Upload
vuthuan
View
227
Download
1
Embed Size (px)
Citation preview
Guia do Usuário
ePass2003
V1.2A
Feitian Technologies Co., Ltd.
Website: www.FTsafe.com
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
i
Histórico de alterações:
Data Versão Descrição
Maio. 2011 V1.0 Versão inicial
Setembro. 2011 V1.1 Atualização de figuras
Dezembro. 2011 V1.2 Adição de texto introdutório
Dezembro. 2014 V1.2A Versão do Manual Personalizado para distribuição pela Pronova
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
1
Licença de uso
Todos os produtos de Feitian Technologies Co., Ltd. (Feitian), incluindo, mas não limitado a, cópias de
avaliação, disquetes, CD-ROMs, Hardware e documentação, e todos os futuros pedidos, estão sujeitos aos
termos deste contrato. Caso haja discordância com algum dos termos aqui expostos, favor nos devolver o
produto sob avaliação, com postagem e seguro pré pagos, dentro de sete dias da data do recebimento do
mesmo, e nos comprometeremos a reembolsar o valor do produto, excluindo as taxas de frete e outras
despesas aplicáveis.
Uso permitido - Você pode integrar, combinar e fazer link do Software com outros programas com a única
finalidade de proteger esses programas, em conformidade com o uso descrito no Guia do
Desenvolvedor. Você pode fazer cópias do software com o objetivo de utilizá-las posteriormente como
cópias de segurança ou backup.
Uso proibido - O Software, Hardware ou qualquer outra parte do produto não pode ser copiado, tão
pouco submetido a reengenharia, desmontado, descompilado, revisto, melhorado ou modificado, exceto
se especificamente permitido no item 1. Você não pode submeter o Software ou qualquer parte do
produto à reengenharia ou tentar descobrir seu código fonte. Você não pode usar a mídia magnética ou
óptica incluída no produto para fins de transferência ou armazenamento de dados que não constituam
parte original do produto, ou que seja uma melhoria ou atualização do produto oferecidas pela Feitian.
Garantia - Feitian assegura que o Hardware e a mídia de armazenamento de Software estão isentos de
defeitos de fabricação, assim como a assegura a qualidade dos materiais utilizados por um período de 12
(doze) meses a partir da data de entrega do produto.
V iolação de Garantia - Em caso de quebra desta garantia, a única obrigação da Feitian será substituir ou
reparar, a critério da Feitian, qualquer produto gratuitamente. Qualquer produto substituído é de
propriedade da Feitian.
As reivindicações de garantia devem ser feitas por escrito à Feitian durante o período de garantia e dentro
de 14 (quatorze) dias após a observação do defeito. Todos os pedidos de garantia devem ser
acompanhados de provas do defeito que sejam consideradas satisfatórias pelo Feitian. Quaisquer
produtos que retornem à Feitian, ou a um distribuidor autorizado Feitian, devem ser devolvidos com frete
e seguro pagos.
EXCETO POR INDICAÇÃO CONTRÁRIA, NÃO HÁ NENHUMA OUTRA GARANTIA DO PRODUTO ALÉM DAS
EXPRESSAS NO PROSENTE DOCUMENTO. PORTANTO NÃO SE PODE ENTENDER QUE EXISTA EXTENSÃO OU
MAIOR ALCANCE DA MESMA, EXPRESSA OU IMPLÍCITA, INCLUINDO, MAS NÃO SE LIMITANDO, ÀS
GARANTIAS IMPLÍCITAS DE COMERCIALIZAÇÃO E ADEQUAÇÃO DO PRODUTO PARA UM DETERMINADO
PROPÓSITO.
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
2
Limitação de Responsabilidade legal - Toda a responsabilidade legal da Feitian para com seus clientes ou
qualquer outra parte, por qualquer causa, seja por contrato ou dano, incluindo negligência, não excederá
o preço pago pela unidade do produto que causou o dano ou foi objeto direto ou indireto da causa da
ação. Em nenhum caso a Feitian será responsabilizada por quaisquer danos causados por sua falha em
cumprir suas obrigações, nem por qualquer perda de dados, prejuízo financeiro ou quaisquer outros
danos consequentes e acidentais, mesmo que a Feitian tenha sido avisada da possibilidade de danos, ou
por qualquer reclamação feita com base em quaisquer reclamações de terceiros.
Rescisão - O presente Acordo cessará se você deixar de cumprir com os termos aqui presentes. Os itens 2,
3, 4 e 5 devem sobreviver à rescisão do presente Acordo.
