacją jednostanowiskową, pozwalającą na pracę kilku użytkowników na tych samych danych. Aplikacja pracuje na komputerach osobistych z zainstalowanym systemem Microsoft Windows. Minimalna konfiguracja komputera dla aplikacji procertum Combi 2.3.4 jest następująca: - procesor Pentium 100 Mhz, - 64 MB pamięci operacyjnej, - minimum 20 MB wolnej przestrzeni dyskowej przed instalacją aplikacji, - przeglądarka Internet Explorer 5.5x lub wyższa (siła szyfrowania 128 bitowa), - monitor i karta graficzna o rozdzielczości min. 800 x 600 pikseli, - system operacyjny Microsoft Windows 95/98/NT/Me/2000/XP, - skonfigurowane połączenie internetowe (modemowe lub łącza stałe), - osobiste konto e-mail oraz zainstalowany program pocztowy, - certyfikat osobisty (dla wersji Lite musi być on wystawiony przez Centrum Certyfikacji Powszechne - Unizeto CERTUM). Jeżeli nie posiadasz osobistego certyfikatu to w celu pobrania go kliknij na link: http://www.certum.pl/pl/produkty/bezpieczna_poczta/index.html lub skorzystaj w aplikacji z ikony Pobierz certyfikat odwołującej się do strony umożliwiającej pobranie Certyfikatu Email w 10s. Posiadając komputer osobisty zgodny z powyższą konfiguracją należy zainstalować aplikację procertum Combi 2.3.4 oraz posiadać ważny certyfikat osobisty Urzędu Certyfikacji zgodny z formatem X.509. Proces instalacji opisano w pkt. 3 dokumentacji. wersja 2.3.4 Lite 5
3. Rozpoczęcie pracy z aplikacją procertum Combi Aplikację procertum Combi 2.3.4 można uruchomić z menu Start, skrótu na pulpicie lub bezpośrednio z folderu roboczego programu. Opcje menu Plik W menu Plik dostępne są następujące opcje: - certyfikaty, - listy CRL, - weryfikuj certyfikat, - zamknij. wersja 2.3.4 Lite 6
Opcja Certyfikaty umożliwia wywołanie okna systemowego z magazynami certyfikatów. Opcja Listy CRL zawiera następujące funkcji. Lista CRL to lista podpisana elektronicznie przez Urząd Certyfikacji wydający certyfikaty. Zawiera ona dane umożliwiające identyfikację certyfikatów, które zostały zawieszone lub unieważnione przed upływem terminu ich ważności. Znajdują się na niej m.in., nazwa wydawcy CRL, data ostatniej publikacji listy, określenie częstotliwości odnawiania listy, numery seryjne zawieszonych lub unieważnionych certyfikatów oraz daty ich zawieszenia lub unieważnienia. Przechowywana i udostępniana jest przez Repozytorium. Aby zaimportować listę CRL kliknij kolejno Plik Listy CRL Importuj. wersja 2.3.4 Lite 7
Wybierz tryb importu oraz kliknij Dalej. Listy można importować w dwojaki sposób: - z dysku - należy wskazać lokalizację pliku listy CRL, - listę CRL można także pobrać z adresu: http://crl.certum.pl/ca.crl. Wprowadzony adres pojawi się na liście kreatora importu list CRL. Po zdefiniowaniu sposobu importu kliknij Zakończ. wersja 2.3.4 Lite 8
Po chwili na ekranie pojawi się raport dotyczący importu oraz zaktualizowany zostanie wykaz list CRL. Możesz wyświetlić w opcji Szczegóły informacje ogólne oraz listy odwołań. Ponadto można wykonać następujące operacje na tych listach: - usuwać, - importować, - eksportować, - obliczyć skrót (w celu weryfikacji takiej listy). Kolejna opcja: Weryfikuj certyfikat pozwala na sprawdzenie ważności wybranego certyfikatu w chwili weryfikacji. Po wybraniu tej opcji należy wybrać certyfikat do weryfikacji i kliknąć przycisk OK". wersja 2.3.4 Lite 9
W przypadku gdy certyfikat zostanie zweryfikowany poprawnie wyświetlony zostaje następujący komunikat. Wybranie Zamknij kończy zaś pracę z aplikacją. Opcje menu Narzędzia W menu Narzędzia Ustawienia możesz obejrzeć parametry niezbędne do prawidłowej pracy aplikacji. Parametry te pogrupowane są w następujących zakładkach: - Ogólne, gdzie możliwe jest przeglądanie takich ustawień jak: - adres serwera znacznika czasu, - identyfikator polityki znacznika czasu, - adres serwera OCSP, - adres serwera kuriera elektronicznego, - adresy list CRL (możliwość modyfikacji), - kodowanie BASE64 (możliwość modyfikacji). wersja 2.3.4 Lite 10
W aplikacji użytkownik wpisuje odpowiednie ścieżki lub pozostawia domyślne ustawienia. Podane ścieżki dostępu do: - Serwera znacznika czasu - http://time.certum.pl, - Polityka znacznika czasu - 1.2.616.1.113527.2.2.5, - Serwera OCSP - http://ocsp.certum.pl, - Serwera usług kuriera elektronicznego https://www.certum.pl/cgi-bin/delivery.dll. umożliwiają wykorzystanie dostępnych usług w centrum certyfikacji Unizeto CERTUM. Opcjonalnie użytkownik może włączyć kodowanie BASE64. Konwersja BASE64, technika kodowania polegająca na przekształcaniu dowolnych danych dwójkowych na dane złożone z 65 znaków (w tym jeden znak służący do dopełniania) nadających się do wydrukowania, stosowana w systemach PEM i PGP. Kod radix-64 jest powszechnie stosowany w załącznikach pocztowych jako tzw. format BASE 64. - Połączenia W celu skonfigurowania serwera proxy należy zaznaczyć pole wyboru przy opcji Użyj serwera proxy, podając adres IP oraz port. Jeżeli obsługa proxy wymaga wersja 2.3.4 Lite 11
