Guia do Usuário ePass2003 - pronovacertificadora.com.br · defeitos de fabricação, assim como a assegura a qualidade dos materiais utilizados por um período de 12 ... PC/SC ,

Guia do Usuário

ePass2003

V1.2A

Feitian Technologies Co., Ltd.

Website: www.FTsafe.com

http://www.ftsafe.com/

ePass2003 – Guia do Usuário

Copyright © Feitian Technologies Co., Ltd. Website: www.FTsafe.com

i

Histórico de alterações:

Data Versão Descrição

Maio. 2011 V1.0 Versão inicial

Setembro. 2011 V1.1 Atualização de figuras

Dezembro. 2011 V1.2 Adição de texto introdutório

Dezembro. 2014 V1.2A Versão do Manual Personalizado para distribuição pela Pronova



1

Licença de uso

Todos os produtos de Feitian Technologies Co., Ltd. (Feitian), incluindo, mas não limitado a, cópias de

avaliação, disquetes, CD-ROMs, Hardware e documentação, e todos os futuros pedidos, estão sujeitos aos

termos deste contrato. Caso haja discordância com algum dos termos aqui expostos, favor nos devolver o

produto sob avaliação, com postagem e seguro pré pagos, dentro de sete dias da data do recebimento do

mesmo, e nos comprometeremos a reembolsar o valor do produto, excluindo as taxas de frete e outras

despesas aplicáveis.

Uso permitido - Você pode integrar, combinar e fazer link do Software com outros programas com a única

finalidade de proteger esses programas, em conformidade com o uso descrito no Guia do

Desenvolvedor. Você pode fazer cópias do software com o objetivo de utilizá-las posteriormente como

cópias de segurança ou backup.

Uso proibido - O Software, Hardware ou qualquer outra parte do produto não pode ser copiado, tão

pouco submetido a reengenharia, desmontado, descompilado, revisto, melhorado ou modificado, exceto

se especificamente permitido no item 1. Você não pode submeter o Software ou qualquer parte do

produto à reengenharia ou tentar descobrir seu código fonte. Você não pode usar a mídia magnética ou

óptica incluída no produto para fins de transferência ou armazenamento de dados que não constituam

parte original do produto, ou que seja uma melhoria ou atualização do produto oferecidas pela Feitian.

Garantia - Feitian assegura que o Hardware e a mídia de armazenamento de Software estão isentos de

defeitos de fabricação, assim como a assegura a qualidade dos materiais utilizados por um período de 12

(doze) meses a partir da data de entrega do produto.

V iolação de Garantia - Em caso de quebra desta garantia, a única obrigação da Feitian será substituir ou

reparar, a critério da Feitian, qualquer produto gratuitamente. Qualquer produto substituído é de

propriedade da Feitian.

As reivindicações de garantia devem ser feitas por escrito à Feitian durante o período de garantia e dentro

de 14 (quatorze) dias após a observação do defeito. Todos os pedidos de garantia devem ser

acompanhados de provas do defeito que sejam consideradas satisfatórias pelo Feitian. Quaisquer

produtos que retornem à Feitian, ou a um distribuidor autorizado Feitian, devem ser devolvidos com frete

e seguro pagos.

EXCETO POR INDICAÇÃO CONTRÁRIA, NÃO HÁ NENHUMA OUTRA GARANTIA DO PRODUTO ALÉM DAS

EXPRESSAS NO PROSENTE DOCUMENTO. PORTANTO NÃO SE PODE ENTENDER QUE EXISTA EXTENSÃO OU

MAIOR ALCANCE DA MESMA, EXPRESSA OU IMPLÍCITA, INCLUINDO, MAS NÃO SE LIMITANDO, ÀS

GARANTIAS IMPLÍCITAS DE COMERCIALIZAÇÃO E ADEQUAÇÃO DO PRODUTO PARA UM DETERMINADO

PROPÓSITO.