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
3
Conteúdo
Guia do Usuário............................................................................................................................................... 1
ePass2003 1
1. V isão geral do ePass2003.......................................................................................................................... 4
1.1 V isão geral do produto .................................................................................................................................. 4 1.2 Características do ePass2003 ......................................................................................................................... 4 1.3 Especificações Técnicas .................................................................................................................................. 5
2. Instalação ................................................................................................................................................. 6
2.1 Plataformas suportadas ................................................................................................................................. 6 2.2 Preparação para instalar o ePass2003 ........................................................................................................... 6 2.3 Instalando o ePass2003 ................................................................................................................................. 6 2.4 Desinstalando o software do ePass2003 ..................................................................................................... 10
3. Módulo de gerenciamento do ePass2003 ....................................................................................................13
3.1 Pré-requisitos ............................................................................................................................................... 13 3.2 V isão geral ................................................................................................................................................... 13
3.2.1 Acesso sem a inserção do token ................................................................................................................................... 13
3.2.2 Iniciando o gerenciador através da inserção do token ................................................................................................. 14
3.2.3 Botões disponíveis ........................................................................................................................................................ 15
3.3 Iniciar Sessão................................................................................................................................................ 15 3.4 Gerenciamento de Certificados ................................................................................................................... 17
3.4.1 V isualizando as informações do certificado ................................................................................................................. 18
3.4.2 Importando certificados ............................................................................................................................................... 19
3.4.3 Exportando ................................................................................................................................................................... 22
3.4.4 Apagar certificado ........................................................................................................................................................ 23
3.5 Alterando o nome do token ......................................................................................................................... 24 3.6 Alterando o PIN do usuário.......................................................................................................................... 24 3.7 Desbloqueio (Apenas para versão de Administrador) ................................................................................. 28 3.8 Inicializando o token (Apenas para versão de Administrador) .................................................................... 29 3.9 Alterando o SO PIN (Apenas para versão de Administrador)....................................................................... 31
4. Gerenciamento de PIN no Microsoft Windows............................................................................................33
4.1 V isão geral ................................................................................................................................................... 33 4.2 Gerenciamento de PIN pelo EnterSafe Minidriver para Windows .............................................................. 33
4.2.1 Alterando o PIN do usuário .......................................................................................................................................... 33
4.2.2 Desbloqueanddo o EnterSafe Minidriver...................................................................................................................... 35
Anexo: Termos e abreviações..........................................................................................................................43
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
4
1. V isão geral do ePass2003
Esse capítulo introduz os conceitos, especificações técnicas a características básicas do token ePass2003.
1.1 V isão geral do produto
O ePass2003 é um token PKI de alta segurança que incorpora as tecnologias de criptografia e os padrões mais
avançados disponíveis no mercado. Ele foi desenvolvido para operar em qualquer ambiente de Infraestrutura de
Chaves Públicas, fornecendo autenticação de dois fatores onde segurança é essencial. Com um sistema
operacional validado pela FIPS 140-2 e um mecanismo de gerenciamento “on-board”, o ePass2003 garante um