indywidualnego logowania to należy zaznaczyć pole wyboru przy opcji Wymaga logowania i podać nazwę konta a następnie hasło. W zależności od ustawień komputera i sieci lokalnej wymagane może być włączenie opcji Pomijaj proxy dla adresów lokalnych i Użyj trybu pasywnego w połączeniach FTP. - Log W zakładce Log można zdefiniować ścieżki położenia plików, w których powinny zapisywać się informacje dotyczące żądań oraz wskazać katalog list unieważnień. Należy przy tym pamiętać, że wskazana lokalizacja katalogu list unieważnień musi zawierać odpowiednio przygotowaną strukturę katalogów. Standardowo taką strukturę zawiera domyślny katalog instalacji oprogramowania procertum Combi (C:\Program Files\Unizeto\proCertum Combi). - LDAP W zakładce LDAP użytkownik posiada możliwość skonfigurowania usługi katalogowej LDAP. Jest to usługa wyszukiwania i instalowania w dowolnym programie pocztowym lub przeglądarce certyfikatów innych osób. Tym sposobem łatwo i szybko wyszukasz certyfikat potrzebny do zaszyfrowania pliku, dokumentu czy wiadomości. Kliknij Ustawienia LDAP a następnie kliknij przycisk Dodaj. wersja 2.3.4 Lite 12
Następnie wpisz nazwę usługi oraz adres serwera. W przypadku, gdy chcesz skorzystać z usługi świadczonej przez Unizeto Certum, wpisz adres serwera directory.certum.pl. Ponadto możesz zaimportować inne usługi katalogowe zdefiniowane w Outlook Express. Aby to zrobić kliknij przycisk Importuj w oknie Konta usługi katalogowej. - Podpis Zakładka Podpis umożliwia stworzenie listy polityk podpisu, poprzez wskazanie lokalizacji zawierających te polityki. Zdefiniowane w tym miejscu polityki będą dostępne w momencie podpisywania wiadomości w postaci rozwijalnej listy. Nie zdefiniowanie żadnej polityki podpisu na opisywanej liście pozostawia jeszcze możliwość jej wskazania w momencie tworzenia podpisu. W przypadku, gdy nawet w tym momencie użytkownik nie poda żadnej polityki użyta zostanie polityka podstawowa. - Weryfikacja Włączenie opcji Weryfikuj certyfikat podpisującego powoduje automatyczne wykonywanie weryfikacji statusu certyfikatu podpisującego na datę bieżącą po wykonaniu weryfikacji podpisu elektronicznego. Status certyfikatu sprawdzany jest dodatkowo w trakcie samej weryfikacji podpisu elektronicznego, jednak w tym momencie weryfikacja statusu certyfikatu dokonywana jest na datę utworzenia podpisu elektronicznego. Jeżeli opcja Weryfikuj certyfikat podpisującego zostanie wyłączona wersja 2.3.4 Lite 13
to użytkownik może taką weryfikację przeprowadzić dodatkowo korzystając z funkcjonalności Weryfikacja certyfikatu. Menu kontekstowe Aplikacja procertum Combi jest skojarzona z menu kontekstowym (wywoływanym prawym klawiszem myszki). Funkcjonalność ta ułatwia i przyspiesza pracę z aplikacją. W oknie eksploratora Windows wybierz plik, który np. chcesz podpisać. Zaznacz plik i kliknij prawym klawiszem myszki. Z menu kontekstowego wybierz pozycję procertum Combi Podpisz. Jak widać na powyższym ekranie aplikacja weryfikuje format pliku, a następnie aktywuje funkcje dostępne dla tego formatu. Po wybraniu odpowiedniej funkcji aplikacja uruchomi się i będzie możliwe wykonanie dalszych czynności. wersja 2.3.4 Lite 14
4. Podpis Elektroniczny Elektroniczny odpowiednik podpisu odręcznego, spełniający te same warunki, jak podpis zwykły (jest trudny lub niemożliwy do podrobienia) stwarza możliwość weryfikacji i na trwałe łączy się z dokumentem. Praktyczne formy podpisów cyfrowych stały się dostępne dzięki rozwojowi kryptografii z kluczem publicznym i polegają na dołączeniu do dokumentu skrótu, zaszyfrowanego kluczem prywatnym strony podpisującej. Podpis elektroniczny jest zgodny ze standardami: - ETSI TS 101 733 V1.2.2, - RFC 3125, RFC 2630, RFC 3126. Aplikacja procertum Combi umożliwia: - składanie podpisu, - składanie podpisu wielokrotnego, - kontrasygnowanie podpisu. Podpisywanie elektroniczne wiadomości WYMAGANIA: Ważny osobisty certyfikat wydany przez CCP - Unizeto CERTUM wraz z powiązanym z nim kluczem prywatnym. WYNIK: Plik podpisu np. test.txt.sig W celu elektronicznego podpisania dowolnego pliku wybierz narzędzie Podpis Elektroniczny wybierając ikonę. Przycisk wyboru pliku do podpisu Pole definiujące (wskazujące) lokalizację polityki podpisu wersja 2.3.4 Lite 15