2

Limitação de Responsabilidade legal - Toda a responsabilidade legal da Feitian para com seus clientes ou

qualquer outra parte, por qualquer causa, seja por contrato ou dano, incluindo negligência, não excederá

o preço pago pela unidade do produto que causou o dano ou foi objeto direto ou indireto da causa da

ação. Em nenhum caso a Feitian será responsabilizada por quaisquer danos causados por sua falha em

cumprir suas obrigações, nem por qualquer perda de dados, prejuízo financeiro ou quaisquer outros

danos consequentes e acidentais, mesmo que a Feitian tenha sido avisada da possibilidade de danos, ou

por qualquer reclamação feita com base em quaisquer reclamações de terceiros.

Rescisão - O presente Acordo cessará se você deixar de cumprir com os termos aqui presentes. Os itens 2,

3, 4 e 5 devem sobreviver à rescisão do presente Acordo.



3

Conteúdo

Guia do Usuário............................................................................................................................................... 1

ePass2003 1

1. V isão geral do ePass2003.......................................................................................................................... 4

1.1 V isão geral do produto .................................................................................................................................. 4 1.2 Características do ePass2003 ......................................................................................................................... 4 1.3 Especificações Técnicas .................................................................................................................................. 5

2. Instalação ................................................................................................................................................. 6

2.1 Plataformas suportadas ................................................................................................................................. 6 2.2 Preparação para instalar o ePass2003 ........................................................................................................... 6 2.3 Instalando o ePass2003 ................................................................................................................................. 6 2.4 Desinstalando o software do ePass2003 ..................................................................................................... 10

3. Módulo de gerenciamento do ePass2003 ....................................................................................................13

3.1 Pré-requisitos ............................................................................................................................................... 13 3.2 V isão geral ................................................................................................................................................... 13

3.2.1 Acesso sem a inserção do token ................................................................................................................................... 13

3.2.2 Iniciando o gerenciador através da inserção do token ................................................................................................. 14

3.2.3 Botões disponíveis ........................................................................................................................................................ 15

3.3 Iniciar Sessão................................................................................................................................................ 15 3.4 Gerenciamento de Certificados ................................................................................................................... 17

3.4.1 V isualizando as informações do certificado ................................................................................................................. 18

3.4.2 Importando certificados ............................................................................................................................................... 19

3.4.3 Exportando ................................................................................................................................................................... 22

3.4.4 Apagar certificado ........................................................................................................................................................ 23

3.5 Alterando o nome do token ......................................................................................................................... 24 3.6 Alterando o PIN do usuário.......................................................................................................................... 24 3.7 Desbloqueio (Apenas para versão de Administrador) ................................................................................. 28 3.8 Inicializando o token (Apenas para versão de Administrador) .................................................................... 29 3.9 Alterando o SO PIN (Apenas para versão de Administrador)....................................................................... 31

4. Gerenciamento de PIN no Microsoft Windows............................................................................................33

4.1 V isão geral ................................................................................................................................................... 33 4.2 Gerenciamento de PIN pelo EnterSafe Minidriver para Windows .............................................................. 33

4.2.1 Alterando o PIN do usuário .......................................................................................................................................... 33

4.2.2 Desbloqueanddo o EnterSafe Minidriver...................................................................................................................... 35

Anexo: Termos e abreviações..........................................................................................................................43



4

1. V isão geral do ePass2003

Esse capítulo introduz os conceitos, especificações técnicas a características básicas do token ePass2003.

1.1 V isão geral do produto

O ePass2003 é um token PKI de alta segurança que incorpora as tecnologias de criptografia e os padrões mais

avançados disponíveis no mercado. Ele foi desenvolvido para operar em qualquer ambiente de Infraestrutura de

Chaves Públicas, fornecendo autenticação de dois fatores onde segurança é essencial. Com um sistema

operacional validado pela FIPS 140-2 e um mecanismo de gerenciamento “on-board”, o ePass2003 garante um

alto nível de segurança para uma ampla gama de aplicações sensíveis.