alto nível de segurança para uma ampla gama de aplicações sensíveis.
O ePass2003 é compatível com os sistemas operacionais Windows, Linux e Mac através das tecnologias
Microsoft Minidriver e OpenSC e é a escolha ideal para empresas das mais variadas indústrias, tais como governo,
financeiras e educação.
1.2 Características do ePass2003
Chip Smart Card de alto desempenho
FEITIAN COS - Sistema Operacional para Cartões Inteligentes próprio
Geração de chaves criptográficas em hardware: RSA 1024 / 2048
Suporta os algoritmos RSA, DES, 3DES, AES 128/192/256,SHA-1 e SHA-2
Assinatura Digital em Hardware, a chave privada nunca pode ser exportada
Número de série único de 64 dígitos
Geração de número aleatório implementado em Hardware
Espaço de memória segura de 64KB (Máximo)
Total suporte a aplicações PKI
API (CSP e PKCS#11) para Middleware Padrão disponível
O Minidriver pode ser baixado automaticamente através de Windows Update (para Windows 7)
Permite o armazenamento de múltiplas chaves
Suporte o padrão X.509v3 de certificados digitais
Integração transparente com aplicações PKI
Conexão USB 2.0 de alto desempenho. Suporta também a interface USB 1.1
Sistemas Operacionais suportados:
Windows 2000/XP/2003/V ista/Windows 7/ 8 / 2008
Linux e Mac OS
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
5
1.3 Especificações Técnicas
Sistemas Operacionais
Windows 2000/XP/2003/2008/V ista/win 7/Win 8
Linux
MacOS
Interfaces Smart Card
PC/SC , CCID
Padrões e Certificações
USB 2.0 de alto desempenho
Microsoft CAPI e PKCS#11
Armazenamento de certificados no padrão X.509 v3
Compatível com ISO7816
Compatível com FIPS 140-2
Certificado pela EAL5 (chip)
Em conformidade com
CE e FCC
Espaço de memória do usuário
64KB
Algoritmos suportados
RSA 1024 / 2048, DES e 3DES
AES 128 / 192 / 256, SHA1 e SHA
Temperatura de Operação
0℃ até 70℃
Retenção de dados na memória
Pelo menos 10 anos
Gravação de dados na memória
Pelo menos 500.000
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
6
2. Instalação
2.1 Plataformas suportadas
Windows:
Windows 2000
Windows XP x86/x64
Windows 2003 x86/x64
Windows Vista x86/64
Windows 2008 x86/x64
Windows 7 x86/x64 Windows 8 x86/x64
Linux
Mac OS
2.2 Preparação para instalar o ePass2003
Antes de instalar o ePass2003 certifique-se que os seguintes pré-requisitos foram satisfeitos:
O seu sistema operacional é um dos indicados na lista acima
O seu computador tem ao menos uma conexão USB disponível
O BIOS de seu computador suporta o dispositivo USB. Esse suporte pode ser habilitado nas configurações CMOS
Extensão USB ou “hub” disponível (opcional)
Token ePass2003 disponível
2.3 Instalando o ePass2003
1. Para que você possa utilizar o ePass2003 você precisa instalar a biblioteca de dados. Execute o
ePass2003-Setup.exe. A interface de seleção de idiomas será exibida:
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
7
Figura 1 - Seleção de Idioma
2. Após selecionar o idioma clique em “OK”, a seguinte tela será exibida:
Figura 2 - Tela de boas vindas
3. Clique em “Next”, a tela para seleção do diretório de instalação será exibida:
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
8
Figura 3 - Selecionar o diretório de instalação
4. Clique em “Next” e a tela de escolha da CSP será exibida:
Figura 4 - Tela de escolha da CSP
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
9
Nota: o ePass2003 suporta CSP privado e Microsoft CSP.
Para versões mais antigas do Windows como Windows2000/XP, o usuário deve instalar a atualização KB909520
para ativar a opção ‘Microsoft CSP’.
O CSP privado é fornecido pela Feitian e se chama “EnterSafe ePass2003 CSP v1.0”.
Microsoft CSP significa “Microsoft Base CSP” (Microsoft Base Smart Card Crypto Provider), e suporta Minidriver. Além disso, o
usuário pode instalar o middleware através da atualização do Windows, sem necessidade de instalação redundante de pacotes ou
processos complicados de instalação. Nós também fornecemos pacotes de instalação para usuários que não possuem acesso a
internet. Mas atenção: para Windows Vista ou versões superiores, a Microsoft fornece a funcionalidade Minidriver integrada ao
sistema operacional. Para XP ou versão anteriores, o sistema Windows não possui o CSP instalado e essa funcionalidade pode ser
ativada através da atualização KB909520.
5. Depois de selecionar CSP, clique em “Instalar” para continuar e a seguinte tela será exibida:
Figura 5 - Processo de Instalação
6. Terminada a instalação a seguinte tela será exibida:
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
10
Figura 6 - Instalação Concluída
7. Clique em “Terminar” para finalizar a instalação.
2.4 Desinstalando o software do ePass2003
Para desinstalar o software do ePass2003 existem duas possibilidades:
a. Utilizando “Adicionar e Remover Programas”
Acesse o menu “Inicio” selecione “Painel de controle”, duplo clique “Adicionar e remover programas”,
selecione “ePass2003 (Remover somente)” na lista de “Programas instalados”, então clique em
“Alterar/Remover”.
b. Utilizando o Menu Inicial
Acessar o menu “Início” “Todos os programas” “EnterSafe” “ePass2003” “Uninstall ePass2003”.
1. Ambos os métodos acima podem ser utilizados para iniciar o processo de desinstalação do ePass2003.
Segue o passo a passo:
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
11
Figura 7 - Menu de desinstalação
2. Clique em “Uninstall” e a seguinte tela será exibida:
Figura 8 - Processo de desinstalação
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
12
3. Após o término do processo de desinstalação a seguinte tela será exibida:
Figura 9 - Desinstalação Concluída
4. Clique em “Terminar” para fechar a janela. O software do ePass2003 já foi removido do seu computador.
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
13
3. Módulo de gerenciamento do ePass2003
3.1 Pré-requisitos
O modulo de gerenciamento é baseado no middleware do ePass2003 e por isso ele precisa estar instalado no seu
computador para que sua execução seja possível.
O token PKI precisa ser inicializado antes do uso.