Wybierz plik do podpisu klikając Wybierz. W oknie pojawi się ścieżka do żądanego pliku. Możesz wskazać plik polityki, który określa reguły podpisywania i weryfikacji wiadomości. Pole to może wskazywać: - ścieżkę dostępu do pliku znajdującego się na dysku lokalnym, - adres url do polityki (np. http://www.certum.pl/policy.spol), - pole może pozostać puste (brak wyboru pliku polityki spowoduje zastosowanie polityki podstawowej). Dodatkowo możesz wyświetlić zakładkę z zastosowaniem polityki klikając kolejno przycisk Pokaż Zasady ogólne. Po pozostawieniu pola pustego aplikacja dołącza automatycznie minimalną politykę, która zawiera: - numer użytej polityki (tzw. Oid), - dane dotyczące podpisu (Content Type), - czas podpisu (Signing Time), - kryptograficzny skrót wiadomości (Message Digest), - informacje o certyfikacie urzędu (ID-CA-Signing Certificate). Przyciśnięcie klawisza Podpisz spowoduje wyświetlenie listy dostępnych certyfikatów. Należy wybrać certyfikat, którym użytkownik chce podpisać plik. wersja 2.3.4 Lite 16
Użytkownik zatwierdza wybrany certyfikat podpisując nim plik Użytkownik wybiera stosowny certyfikat Użytkownik wyświetla dodatkowe informacje o certyfikacie Zatwierdź wybrany certyfikat przyciskiem OK", co spowoduje wygenerowanie pliku z podpisem elektronicznym. Za pomocą przycisku Pokaż użytkownik może wyświetlić informacje o wygenerowanym podpisie. Aplikacja tworzy plik z rozszerzeniem *.sig, do którego zostanie zapisany podpis wiadomości. W przypadku potrzeby dodania podpisu do wcześniej podpisanej wiadomości (pliku), możesz wygenerować podpis wielokrotny. Aby dodać podpis do pliku, należy wybrać plik wiadomości, dla którego został już wcześniej wygenerowany plik podpisu. Następnie użytkownik wskazuje certyfikat z wyświetlonej listy magazynu certyfikatów osobistych. Po wybraniu odpowiedniego certyfikatu użytkownik zatwierdza wybór klikając przycisk OK. wersja 2.3.4 Lite 17
Aplikacja wyświetli okno dialogowe dające użytkownikowi możliwość wyboru: - dodania podpisu do istniejącego pliku podpisu przycisk Tak, - utworzenia nowego pliku podpisu przycisk Nie. W wyniku podpisania dokumentu pojawi się następujący komunikat. wersja 2.3.4 Lite 18
Weryfikacja WYMAGANIA: Aktywne połączenie internetowe. WYNIK: Weryfikacja podpisu wewnętrznego: - komunikat o pomyślnym zakończeniu weryfikacji oraz plik z oryginalną wiadomością, Weryfikacja podpisu zewnętrznego: - komunikat o pomyślnym zakończeniu weryfikacji. W celu weryfikacji podpisu użytkownik przechodzi do zakładki Weryfikuj. Weryfikacja wskazanego podpisu Użytkownik wskazuje podpisany plik do weryfikacji Za pomocą przycisku Wybierz wskazujemy podpisany plik. Dodatkowo użytkownik posiada możliwość: - weryfikacji podpisu (weryfikacja podpisu ES ang. Electronic Signature)- który zawiera podpis elektroniczny, identyfikator tworzenia/weryfikacji podpisu (ID polityki podpisu) oraz inne informacje dostarczone przez podpisującego, - weryfikacji podpisu z jednoczesnym oznaczeniu czasem podpisu (oznacz podpis czasem ES-T z ang. Electronic Signature with Timestamp) w którym do podpisu elektronicznego dodaje się znacznik czasu, pozwalający na długookresowe potwierdzanie ważności podpisu, - weryfikacja ES-X - rozszerzona forma weryfikacji podpisu z jednoczesnym oznaczeniem czasem podpisu i weryfikacją certyfikatu (oznacz podpis czasem i weryfikuj certyfikaty ES-X z ang. Electronic Signature with Complete extended Validation Data) - w którym do podpisu elektronicznego w postaci ES-T dodaje się pełen zbiór danych wspierających proces potwierdzania ważności podpisu elektronicznego (np. informacje o statusie unieważnień). Następnie użytkownik weryfikuje wybierając przycisk Weryfikuj. Jeżeli plik podpisany nie został zmodyfikowany, to na ekranie pojawi się następujący komunikat. wersja 2.3.4 Lite 19
W przypadku modyfikacji pliku (np. zmiana jednego znaku) powoduje, że przy weryfikacji pliku pojawi się komunikat: W tym przypadku należy domniemywać, że plik został zmieniony lub podano inny plik do weryfikacji. W przypadku wybrania wersji ES-X weryfikacji podpisu elektronicznego przebieg procesu weryfikacji będziemy mogli zaobserwować na poniżej przedstawionym oknie. Kolorowe piktogramy pojawiające się po wykonaniu kolejnych etapów weryfikacji oznaczają: etap weryfikacji wykonany pomyślnie, etap został pomyślnie wykonywany podczas wcześniejszej weryfikacji danego podpisu. Dane odnoszące się do tych elementów są dodane do podpisu wersja 2.3.4 Lite 20
elektronicznego i można je przeglądnąć wyświetlając Właściwości podpisu elektronicznego (zakładka Podpisy Atrybuty niepodpisane ), etap weryfikacji wykonany niepomyślnie. Jeżeli jakikolwiek krok weryfikacji zakończy się sygnalizacją tego znaku, to cała weryfikacja będzie miała wynik negatywny. wersja 2.3.4 Lite 21