O ePass2003 é compatível com os sistemas operacionais Windows, Linux e Mac através das tecnologias

Microsoft Minidriver e OpenSC e é a escolha ideal para empresas das mais variadas indústrias, tais como governo,

financeiras e educação.

1.2 Características do ePass2003

Chip Smart Card de alto desempenho

FEITIAN COS - Sistema Operacional para Cartões Inteligentes próprio

Geração de chaves criptográficas em hardware: RSA 1024 / 2048

Suporta os algoritmos RSA, DES, 3DES, AES 128/192/256,SHA-1 e SHA-2

Assinatura Digital em Hardware, a chave privada nunca pode ser exportada

Número de série único de 64 dígitos

Geração de número aleatório implementado em Hardware

Espaço de memória segura de 64KB (Máximo)

Total suporte a aplicações PKI

API (CSP e PKCS#11) para Middleware Padrão disponível

O Minidriver pode ser baixado automaticamente através de Windows Update (para Windows 7)

Permite o armazenamento de múltiplas chaves

Suporte o padrão X.509v3 de certificados digitais

Integração transparente com aplicações PKI

Conexão USB 2.0 de alto desempenho. Suporta também a interface USB 1.1

Sistemas Operacionais suportados:

Windows 2000/XP/2003/V ista/Windows 7/ 8 / 2008

Linux e Mac OS



5

1.3 Especificações Técnicas

Sistemas Operacionais

Windows 2000/XP/2003/2008/V ista/win 7/Win 8

Linux

MacOS

Interfaces Smart Card

PC/SC , CCID

Padrões e Certificações

USB 2.0 de alto desempenho

Microsoft CAPI e PKCS#11

Armazenamento de certificados no padrão X.509 v3

Compatível com ISO7816

Compatível com FIPS 140-2

Certificado pela EAL5 (chip)

Em conformidade com

CE e FCC

Espaço de memória do usuário

64KB

Algoritmos suportados

RSA 1024 / 2048, DES e 3DES

AES 128 / 192 / 256, SHA1 e SHA

Temperatura de Operação

0℃ até 70℃

Retenção de dados na memória

Pelo menos 10 anos

Gravação de dados na memória

Pelo menos 500.000



6

2. Instalação

2.1 Plataformas suportadas

Windows:

Windows 2000

Windows XP x86/x64

Windows 2003 x86/x64

Windows Vista x86/64

Windows 2008 x86/x64

Windows 7 x86/x64 Windows 8 x86/x64

Linux

Mac OS

2.2 Preparação para instalar o ePass2003

Antes de instalar o ePass2003 certifique-se que os seguintes pré-requisitos foram satisfeitos:

O seu sistema operacional é um dos indicados na lista acima

O seu computador tem ao menos uma conexão USB disponível

O BIOS de seu computador suporta o dispositivo USB. Esse suporte pode ser habilitado nas configurações CMOS

Extensão USB ou “hub” disponível (opcional)

Token ePass2003 disponível

2.3 Instalando o ePass2003

1. Para que você possa utilizar o ePass2003 você precisa instalar a biblioteca de dados. Execute o

ePass2003-Setup.exe. A interface de seleção de idiomas será exibida:



7

Figura 1 - Seleção de Idioma

2. Após selecionar o idioma clique em “OK”, a seguinte tela será exibida:

Figura 2 - Tela de boas vindas

3. Clique em “Next”, a tela para seleção do diretório de instalação será exibida:



8

Figura 3 - Selecionar o diretório de instalação

4. Clique em “Next” e a tela de escolha da CSP será exibida:

Figura 4 - Tela de escolha da CSP



9

Nota: o ePass2003 suporta CSP privado e Microsoft CSP.

Para versões mais antigas do Windows como Windows2000/XP, o usuário deve instalar a atualização KB909520

para ativar a opção ‘Microsoft CSP’.

O CSP privado é fornecido pela Feitian e se chama “EnterSafe ePass2003 CSP v1.0”.