PIN/SO PIN(PUK) padrão:
PIN: 12345678
SO PIN: 12345678
3.2 V isão geral
3.2.1 Acesso sem a inserção do token
Você pode acessar o gerenciador clicando em Início -> Todos os programas -> Entersafe -> ePass2003. A seguinte
tela será exibida:
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
14
Figura 10 - Token não conectado a porta USB
3.2.2 Iniciando o gerenciador através da inserção do token
Conecte o ePass2003 na porta USB do seu computador. O Gerenciador irá reconhecer imediatamente o token e
abrir a Gerenciador:
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
15
Figura 11 - Inserindo o token na porta USB
Nota: os espaços de memória total e livre referem-se apenas ao espaço protegido pelo PIN. Uma vez que a chave
privada é extremamente sensível e gerida pelo COS, ele não exibe o espaço total de memória total e memória
livre nesse caso.
3.2.3 Botões disponíveis
Os botões da interface de gerenciamento são: Iniciar Sessão, Importar, Exportar, Apagar, Mudar PIN do usuário,
Renomear Token, Ver Certificado e Sair.
3.3 Iniciar Sessão
Selecione o dispositivo USB da lista a direita da tela e clique em “Iniciar Sessão”. A seguinte tela será exibida:
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
16
Figura 12 - Caixa de diálogo de Login
Você terá a opção de utilizar o teclado virtual para evitar o ataque do tipo Trojan simplesmente clicando nessa
opção.
Figura 13 - Teclado V irtual
Nota: seu teclado físico será desabilitado ao optar pelo teclado virtual.
Depois de fornecer o PIN de acesso, clique em OK e a tela apresentada na figura 5 será exibida. Uma lista de
tokens será exibida na parte superior da tela e abaixo suas propriedades e valores. Clicando em “Esconder” ou
“Mostrar detalhes” você poderá alterar o modo de visualização dos dados. Depois de efetuar o login você poderá
visualizar não apenas os dados públicos mas também os privados. Através do botão “Encerrar sessão” você poderá
finalizar o acesso ao dispositivo.
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
17
Figura 14 - Sessão Iniciada
Se você digitou a senha incorretamente a seguinte tela será exibida:
Figura 15 - Senha incorreta
Nota: há um número limite de tentativas para a inserção do PIN. Se esse número atingir 9 o token será bloqueado
e você não terá mais acesso ao dispositivo.
3.4 Gerenciamento de Certificados
Depois de ter iniciado a sessão no Gerenciador você poderá visualizar as informações do token, importar e apagar
certificados, entre outras funções.
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
18
3.4.1 V isualizando as informações do certificado
1. Clique em “+” do lado esquerdo do ícone de diretório para agrupar ou expandir o conteúdo das
informações. Clique “+” do lado esquerdo do ícone do certificado para visualizar o par de chaves criptográficas.
Quando um certificado é selecionado o botão de visualização é ativado.
Figura 16 - V isualizando as informações do certificado
2. Clicando no botão “Ver Certificado” ou clicando duas vezes no ícone a seguinte tela será exibida:
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
19
Figura 17 - V isualizando as informações do certificado
3.4.2 Importando certificados
O ePass2003 suporta os seguintes tipos de certificados: P12, PFX, P7B, CRT e CER. Os tipos P12 e PFX contêm o par
de chaves (publica e privada), enquanto os tipos P7B, CRT e CER não. Os tipos PFX e CER serão utilizados nos
exemplos a seguir.
3.4.2.1 Importando certificados PFX
Clique no botão “Importar” na tela principal do Gerenciador e a seguinte tela será exibida:
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
20
Figura 18 - Importar Certificados
Clique em “Pesquisar” para escolher o certificado a ser importado e, se necessário, insira a senha. Você poderá
criar um “container” para o certificado ou selecionar um existente. Uma vez que o certificado PFX consiste de uma
chave pública e uma privada, ele pode ser utilizado tanto para troca de chaves quanto para assinatura. Selecione a
opção desejada e clique em OK.
Nota: Dois certificados com propósitos diferentes podem ser armazenados em um único container. Quando o
certificado é importado para um container já existente, ele irá substituir o certificado de mesmo propósito, caso
ele exista.
3.4.2.2 Importando certificados P7B
Clique no botão “Importar” na tela principal do Gerenciador e a seguinte tela será exibida:
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
21
Clique no botão “Pesquisar” e escolha um certificado do tipo P7B. Você precisa criar um container para armazenar
o certificado. Uma vez que certificados do tipo P7B não contém um par de chaves, ele só poderá ser utilizado para
troca de chaves. Clique em “OK”.
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
22
Figura 19 - Importando o certificado
3.4.3 Exportando
Você poderá exportar o certificado do token para um arquivo. Escolha um certificado da lista no gerenciador e
clique no botão “Exportar” e uma caixa de diálogo será exibida. Especifique o diretório destino e o nome do
arquivo.