Podpis Elektroniczny i Szyfrowanie WYMAGANIA: - ważny osobisty certyfikat wydany przez CCP - Unizeto CERTUM wraz z powiązanym z nim kluczem prywatnym, - certyfikat odbiorcy szyfrowanej wiadomości wraz z powiązanym z nim kluczem publicznym. WYNIK: - podpisany i zaszyfrowany plik z wiadomością, np. test.txt.sig.enc, - plik koperty zawierający odbiorców zaszyfrowanej wiadomości np. test.txt.sig.env Aplikacja procertum Combi daje także możliwość podpisania wiadomości z jednoczesnym szyfrowaniem pliku. Ten sposób powinien być stosowany, gdy chcemy w wyniku podpisania i szyfrowania uzyskać jeden plik (podpis zawarty w pliku, który potem zostaje zaszyfrowany i ma postać np. test.txt.sig.enc. Aby wykonać podpisanie z jednoczesnym szyfrowaniem wiadomości należy przejść do zakładki Podpisz i zaszyfruj. Ponadto możesz wybrać jeden z algorytmów do szyfrowania (DES lub 3DES). Zdefiniuj odbiorców (certyfikaty odbiorców). Certyfikaty można pobrać z magazynu systemowego certyfikatów lub skorzystać z usługi katalogowej LDAP (zaznaczona opcja LDAP). Aby skorzystać z niestandardowych serwerów usługi LDAP należy skonfigurować parametry dla danego serwera w menu Ustawienia. wersja 2.3.4 Lite 22
Po zaznaczeniu opcji LDAP kliknij przycisk Dodaj w celu wyszukania certyfikatu odbiorcy. W polu Szukaj w: wybierz zdefiniowaną usługę katalogową. Zdefiniuj sposób szukania wg: - nazwa podmiotu, - adres email. Następnie kliknij przycisk Szukaj. Jeżeli zostanie spełniony warunek wyszukiwania, to w dolnej części okna pojawią się pasujące zapisy. Przycisk Pokaż umożliwia przejrzenie szczegółowych informacji o odbiorcy i jego certyfikacie. Jeżeli jesteś pewien wybranego certyfikatu, kliknij przycisk Wybierz a zostanie on dodany do listy odbiorców. wersja 2.3.4 Lite 23
Szyfrowanie podpisanej wiadomości można opcjonalnie wyłączyć odznaczając odpowiednie pole wyboru. Dodatkowo można zaznaczyć opcję bezpiecznego usuwania pliku z wiadomością po zaszyfrowaniu. Po wybraniu pliku i zdefiniowaniu omówionych wyżej parametrów kliknij przycisk Podpisz i Szyfruj. W następnym etapie należy wskazać certyfikat osobisty w celu podpisania wiadomości. Po wybraniu certyfikatu kliknij OK. Plik z rozszerzeniem np. notary.cms.sig.enc to plik, który zawiera podpis i wiadomość oraz dodatkowo jest zaszyfrowany kluczem publicznym odbiorcy. W przypadku, gdy wybraliśmy tylko podpisanie pliku certyfikatem osobistym, uzyskamy plik z rozszerzeniem w postaci np. cennik.cvs.sig gdzie podpis jest powiązany wewnętrznie z wiadomością. wersja 2.3.4 Lite 24
Deszyfrowanie i Weryfikacja WYMAGANIA: - certyfikat wraz z powiązanym z nim kluczem prywatnym, którym można zdeszyfrować zaszyfrowaną wiadomość, - aktywne połączenie internetowe w przypadku weryfikacji ES-T i ES-X. Do deszyfrowania i weryfikowania wiadomości podpisanych i jednocześnie zaszyfrowanych w jednym pliku lub do weryfikowania wielu plików podpisu jednocześnie, użytkownik powinien skorzystać z opcji Deszyfruj i Weryfikuj. Podobnie, jak w przypadku podpisywania i szyfrowania, możemy w zależności od tego, czy dany plik był tylko podpisywany czy podpisywany i zaszyfrowany, korzystać z następujących możliwości: - weryfikacji i deszyfracji wiadomości, - lub samej weryfikacji pliku (grupy plików) z wiadomością. Wybierz odpowiedni typ pliku do weryfikacji lub weryfikacji z jednoczesną deszyfracją oraz wybierz metodę weryfikacji. Następnie kliknij na przycisk Deszyfruj i weryfikuj. Po zakończeniu poprawnej weryfikacji pojawi się poniższy komunikat. wersja 2.3.4 Lite 25
5. Znacznik czasu Transakcje internetowe, dokumenty elektroniczne czy podpisy cyfrowe mogą być oznaczane czasem. Serwis Znacznik Czasu dostarcza niezaprzeczalnych dowodów na to, że dane elektroniczne nie zostały zmodyfikowane lub nie są datowane wstecz. Zaawansowane technologie kryptograficzne, oraz wsparcie dla najnowszych norm i standardów światowych dotyczących tematu są gwarancją poprawności i wiarygodności usługi. Gwarancją bezpieczeństwa jest fakt, iż oznaczane czasem dokumenty lub podpisy elektroniczne nie są wysyłane do serwerów notarialnych Unizeto Certum. Serwery otrzymują tylko ich odciski palca (skróty kryptograficzne SHA1). WYMAGANIA: Aktywne połączenie internetowe. WYNIK: Oznaczanie czasem: - plik znacznika czasu np. test.txt.tsr. Weryfikacja znacznika czasu: - komunikat o wyniku weryfikacji. Znacznik czasu zgodny jest ze standardami RFC 3161. Umożliwia: - oznaczanie wiarygodnym czasem danych (bezpośrednio z pliku, bufora w pamięci, przekazanego skrótu kryptograficznego), - zapamiętanie znacznika czasu w pliku, - pobieranie ze znacznika czasu informacji o wiarygodnym czasie, - wyświetlenie szczegółowych informacji w oknie dialogowym. wersja 2.3.4 Lite 26