Microsoft CSP significa “Microsoft Base CSP” (Microsoft Base Smart Card Crypto Provider), e suporta Minidriver. Além disso, o

usuário pode instalar o middleware através da atualização do Windows, sem necessidade de instalação redundante de pacotes ou

processos complicados de instalação. Nós também fornecemos pacotes de instalação para usuários que não possuem acesso a

internet. Mas atenção: para Windows Vista ou versões superiores, a Microsoft fornece a funcionalidade Minidriver integrada ao

sistema operacional. Para XP ou versão anteriores, o sistema Windows não possui o CSP instalado e essa funcionalidade pode ser

ativada através da atualização KB909520.

5. Depois de selecionar CSP, clique em “Instalar” para continuar e a seguinte tela será exibida:

Figura 5 - Processo de Instalação

6. Terminada a instalação a seguinte tela será exibida:



10

Figura 6 - Instalação Concluída

7. Clique em “Terminar” para finalizar a instalação.

2.4 Desinstalando o software do ePass2003

Para desinstalar o software do ePass2003 existem duas possibilidades:

a. Utilizando “Adicionar e Remover Programas”

Acesse o menu “Inicio” selecione “Painel de controle”, duplo clique “Adicionar e remover programas”,

selecione “ePass2003 (Remover somente)” na lista de “Programas instalados”, então clique em

“Alterar/Remover”.

b. Utilizando o Menu Inicial

Acessar o menu “Início” “Todos os programas” “EnterSafe” “ePass2003” “Uninstall ePass2003”.

1. Ambos os métodos acima podem ser utilizados para iniciar o processo de desinstalação do ePass2003.

Segue o passo a passo:



11

Figura 7 - Menu de desinstalação

2. Clique em “Uninstall” e a seguinte tela será exibida:

Figura 8 - Processo de desinstalação



12

3. Após o término do processo de desinstalação a seguinte tela será exibida:

Figura 9 - Desinstalação Concluída

4. Clique em “Terminar” para fechar a janela. O software do ePass2003 já foi removido do seu computador.



13

3. Módulo de gerenciamento do ePass2003

3.1 Pré-requisitos

O modulo de gerenciamento é baseado no middleware do ePass2003 e por isso ele precisa estar instalado no seu

computador para que sua execução seja possível.

O token PKI precisa ser inicializado antes do uso.

PIN/SO PIN(PUK) padrão:

PIN: 12345678

SO PIN: 12345678

3.2 V isão geral

3.2.1 Acesso sem a inserção do token

Você pode acessar o gerenciador clicando em Início -> Todos os programas -> Entersafe -> ePass2003. A seguinte

tela será exibida:



14

Figura 10 - Token não conectado a porta USB

3.2.2 Iniciando o gerenciador através da inserção do token

Conecte o ePass2003 na porta USB do seu computador. O Gerenciador irá reconhecer imediatamente o token e

abrir a Gerenciador:



15

Figura 11 - Inserindo o token na porta USB

Nota: os espaços de memória total e livre referem-se apenas ao espaço protegido pelo PIN. Uma vez que a chave

privada é extremamente sensível e gerida pelo COS, ele não exibe o espaço total de memória total e memória

livre nesse caso.

3.2.3 Botões disponíveis

Os botões da interface de gerenciamento são: Iniciar Sessão, Importar, Exportar, Apagar, Mudar PIN do usuário,

Renomear Token, Ver Certificado e Sair.

3.3 Iniciar Sessão

Selecione o dispositivo USB da lista a direita da tela e clique em “Iniciar Sessão”. A seguinte tela será exibida:



16

Figura 12 - Caixa de diálogo de Login

Você terá a opção de utilizar o teclado virtual para evitar o ataque do tipo Trojan simplesmente clicando nessa

opção.

Figura 13 - Teclado V irtual

Nota: seu teclado físico será desabilitado ao optar pelo teclado virtual.