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
23
Figura 20 - Destino da exportação do certificado
Clique em “Save”. Se a operação foi bem-sucedida a seguinte mensagem será exibida:
Figura 21 - Exportação realizada com sucesso
Nota: O par de chaves pública/privada não poderá ser exportado.
3.4.4 Apagar certificado
1. Cuidado, esta é uma ação irreversível ! Se excluído o certificado não poderá ser recuperado !
No gerenciador, escolha o certificado e clique em “Apagar”. A seguinte tela será exibida:
Figura 22 - Apagando um certificado
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
24
2. Clique em “Yes” para confirmar a operação.
Da mesma maneira você poderá apagar as chaves ou containers ePass2003. Se você selecionar o ícone do
ePass2003 e clicar em “Apagar” todos os containers, certificados e chaves serão apagados do dispositivo.
3.5 Alterando o nome do token
Geralmente o token pode ser identificado pelo seu número de série, mas por facilitar sua identificação você
poderá nomeá-lo.
1. Clique no botão “Renomear token”. A seguinte tela será exibida:
Figura 23 - Alterando o nome do token
2. Inserir o nome do token e clique em “OK”.
Nota: o nome deve ter no máximo 32 caracteres.
3.6 Alterando o PIN do usuário
Você poderá alterar o PIN do seu token. Na tela principal do gerenciador clique no botão “Mudar PIN do usuário”.
A seguinte tela será exibida. Insira o PIN antigo e o novo e clique em “OK”.
Figura 24 - Alterando o PIN do usuário
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
25
Você também poderá utilizar o teclado virtual para digitar o PIN. Basta acionar essa opção, conforme figura
abaixo:
Figura 25 - Acionando o teclado virtual
Você poderá verificar o nível de segurança de seu PIN acionando “Verificar Intensidade”. A letra “L” significa baixa
segurança.
Figura 26 - Baixa segurança
Se o nível de segurança de seu PIN é maior a seguinte mensagem será exibida:
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
26
Figura 27 - Segurança média
Nós recomendamos que os PINs sejam compostos de letras maiúsculas e minúsculas, números e caracteres
especiais.
Figura 28 - Nível alto de segurança
Clicando em “OK”, a seguinte tela será exibida:
Figura 29 - PIN alterado
A descrição acima é apenas para versão Usuário do Gerenciador. Como Administrador você terá acesso a funções
adicionais.
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
27
A tela principal agrega um botão em formato triangular através do qual você poderá estender o menu principal.
Figura 30 - Versão de Administrador – Menu 1
Clicando nesse botão a seguinte tela será exibida:
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
28
Figura 31 - Versão de Administrador – Menu 2
3.7 Desbloqueio (Apenas para versão de Administrador)
A versão de administrador permite o desbloqueio de um token.
Clique no botão “Desbloquear” na tela principal. A seguinte tela será exibida:
Figura 32 - Caixa de diálogo de desbloqueio
Você também poderá utilizar o teclado virtual para digitar o PIN. Basta acionar essa opção, conforme figura
abaixo:
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
29
Figura 33 teclado virtual
Você também poderá verificar o nível de segurança do seu PIN acionando essa funcionalidade na própria tela.
Insira o SO PIN, o novo PIN e clique em “OK”. A seguinte tela será exibida:
3.8 Inicializando o token (Apenas para versão de Administrador)
CUIDADO! Esta é uma ação irreversível. Ao fazer uso deste recurso, todos os objetos (certificados digitais, chaves públicas e privadas) serão apagados e não poderão ser recuperados. Se você apagar seu certificado através deste recurso, você terá que comprar um novo certificado. Portanto, somente faça uso deste recurso, se os certificados e chaves criptográficas não tiverem mais nenhuma serventia para você ! Clique no botão “Inicializar” na tela principal. A seguinte tela será exibida:
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
30
Figura 35 - Caixa de diálogo de inicialização
Depois de inserir todos os parâmetros clique em “OK”. A seguinte mensagem será exibida:
Figura 36 - Confirmando inicialização
Se estiver realmente seguro de que deseja apagar todos estes dados, clique em “Yes”para iniciar o processo de inicialização. Se a operação ocorrer com sucesso a seguinte mensagem será exibida:
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
31
Figura 37 - Inicialização bem-sucedida
3.9 Alterando o SO PIN (Apenas para versão de Administrador)
Clique em “Alterar SO PIN” na tela principal. A seguinte tela irá será exibida:
Figura 38 - Alterando o SO PIN
Utilize o teclado virtual para evitar potenciais ataques. Se você selecionar essa opção e seguinte tela será exibida:
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
32
Figura 39 - Alterando o SO PIN com o teclado virtual
Você também poderá checar o nível de segurança de seu novo SO PIN acionando essa opção.