Oznaczanie czasem Aby oznaczyć czasem daną wiadomość (plik) należy uruchomić narzędzie Znacznik Czasu klikając na ikonę lub wybrać z menu Narzędzia Znacznik Czasu. Użytkownik wybiera plik do oznaczenia czasem Użytkownik oznacza czasem wskazany plik Użytkownik weryfikuje wskazany plik Przyciskiem Wybierz użytkownik wskazuje plik do oznaczenia czasem. Oznaczenie czasem wykonuje się przez naciśnięcie przycisku Oznacz. Pojawi się komunikat Znacznik Czasu wygenerowany pomyślnie. wersja 2.3.4 Lite 27
Weryfikowanie znacznika czasu W celu zweryfikowania Znacznika Czasu należy wybrać plik wiadomości, dla którego wygenerowany został znacznik czasu, klikając przycisk Wybierz, a następnie kliknąć Weryfikuj. Jeżeli weryfikacja przebiegła pomyślnie, ukaże się nam poniższy komunikat. W przypadku, gdy plik zostanie zmieniony po tym, jak wykonano oznaczenie czasem przy jego weryfikacji, pojawi się komunikat o błędzie: Należy domniemywać, że plik został zmodyfikowany, a skrót wyliczony z pliku jest różny niż w znaczniku (plik z rozszerzeniem *.tsr). Przyciśnięcie przycisku Pokaż umożliwi użytkownikowi wyświetlenie informacji o wygenerowanym znaczniku czasu. Plik znacznika czasu wygenerowany jest na podstawie pliku z wiadomością. Aplikacja tworzy plik z rozszerzeniem *.tsr. wersja 2.3.4 Lite 28
6. Kryptografia Kryptografia - dziedzina wiedzy zajmująca się zagadnieniami utajniania informacji poprzez jej szyfrowanie. Mianem kryptografii określa się też zbiór technik służących takiemu utajnianiu. Narzędzie Kryptografia zawiera dwie funkcje: - szyfrowanie, - deszyfrowanie. Szyfrowanie wiadomości (pliku) ma na celu utajnienie informacji, czyli zabezpieczenie przed próbą odczytu danych przez niepowołanego użytkownika. Odszyfrowywanie (deszyfracja) jest procesem odwrotnym, czyli kryptogram (tekst zaszyfrowany) jest przekształcany z powrotem na oryginalny tekst jawny za pomocą funkcji matematycznych i klucza. WYMAGANIA: - certyfikat odbiorcy szyfrowanej wiadomości wraz z powiązanym z nim kluczem publicznym. WYNIK: W przypadku szyfrowania zewnętrznego: - zaszyfrowany plik z wiadomością, np. test.txt.enc, - plik koperty zawierający listę odbiorców zaszyfrowanej wiadomości np. test.txt.env W przypadku szyfrowania wewnętrznego: - plik koperty zawierający zaszyfrowany plik z wiadomością oraz odbiorców zaszyfrowanej wiadomości np. test.txt.env wersja 2.3.4 Lite 29
Szyfrowanie wiadomości Aby zaszyfrować wiadomość (plik) należy uruchomić narzędzie Kryptografia klikając ikonę lub wybrać z menu Narzędzia Kryptografia Szyfruj. Użytkownik wskazuje plik do szyfrowania Wybór algorytmu szyfrowania Przycisk powoduje zaszyfrowanie wiadomości Użytkownik dodaje odbiorców, którzy będą mogli odszyfrować wiadomość Ponadto możesz wybrać jeden z algorytmów szyfrowania: - DES (Data Encryption Standard)- jest symetrycznym algorytmem szyfrującym (ten sam klucz jest używany do szyfrowania i deszyfrowania). Jest szyfrem opartym na schemacie Feistel a opublikowanym w 1975 przez IBM; ma długość 64 bitów (w praktyce jest to 56-bitowy, bowiem co 8-my bit klucza jest bitem parzystości ), - 3DES (tzw. Potrójny DES) i jego długość wynosi 168 bitów. Ponadto możesz usunąć bezpiecznie plik z wiadomością po zaszyfrowaniu. Oznacza to pewność dla użytkownika, że nikt nie odzyska takiego pliku (np. poprzez wywołanie w linii komend polecenia Undelete ). W tym celu zaznacz odpowiednie pole wyboru w oknie dialogowym. Wskaż przyciskiem Wybierz plik do szyfrowania. Ponadto przez naciśnięcie przycisku Dodaj wprowadzisz certyfikaty osób, które będą mogły odczytać zaszyfrowaną wiadomość (wiadomość zostanie zaszyfrowana kluczem publicznym odbiorcy). Ponadto możesz skorzystać z usługi katalogowej LDAP (patrz pkt. Podpis Elektroniczny i Szyfrowanie). wersja 2.3.4 Lite 30
Przyciskiem OK zatwierdzamy wybór Wybieramy certyfikaty osób, dla których przeznaczona będzie zaszyfrowana wiadomość Potwierdź wybór przyciskając klawisz Szyfruj. Lokalizacja pliku zaszyfrowanego Odbiorcy wiadomości zaszyfrowanej Jako pomyślny wynik szyfrowania pojawi się poniższy komunikat. Wynik szyfrowania aplikacja zapisuje do lokalizacji, która pojawia się w polu Plik z wiadomością zaszyfrowaną oraz/lub Plik koperty. wersja 2.3.4 Lite 31