Depois de fornecer o PIN de acesso, clique em OK e a tela apresentada na figura 5 será exibida. Uma lista de

tokens será exibida na parte superior da tela e abaixo suas propriedades e valores. Clicando em “Esconder” ou

“Mostrar detalhes” você poderá alterar o modo de visualização dos dados. Depois de efetuar o login você poderá

visualizar não apenas os dados públicos mas também os privados. Através do botão “Encerrar sessão” você poderá

finalizar o acesso ao dispositivo.



17

Figura 14 - Sessão Iniciada

Se você digitou a senha incorretamente a seguinte tela será exibida:

Figura 15 - Senha incorreta

Nota: há um número limite de tentativas para a inserção do PIN. Se esse número atingir 9 o token será bloqueado

e você não terá mais acesso ao dispositivo.

3.4 Gerenciamento de Certificados

Depois de ter iniciado a sessão no Gerenciador você poderá visualizar as informações do token, importar e apagar

certificados, entre outras funções.



18

3.4.1 V isualizando as informações do certificado

1. Clique em “+” do lado esquerdo do ícone de diretório para agrupar ou expandir o conteúdo das

informações. Clique “+” do lado esquerdo do ícone do certificado para visualizar o par de chaves criptográficas.

Quando um certificado é selecionado o botão de visualização é ativado.

Figura 16 - V isualizando as informações do certificado

2. Clicando no botão “Ver Certificado” ou clicando duas vezes no ícone a seguinte tela será exibida:



19

Figura 17 - V isualizando as informações do certificado

3.4.2 Importando certificados

O ePass2003 suporta os seguintes tipos de certificados: P12, PFX, P7B, CRT e CER. Os tipos P12 e PFX contêm o par

de chaves (publica e privada), enquanto os tipos P7B, CRT e CER não. Os tipos PFX e CER serão utilizados nos

exemplos a seguir.

3.4.2.1 Importando certificados PFX

Clique no botão “Importar” na tela principal do Gerenciador e a seguinte tela será exibida:



20

Figura 18 - Importar Certificados

Clique em “Pesquisar” para escolher o certificado a ser importado e, se necessário, insira a senha. Você poderá

criar um “container” para o certificado ou selecionar um existente. Uma vez que o certificado PFX consiste de uma

chave pública e uma privada, ele pode ser utilizado tanto para troca de chaves quanto para assinatura. Selecione a

opção desejada e clique em OK.

Nota: Dois certificados com propósitos diferentes podem ser armazenados em um único container. Quando o

certificado é importado para um container já existente, ele irá substituir o certificado de mesmo propósito, caso

ele exista.

3.4.2.2 Importando certificados P7B

Clique no botão “Importar” na tela principal do Gerenciador e a seguinte tela será exibida:



21

Clique no botão “Pesquisar” e escolha um certificado do tipo P7B. Você precisa criar um container para armazenar

o certificado. Uma vez que certificados do tipo P7B não contém um par de chaves, ele só poderá ser utilizado para

troca de chaves. Clique em “OK”.



22

Figura 19 - Importando o certificado

3.4.3 Exportando

Você poderá exportar o certificado do token para um arquivo. Escolha um certificado da lista no gerenciador e

clique no botão “Exportar” e uma caixa de diálogo será exibida. Especifique o diretório destino e o nome do

arquivo.



23

Figura 20 - Destino da exportação do certificado

Clique em “Save”. Se a operação foi bem-sucedida a seguinte mensagem será exibida:

Figura 21 - Exportação realizada com sucesso

Nota: O par de chaves pública/privada não poderá ser exportado.

3.4.4 Apagar certificado

1. Cuidado, esta é uma ação irreversível ! Se excluído o certificado não poderá ser recuperado !

No gerenciador, escolha o certificado e clique em “Apagar”. A seguinte tela será exibida:

Figura 22 - Apagando um certificado



24

2. Clique em “Yes” para confirmar a operação.

Da mesma maneira você poderá apagar as chaves ou containers ePass2003. Se você selecionar o ícone do

ePass2003 e clicar em “Apagar” todos os containers, certificados e chaves serão apagados do dispositivo.

3.5 Alterando o nome do token

Geralmente o token pode ser identificado pelo seu número de série, mas por facilitar sua identificação você

poderá nomeá-lo.