Insira o SO PIN antigo, o novo e confirme a operação. Clique em “OK”. Se a operação for bem-sucedida a seguinte
mensagem será exibida:
Figura 40 - SO PIN alterado
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
33
4. Gerenciamento de PIN no Microsoft Windows
4.1 V isão geral
EnterSafe Minidriver é um minidriver para cartões inteligentes desenvolvido pela EnterSafe.
A criptografia para Smart Cards foi implementada tanto nas APIs de cryptografia mais antigas como na nova
geração de APIs (CNG) do Microsoft Windows V ista e 2008. A implementação CSP para CAPI é chamada de
Microsoft Base Smart Card Cryptographic Service Provider, e a implementação CNG é chamada Microsoft Smart
Card Key Storage Provider. O CSP básico não tem suporte nativo nos sistemas operacionais mais antigos, mas está
disponível através do update do Windows # KB909520.
O CSP básico e o KPS fornecem os softwares de criptografia básicos, enquanto o minidriver fornece acesso ao
hardware e software de determinado cartão inteligente, compatível com essa arquitetura.
Pela perspectiva do desenvolvedor de aplicações, as interfaces CSP, KSP e Minidriver fornecem um meio comum
de acesso as funcionalidades do cartão inteligente, independentemente do tipo de cartão.
Para os usuários, a nova arquitetura provê suporte para todos os cenários de cartões inteligentes existentes. Além
disso, ela fornece ferramentas de gerenciamento do PIN.
4.2 Gerenciamento de PIN pelo EnterSafe Minidriver para Windows
4.2.1 Alterando o PIN do usuário
Geralmente, o PIN do usuário é utilizado para proteger os dados armazenados no token. Se as operações do
usuário (Windows logon, assinatura e encriptação de emails, acesso VPN, etc) acessam a memória privada no
token, o PIN será solicitado.
É recomendável que os usuários alterem seu PIN de tempos em tempos para proteger melhor os dados do token.
Para fazê-lo, diferentes interfaces estão disponíveis nas diferentes versões do Windows. Segue passo a passo:
4.2.1.1 Alterando o PIN do usuário no Windows 2000, XP ou Server 2003
Antes de alterar o PIN do usuário no Windows 2000, XP ou 2003, os usuários devem baixar e instalar o pacote de
atualização # KB909520 para ativar a ferramenta Smart Card PIN. Depois de instalar o pacote, o usuário deve
utilizar a ferramenta “PIN Tool” da seguinte maneira:
1. Selecione a opção Start/Run e digite PinTool. A seguinte caixa de diálogo será exibida:
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
34
Figura 41 - Ferramenta Smart Card PIN– Alterando o PIN do usuário
2. Insira o PIN antigo, o novo PIN e confirme.
3. Clique no botão “Change Pin” para finalizar a operação.
Nota: O PIN Padrão do EnterSafe_Minidriver é 12345678.
4.2.1.2 Alterando o PIN do usuário com o Windows V ista, 2008 e Windows 7
No Windows V ista , 2008 e Windows 7 o usuário pode alterar o PIN utilizando a área de trabalho segura.
O uso mais comum para a área de trabalho segura é o logon de usuário no Windows. Entretanto, ela também é
utilizada para outras operações seguras com o uso de credenciais, como alteração de senhas ou gerenciamento de
PINs de cartões inteligentes.
Para alterar o PIN no Windows V ista faça o seguinte:
1. Execute Ctrl+Alt+Delete para acessar a tela de área de trabalho segura.
2. Selecione a opção Change a Password.
3. Conecte o EnterSafe Minidriver na entrada USB de seu computador.
4. Selecione o usuário do cartão inteligente.
5. Insira o PIN antigo, o novo e confirme. A tela a seguir ilustra a operação:
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
35
Figura 42- Área de trabalho segura – Alterando o PIN do usuário
4.2.2 Desbloqueanddo o EnterSafe Minidriver
Os dados privados armazenados no EnterSafe Minidriver estão protegidos pelo PIN do usuário. O número de
tentativas de inserção do PIN é limitado, e uma vez excedido esse limite o EnterSafe Minidriver será bloqueado. O
único modo de acessar os dados novamente será realizando o procedimento de desbloqueio.
Nota: por padrão, o número máximo de tentativas de inserção do PIN do EnterSafe Minidriver é 10.
4.2.2.1 Exemplo de procedimento de desbloqueio
A funcionalidade de desbloqueio de um cartão inteligente requer o uso de uma chave de administrador, a qual o
usuário comum não deve ter acesso direto. O usuário terá que requisitar suporte de um agente de segurança para
completar a operação.