Deszyfrowanie WYMAGANIA: Certyfikat wraz z powiązanym z nim kluczem prywatnym, którym można zdeszyfrować zaszyfrowaną wiadomość. W celu odszyfrowania wiadomości przejdź do Zakładki Deszyfruj lub wybierz z menu Narzędzia Kryptografia Deszyfruj. Użytkownik wskazuje plik do deszyfracji Przycisk powoduje deszyfrację uprzednio zaszyfrowanego pliku Użytkownik wyświetla dodatkowe informacje na temat, kto może odszyfrować wiadomość Wskaż przyciskiem Wybierz plik do deszyfrowania (tylko plik z sygnaturą *.env). Ponadto przez naciśnięcie przycisku Pokaż możesz wyświetlić informację o osobach, które będą mogły odczytać zaszyfrowaną wiadomość. Potwierdź wybór przyciskając klawisz Deszyfruj. Pojawi się poniższy komunikat. wersja 2.3.4 Lite 32
7. Weryfikacja statusu certyfikatu OCSP i CRL WYMAGANIA: Aktywne połączenie internetowe. WYNIK: Odpowiedź serwera OCSP w formie: - komunikatu aplikacji, - poświadczenia widocznego na ekranie, - w formie pliku zawierającego poświadczenie np. test.ocsp. lub odpowiedź wygenerowana na podstawie sprawdzenia statusu certyfikatu na liście CRL. OCSP Zamiast częstego pobierania list certyfikatów odwołanych CRL, łatwiejsze jest korzystanie z narzędzia sprawdzania statusu certyfikatu na bieżąco (OCSP). Funkcja ta pozwala błyskawicznie ustalić stan każdego identyfikatora cyfrowego, np. podczas prowadzenia negocjacji handlowych via internet. Potwierdzenie statusu każdego certyfikatu może być przesłane dodatkowo via e-mail autorowi zapytania. Dokument taki jest podpisany cyfrowo przez operatora OCSP i należy go zachować jako dowód dokonania określonej operacji. Weryfikacja statusu certyfikatu on-line zgodna jest ze standardami RFC 2560. Umożliwia ona: - sprawdzenie statusu certyfikatu za pomocą protokołu OCSP, - zapisanie odpowiedzi serwera do pliku, - wyświetlenie szczegółowych informacji w oknie dialogowym. Aby zweryfikować status certyfikatu należy uruchomić narzędzie OCSP klikając na ikonę lub wybrać z menu Narzędzia OCSP". Pole wyboru wersja 2.3.4 Lite 33
Aby zweryfikować status certyfikatu tylko w serwerze OCSP należy zaznaczyć pole wyboru Sprawdź tylko w serwerze OCSP. Jeżeli użytkownik chce zobaczyć wynik weryfikacji musi zaznaczyć pole wyboru Pokaż wynik. W przypadku, gdy użytkownik potrzebuje zapisania wyniku do pliku, powinien zaznaczyć pole wyboru Zapisz wynik do pliku. Użytkownik przyciskając przycisk OCSP" wywołuje okno wyboru certyfikatów. Następnie wybiera certyfikat, który ma być weryfikowany. Wybór certyfikatu i naciśnięcie przycisku OK powoduje wysłanie żądania weryfikacji statusu certyfikatu. Użytkownik potwierdza wybór certyfikatu i wysyła żądanie weryfikacji statusu Użytkownik wyświetla dodatkowe informacje o certyfikacie Użytkownik otrzymuje odpowiednio komunikat: - gdy certyfikat jest ważny, Zatwierdzenie przyciskiem OK spowoduje wyświetlenie treści odpowiedzi. Serwer OCSP zwróci komunikat o statusie certyfikatu, co przedstawione jest na kolejnym rysunku. wersja 2.3.4 Lite 34
Informacje na temat statusu certyfikatu. - gdy certyfikat jest nieznany, Zatwierdzenie przyciskiem OK spowoduje wyświetlenie treści odpowiedzi. Serwer zwraca komunikat o statusie certyfikatu. wersja 2.3.4 Lite 35
- gdy certyfikat jest wycofany. Zatwierdzenie przyciskiem OK spowoduje wyświetlenie treści odpowiedzi. Serwer zwraca komunikat o statusie certyfikatu. Ponowne zatwierdzenie przyciskiem OK umożliwi użytkownikowi zapisanie odpowiedzi serwera o statusie certyfikatu do pliku. Użytkownik nadaje nazwę plikowi, do którego zostanie zapisana odpowiedź serwera Po wpisaniu nazwy pliku użytkownik zapisuje plik na dysk w wybranej lokalizacji. wersja 2.3.4 Lite 36
Weryfikacja na podstawie list CRL Weryfikacja statusu certyfikatu na podstawie list CRL na datę wskazaną przez użytkownika działa prawidłowo tylko i wyłącznie wtedy, gdy umożliwia to polityka certyfikacji Centrum Certyfikacji (tj. usługodawca przechowuje i udostępnia archiwalne listy CRL, co umożliwia otrzymanie informacji o unieważnieniu certyfikatu nawet po upłynięciu okresu jego ważności). Unizeto CERTUM udostępnia archiwalne listy CRL, dzięki czemu użytkownik ma możliwość sprawdzenia statusu certyfikatu na dowolną datę nawet po upłynięciu terminu ważności certyfikatu. Kolejnym sposobem na weryfikację statusu certyfikatu jest sprawdzenie czy certyfikat znajduje się na liście certyfikatów unieważnionych. Mechanizm ten daje nam dodatkowo możliwość weryfikacji statusu certyfikatu na dowolnie przez nas wskazany czas. Użytkownik ma dzięki temu możliwość ustalenia np. czy w momencie podpisywania dokumentu podpisujący posługiwał się ważnym certyfikatem. W przypadku, gdy weryfikowany certyfikat nie znajduje się na liście certyfikatów unieważnionych, aplikacja poinformuje nas o tym fakcie poniższym komunikatem. Weryfikacja certyfikatu na datę sprzed wystawienia certyfikatu lub datę po upłynięciu jego terminu ważności, zakończy się następującą informacją. Jeżeli certyfikat znajduje się na liście CRL to otrzymamy następujący komunikat. wersja 2.3.4 Lite 37