1. Clique no botão “Renomear token”. A seguinte tela será exibida:

Figura 23 - Alterando o nome do token

2. Inserir o nome do token e clique em “OK”.

Nota: o nome deve ter no máximo 32 caracteres.

3.6 Alterando o PIN do usuário

Você poderá alterar o PIN do seu token. Na tela principal do gerenciador clique no botão “Mudar PIN do usuário”.

A seguinte tela será exibida. Insira o PIN antigo e o novo e clique em “OK”.

Figura 24 - Alterando o PIN do usuário



25

Você também poderá utilizar o teclado virtual para digitar o PIN. Basta acionar essa opção, conforme figura

abaixo:

Figura 25 - Acionando o teclado virtual

Você poderá verificar o nível de segurança de seu PIN acionando “Verificar Intensidade”. A letra “L” significa baixa

segurança.

Figura 26 - Baixa segurança

Se o nível de segurança de seu PIN é maior a seguinte mensagem será exibida:



26

Figura 27 - Segurança média

Nós recomendamos que os PINs sejam compostos de letras maiúsculas e minúsculas, números e caracteres

especiais.

Figura 28 - Nível alto de segurança

Clicando em “OK”, a seguinte tela será exibida:

Figura 29 - PIN alterado

A descrição acima é apenas para versão Usuário do Gerenciador. Como Administrador você terá acesso a funções

adicionais.



27

A tela principal agrega um botão em formato triangular através do qual você poderá estender o menu principal.

Figura 30 - Versão de Administrador – Menu 1

Clicando nesse botão a seguinte tela será exibida:



28

Figura 31 - Versão de Administrador – Menu 2

3.7 Desbloqueio (Apenas para versão de Administrador)

A versão de administrador permite o desbloqueio de um token.

Clique no botão “Desbloquear” na tela principal. A seguinte tela será exibida:

Figura 32 - Caixa de diálogo de desbloqueio

Você também poderá utilizar o teclado virtual para digitar o PIN. Basta acionar essa opção, conforme figura

abaixo:



29

Figura 33 teclado virtual

Você também poderá verificar o nível de segurança do seu PIN acionando essa funcionalidade na própria tela.

Insira o SO PIN, o novo PIN e clique em “OK”. A seguinte tela será exibida:

3.8 Inicializando o token (Apenas para versão de Administrador)

CUIDADO! Esta é uma ação irreversível. Ao fazer uso deste recurso, todos os objetos (certificados digitais, chaves públicas e privadas) serão apagados e não poderão ser recuperados. Se você apagar seu certificado através deste recurso, você terá que comprar um novo certificado. Portanto, somente faça uso deste recurso, se os certificados e chaves criptográficas não tiverem mais nenhuma serventia para você ! Clique no botão “Inicializar” na tela principal. A seguinte tela será exibida:



30

Figura 35 - Caixa de diálogo de inicialização

Depois de inserir todos os parâmetros clique em “OK”. A seguinte mensagem será exibida:

Figura 36 - Confirmando inicialização

Se estiver realmente seguro de que deseja apagar todos estes dados, clique em “Yes”para iniciar o processo de inicialização. Se a operação ocorrer com sucesso a seguinte mensagem será exibida:



31

Figura 37 - Inicialização bem-sucedida

3.9 Alterando o SO PIN (Apenas para versão de Administrador)

Clique em “Alterar SO PIN” na tela principal. A seguinte tela irá será exibida:

Figura 38 - Alterando o SO PIN

Utilize o teclado virtual para evitar potenciais ataques. Se você selecionar essa opção e seguinte tela será exibida:



32

Figura 39 - Alterando o SO PIN com o teclado virtual

Você também poderá checar o nível de segurança de seu novo SO PIN acionando essa opção.