Para proteger a confidencialidade da chave do Administrador o procedimento de desbloqueio do cartão não
requer que o usuário final apresente a chave de Administração diretamente. Ao invés disso um mecanismo de
“Desafio-Resposta” é usado:
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
36
1. O usuário obtém um Desafio através do cartão inteligente.
2. O usuário comunica o Desafio para o Administrador de TI/Helpdesk.
3. O Administrador de TI/Helpdesk combina o Desafio (8 bytes) e chave de Administrador (24 bytes)
utilizando o algoritmo DES3 para calcular uma Resposta única (8 bytes) para o desafio.
4. O Administrador de TI/Helpdesk comunica a Resposta para o usuário final.
5. O usuário final insere a Resposta e define um novo valor para o PIN do usuário, que será estabelecida
uma vez que o processo de desbloqueio for encerrado.
6. O cartão inteligente confirma se a Resposta fornecida é correta, comparando o valor inserido pelo
usuário com aquele gerado pelo próprio cartão, utilizando o Desafio e a chave de Administração. Se ambos os
valores coincidirem o desbloqueio do cartão será finalizado com sucesso, a nova senha do usuário estabelecida e
contador de tentativas é zerado.
É importante notar que, como o procedimento de validação do PIN, o desbloqueio do cartão é protegido por um
número máximo de tentativas de desbloqueio. Uma vez que esse número é atingido o cartão será
permanentemente bloqueado até mesmo para o administrador e todos os dados armazenados no cartão se
tornaram imediatamente inacessíveis. Por essa razão, é importante realizar o procedimento de desbloqueio com
muito cuidado.
Assim como o procedimento de alteração de PIN, os processos e ferramentas utilizados para desbloquear um
cartão inteligente no Windows V ista/2008 e versões anteriores do Windows são diferentes.
4.2.2.2 Desbloqueando um cartão inteligente no Windows 2000, XP ou Server 2003
No Windows 2000, XP, Server 2003 e versões posteriores, a ferramenta utilizada para alterar o valor do PIN do
usuário também poderá ser utilizada para desbloquear o cartão.
Note que para utilizar essa ferramenta, o usuário deve estar logado ao PC. O usuário não poderá utilizar as
credenciais contidas no cartão inteligente porque o cartão encontra-se bloqueado. Portanto, se a política de
acesso da organização introduz um mecanismo de logon através de cartão inteligente, o usuário terá que acessar
outro PC já logado para poder ter acesso a ferramenta de desbloqueio de cartão.
A ferramenta de gerenciamento do PIN fornece a seguinte caixa de diálogo para desbloqueio de cartão:
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
37
Figura 43 - Ferramenta de gerenciamento de PIN – Desbloqueio
Com o token bloqueado conectado a porta USB, quando o usuário clicar no botão “Unblock”, o cartão inteligente
irá retornar um Desafio de 16 dígitos e irá habilitar os campos “Response”, “New PIN” e “Confirm New PIN”
para permitir que o usuário insira os valores correspondentes de acordo com o procedimento anteriormente
descrito. Uma vez que o usuário clique no botão “OK”, os valores de Resposta e do novo PIN serão transmitidos
para o cartão para completar o procedimento de desbloqueio.
4.2.2.3 Desbloqueando o cartão inteligente no Windows V ista, 2008 e Windows 7
A ferramenta de desbloqueio de PINs para cartões inteligentes está integrada a área de trabalho segura do
Windows V ista, 2008 e Windows 7. Entretanto, essa ferramenta precisa ser habilitada na Política de Grupos do
Windows. Quando essa opção é habilitada, a tela de desbloqueio é automaticamente exibida ao usuário que
tentar utilizar um cartão bloqueado.
Nota: o desbloqueio exige que a cada cartão inteligente distribuído a um usuário seja atribuída uma chave de
Administrador e uma maneira segura para armazenar e acessar essa chave quando houver necessidade de
assistência.
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
38
4.2.2.3.1 Habilitando o desbloqueio no Windows V ista, 2008 e Windows 7
A função de desbloqueio, por padrão, não está habilitada nessas versões do Windows. Para habilitá-la deve utilizar
a Política de Grupos no MMC (Microsoft Management Console).
1. Clique no botão “Start”, digite MMC no campo de busca e pressione “Enter”.
2. Clique em “Allow” quando a caixa de diálogo de comando aparecer para abrir o MCC.
3. No Console 1, clique no menu “File” e selecione “Add/Remove Snap-in”.
4. Na caixa de diálogo Add or Remove Snap-ins, selecione Group Policy Object Editor no painel Available
Snap-ins do lado esquerdo da tela, e então clique em Add, como mostra a figura:
Figura 44 - Adicionando “Group Policy Object Editor”
5. Você poderá habilitar a funcionalidade de desbloqueio apenas para um computador local ou para todos
os computadores do domínio.