wersja 2.3.4 Lite 38
Weryfikacja automatyczna Weryfikacja automatyczna w pierwszej fazie stara się wykonać weryfikację statusu certyfikatu online. Jeżeli w aplikacji nie ma zdefiniowanych ustawień serwera OCSP oraz gdy taka informacja nie jest zawarta w certyfikacie to w takim przypadku następuje sprawdzenie czy weryfikowany certyfikat znajduje się na liście CRL. wersja 2.3.4 Lite 39
8. Kurier Elektroniczny Kurier elektroniczny jest systemem elektronicznej poczty poleconej, który wydaje poświadczenia nadania i odbioru przesyłek. Kurier Elektroniczny archiwizuje daty wysłania i odebrania listów, ich skróty kryptograficzne oraz inne informacje. Skorzystanie z tej usługi daje pewność, że przesyłka dotrze do adresata bez naruszenia jej integralności oraz poufności, zaś w archiwach elektronicznego urzędu pocztowego zostanie zapisana historia związana z jej utworzeniem, wysłaniem i odebraniem. Tam, gdzie powstają spory, niezbędny jest mechanizm, który umożliwi ich rozstrzyganie przez samych uczestników systemu lub z udziałem strony trzeciej. Tego typu mechanizmów dostarcza Urząd Kuriera Elektronicznego. Kurier Elektroniczny jest usługą niezaprzeczalności, jego zadanie polega na potwierdzaniu faktu nadania przesyłki, dostarczaniu jej do odbiorcy oraz potwierdzaniu faktu odbioru. WYMAGANIA: - ważny osobisty certyfikat wydany przez CCP - Unizeto CERTUM wraz z powiązanym z nim kluczem prywatnym. - aktywne połączenie internetowe, - adres konta pocztowego odbiorcy przesyłki. Jeżeli nie posiadasz takiego certyfikatu to kliknij: www.certum.pl/enroll. WYNIK: - awizo przyjęcia przesyłki przez Urząd Kuriera Elektronicznego. W celu skorzystania z usługi Kuriera elektronicznego należy kliknąć na ikonie lub wybrać z menu Narzędzia Kurier elektroniczny. W celu wysłania przesyłki korzystając z usługi kuriera elektronicznego, należy wybrać plik z wiadomością, którą chcemy wysłać oraz zdefiniować adres e-mail odbiorcy. Gdy wymagane pola są już wypełnione, to należy kliknąć przycisk Wyślij. Spowoduje to wyświetlenie okna magazynu osobistych certyfikatów, wśród których użytkownik będzie musiał wybrać certyfikat, za pomocą którego zostanie wysłana przesyłka. wersja 2.3.4 Lite 40
Jeżeli proces wysyłania przesyłki przebiegnie poprawnie to poinformuje nas o tym poniższy komunikat. W momencie wysłania przesyłki, automatycznie zostanie wygenerowana wiadomość e-mail do nadawcy przesyłki zawierająca potwierdzenie nadania przesyłki poleconej. Z kolei na adres e-mail odbiorcy zostanie wysłana automatycznie wygenerowana informacja o przesyłce gotowej do odebrania. Informacja ta będzie miała następującą treść: wersja 2.3.4 Lite 41
W celu odebrania poczty poleconej należy kliknąć na link do witryny internetowej zawarty w wiadomości e-mail. W związku z tym, że wejście na stronę wymaga uwierzytelnienia się, możemy zostać poproszeni o wskazanie certyfikatu, który chcemy użyć do nawiązania połączenia. W celu uzyskania dodatkowych informacji o statusie naszych przesyłek należy udać się na stronę internetową kuriera elektronicznego: http://www.certum.pl/pl/uslugi/kurier/index.html, gdzie należy kliknąć przycisk Status przesyłek. Stronę kuriera elektronicznego można także uruchomić z menu programu procertum Combi wybierając kolejno Pomoc Unizeto Certum w sieci WWW Kurier elektroniczny. wersja 2.3.4 Lite 42
9. Kontrasygnata Kontrasygnata jest to rodzaj sygnatury, która podpisuje istniejący podpis pod dokumentem. Kontrasygnować możemy tylko pliki z podpisem (posiadające plik z sygnaturą *.*.sig). WYMAGANIA: Plik podpisu np. test.txt.sig. WYNIK: Plik podpisu z dodaną kontrasygnatą np. test.txt.sig. W celu kontrasygnowania podpisu elektronicznego należy uruchomić narzędzie Kontrasygnata, klikając na ikonę lub wybrać z menu Narzędzia Kontrasygnata. Następnie wskaż plik do kontrasygnowania klikając przycisk Wybierz (plik z podpisem). W oknie Plik z podpisem zdefiniowana jest lokalizacja pliku z podpisem, dla którego będzie wystawiana kontrasygnata. Kliknij przycisk Pokaż w celu wyświetlenia informacji o złożonym podpisie. W oknie Podpisy znajdują się informacje o zawartych podpisach. Przystąp do generowania kontrasygnaty i kliknij przycisk Kontrasygnuj. wersja 2.3.4 Lite 43
Wybierz z listy odpowiedni certyfikat klikając kolejno na wybranym certyfikacie i przycisku OK. Po chwili pojawi się komunikat: wersja 2.3.4 Lite 44