1) Para habilitar apenas a máquina local, você deve deve possuir credenciais de administrador.
Selecione Local Computer em Group Policy Object. Clique em Finish para fechar a caixa de diálogo
Select Group Policy.
2) Para habilitar todas as máquinas do domínio você deve ser administrador do mesmo.
Selecionar Default Domain Policy em Group Policy Object. Na caixa de diálogo Select Group Policy
Object clique em Finish.
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
39
6. Clique em OK na caixa de diálogo Add or Remove Snap-ins para encerrá-la.
7. Clique em Local Computer Policy do lado esquerdo do painel, e então clique em Computer
configuration—>Administrative Templates—>Windows Components—> Smart Card. E então duplo clique em
Allow Integrated Unblock screen to be displayed at time of logon na lista de Setting, como mostra a figura:
Figura 45 - Configuração de desbloqueio
8. Selecione o botão Enabled e clique em OK, como mostra a imagem:
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
40
Figura 46 - Habilitando a funcionalidade de desbloqueio
Nesse ponto, a tela de desbloqueio de cartão inteligentes exibirá uma frase pré configurada. Essa frase pode ser
utilizada para fornecer um número de telefone para que os usuários possam ligar e obter uma Resposta para o
Desafio do administrador. Você poderá configurar essa frase seguindo os seguintes passos:
9. Retorne a caixa de diálogo Console 1, selecione Local Computer Policy —> Computer Configuration —>
Administrative Templates —> Windows Components —> Smart Card, duplo clique em Display string
when smart card is blocked do lado direito do painel.
10. Selecione a opção Enabled e digite a frase a ser exibida na tela de desbloqueio na caixa de texto
Display sting when smart card is blocked e pressione OK, como mostra a imagem:
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
41
Figura 47 - Frase de desbloqueio
4.2.2.3.2 Desbloqueio no Windows V ista, 2008 e Windows 7
Da mesma forma que acontece com a alteração de PIN, a funcionalidade de desbloqueio já está está integrada
com a área de trabalho segura do Windows V ista, 2008 e Windows 7. Entretanto, essa ferramenta precisa ser
habilitada na Política de Grupos do Windows com descrito no item 2.2.3.1. Quando essa opção é habilitada, a tela
de desbloqueio é automaticamente exibida ao usuário que tentar utilizar um cartão bloqueado.
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
42
Figura 48 - Área de trabalho protegida - Desbloqueio
4.2.2.4 Ferramenta de Administrador para Desbloqueio
O procedimento de desbloqueio requer que o administrador seja capaz de calcular o Desafio e a Resposta
fornecidos pelo cartão inteligente de qualquer usuário pelo qual ele é responsável. Isso significa que o
administrador deve:
1. Saber ou ter acesso aos valores das chaves de administrador de todos os cartões inteligentes em uso.
2. Ter acesso a ferramenta DES3 para calcular a Resposta baseada no Desafio e ter acesso a chave de
administração de determinado cartão inteligente.
Nenhum dos sistemas operacionais Windows fornece algum meio para que os administradores possam controlar
o armazenamento seguro das chaves administrativas dos usuários, como também não fornecem uma ferramenta
para calcular Respostas para os Desafios.
Essas funcionalidades normalmente são fornecidas por qualquer fornecedora de CMS privada, incluindo o IML
(Identity Lifecycle Manager) da Microsoft.
ePass2003 – Guia do Usuário
Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com
43
Anexo: Termos e abreviações
Entrada
Descrição
ePass2003 Token baseado na tecnologia de cartões inteligentes
compatível com as normas FIPS, desenvolvido pela
Feitian Technologies para operar na Infraestrutura de
Chaves Públicas.
Interface CryptoAPI
(CAPI)
Interface utilizada na criptografia de operações,
fornecida pela Microsoft. Através dessa interface, é
possível desenvolver aplicações PKI para
encriptação/decriptação de dados, autenticação e
assinatura na plataforma Windows.
Interface Smart Card
Minidriver
Interface utilizada na criptografia de operações,
fornecida pela Microsoft. Ela provê encapsulação de
algoritmos criptográficos para cartões inteligentes
baseados na Microsoft Base Smart Card Crypto
Provider e Microsoft Smart Card Key Storage Provider.
Interface PKCS#11 Interface de programação introduzida pela RSA. Ela
abstrai o dispositivo criptográfico em um token de
visão lógica universal, para ser usado em em
aplicativos alto nível, fornecendo independência de
dispositivos e compartilhamento de recursos.