10. Podstawowe definicje i skróty Algorytm kryptograficzny Algorytm służący do szyfrowania i deszyfrowania informacji używanych w programach komunikacji sieciowej. Do podstawowych algorytmów kryptograficznych należą: DES, RSA, MD5, SHA, IDEA. Centrum Certyfikacji Jednostka organizacyjna, będąca elementem składowym zaufanej trzeciej strony, obdarzonej zaufaniem w zakresie tworzenia i wydawania użytkownikom certyfikatów klucza publicznego. Certyfikat klucza publicznego Informacja o kluczu publicznym użytkownika, która dzięki podpisaniu przez urząd certyfikacji (np. Centrum Certyfikacji) jest niemożliwa do podrobienia. CRL Lista certyfikatów unieważnionych, publikowana zwykle przez wystawcę tych certyfikatów (ang. Certificate Revocation List). GUR Główny Urząd Rejestracji. Integralność Zapewnia możliwość sprawdzenia, czy przesyłane dane nie zostały w żaden sposób zmodyfikowane podczas transmisji. Dzieje się tak dzięki dołączeniu do wiadomości znacznika integralności wiadomości, czyli ciągu bitów obliczonego na podstawie wiadomości. Kryptografia Dziedzina kryptologii zajmująca się projektowaniem algorytmów szyfrowania i deszyfrowania. Do zadań algorytmów należy zapewnienie tajności lub autentyczności komunikatów. LUR Lokalny Urząd Rejestracji. Niezaprzeczalność Zapobieganie odmowie poprzednich uzgodnień lub wykonania działań. OCSP Protokół serwera weryfikacji statusu certyfikatów, pracującego w trybie on-line (ang. Online Certificate Status Protocol). PEM Standard bezpiecznej poczty elektronicznej. Ulepszony pod względem bezpieczeństwa schemat poczty elektronicznej, zwiększający prywatność korespondencji w sieci Internet. Wykorzystywany jest on zarówno do szyfrowania z jednym, jak i z parą kluczy (ang. Privacy Enhanced Mail). PKCS # 12 Standard składni osobistej wymiany informacji specyfikujący przenośny format dla składowanych i przesyłanych kluczy prywatnych, certyfikatów i innych sekretów użytkownika. PKCS # 7 Standard składni wiadomości szyfrowanej w sposób ogólny definiujący wiadomość kryptograficzną wzmocnioną przez podpis cyfrowy i szyfrowanie. wersja 2.3.4 Lite 45
PKI Infrastruktura Klucza Publicznego (ang. Public Key Infrastructure). Podpis elektroniczny Przekształcenie kryptograficzne jednostki danych, umożliwiające odbiorcy danych sprawdzenie pochodzenia i integralności jednostki danych oraz ochronę nadawcy i odbiorcy jednostki danych przed sfałszowaniem przez odbiorcę; asymetryczne podpisy elektroniczne mogą być generowane przez jeden podmiot przy zastosowaniu klucza prywatnego i algorytmu asymetrycznego, np. RSA. Poświadczanie Weryfikacja utworzenia lub istnienia informacji przez podmiot inny niż twórca tej informacji. Uniemożliwia nadawcy lub odbiorcy komunikatu zaprzeczenie faktu jego przesłania. Poufność Utrzymywanie informacji w sekrecie dla wszystkich podmiotów, które nie są uprawnione do jej znajomości. Poufność Zagwarantowanie, że przesyłane lub przechowywane dane będą dostępne (możliwe do odczytania) jedynie dla uprawnionych osób, np.: odbiorcy wiadomości pocztowej. W szczególności chodzi o drukowanie, wyświetlanie i inne formy ujawniania, w tym ujawnianie istnienia jakiegoś obiektu. PSE Osobiste bezpieczne środowisko (ang. personal security environment) jest to lokalny bezpieczny nośnik klucza prywatnego podmiotu, klucza publicznego (zwykle w postaci autocertyfikatu); w zależności od polityki bezpieczeństwa nośnik ten może mieć postać kryptograficznie zabezpieczonego pliku (np. zgodnie z PKCS#12) lub odporny na penetrację sprzętowy token (np. identyfikacyjna karta elektroniczna). RSA Kryptograficzny algorytm asymetryczny (nazwa pochodzi od pierwszych liter jego twórców Rivesta, Shamira i Adlemana), w których jedno przekształcenie prywatne wystarcza zarówno do podpisywania jak i deszyfrowania wiadomości, zaś jedno przekształcenie publiczne wystarcza zarówno do weryfikacji jak i szyfrowania wiadomości. Szyfrowanie Kryptograficzne przekształcenie danych, którego wynikiem jest zaszyfrowany tekst (szyfrogram). Tekst taki dla osób trzecich stanowi jedynie przypadkowy ciąg znaków, na podstawie którego nie jest możliwe odtworzenie żadnej użytecznej informacji. Otrzymany w wyniku szyfrowania ciąg znaków nosi nazwę tekstu zaszyfrowanego (szyfrogramu). TTP Zaufana trzecia strona, instytucja lub jej przedstawiciel mający zaufanie innych podmiotów w zakresie działań związanych z zabezpieczeniem, działań związanych z uwierzytelnianiem, mający zaufanie podmiotu uwierzytelnionego i/lub podmiotu weryfikującego (wg PN 2000) (ang. Trusted Third Party). wersja 2.3.4 Lite 46
Znacznik Czasu Jednostka danych oznaczająca moment, w którym zaszło określone zdarzenie względem wspólnego czasu odniesienia (np.: jednoznacznie określa moment podpisania wiadomości, co pozwala na stwierdzenie, czy podpis został złożony w okresie ważności certyfikatu). * * * wersja 2.3.4 Lite 47