Insira o SO PIN antigo, o novo e confirme a operação. Clique em “OK”. Se a operação for bem-sucedida a seguinte

mensagem será exibida:

Figura 40 - SO PIN alterado



33

4. Gerenciamento de PIN no Microsoft Windows

4.1 V isão geral

EnterSafe Minidriver é um minidriver para cartões inteligentes desenvolvido pela EnterSafe.

A criptografia para Smart Cards foi implementada tanto nas APIs de cryptografia mais antigas como na nova

geração de APIs (CNG) do Microsoft Windows V ista e 2008. A implementação CSP para CAPI é chamada de

Microsoft Base Smart Card Cryptographic Service Provider, e a implementação CNG é chamada Microsoft Smart

Card Key Storage Provider. O CSP básico não tem suporte nativo nos sistemas operacionais mais antigos, mas está

disponível através do update do Windows # KB909520.

O CSP básico e o KPS fornecem os softwares de criptografia básicos, enquanto o minidriver fornece acesso ao

hardware e software de determinado cartão inteligente, compatível com essa arquitetura.

Pela perspectiva do desenvolvedor de aplicações, as interfaces CSP, KSP e Minidriver fornecem um meio comum

de acesso as funcionalidades do cartão inteligente, independentemente do tipo de cartão.

Para os usuários, a nova arquitetura provê suporte para todos os cenários de cartões inteligentes existentes. Além

disso, ela fornece ferramentas de gerenciamento do PIN.

4.2 Gerenciamento de PIN pelo EnterSafe Minidriver para Windows

4.2.1 Alterando o PIN do usuário

Geralmente, o PIN do usuário é utilizado para proteger os dados armazenados no token. Se as operações do

usuário (Windows logon, assinatura e encriptação de emails, acesso VPN, etc) acessam a memória privada no

token, o PIN será solicitado.

É recomendável que os usuários alterem seu PIN de tempos em tempos para proteger melhor os dados do token.

Para fazê-lo, diferentes interfaces estão disponíveis nas diferentes versões do Windows. Segue passo a passo:

4.2.1.1 Alterando o PIN do usuário no Windows 2000, XP ou Server 2003

Antes de alterar o PIN do usuário no Windows 2000, XP ou 2003, os usuários devem baixar e instalar o pacote de

atualização # KB909520 para ativar a ferramenta Smart Card PIN. Depois de instalar o pacote, o usuário deve

utilizar a ferramenta “PIN Tool” da seguinte maneira:

1. Selecione a opção Start/Run e digite PinTool. A seguinte caixa de diálogo será exibida:



34

Figura 41 - Ferramenta Smart Card PIN– Alterando o PIN do usuário

2. Insira o PIN antigo, o novo PIN e confirme.

3. Clique no botão “Change Pin” para finalizar a operação.

Nota: O PIN Padrão do EnterSafe_Minidriver é 12345678.

4.2.1.2 Alterando o PIN do usuário com o Windows V ista, 2008 e Windows 7

No Windows V ista , 2008 e Windows 7 o usuário pode alterar o PIN utilizando a área de trabalho segura.

O uso mais comum para a área de trabalho segura é o logon de usuário no Windows. Entretanto, ela também é

utilizada para outras operações seguras com o uso de credenciais, como alteração de senhas ou gerenciamento de

PINs de cartões inteligentes.

Para alterar o PIN no Windows V ista faça o seguinte:

1. Execute Ctrl+Alt+Delete para acessar a tela de área de trabalho segura.

2. Selecione a opção Change a Password.

3. Conecte o EnterSafe Minidriver na entrada USB de seu computador.

4. Selecione o usuário do cartão inteligente.

5. Insira o PIN antigo, o novo e confirme. A tela a seguir ilustra a operação:



35

Figura 42- Área de trabalho segura – Alterando o PIN do usuário

4.2.2 Desbloqueanddo o EnterSafe Minidriver

Os dados privados armazenados no EnterSafe Minidriver estão protegidos pelo PIN do usuário. O número de

tentativas de inserção do PIN é limitado, e uma vez excedido esse limite o EnterSafe Minidriver será bloqueado. O

único modo de acessar os dados novamente será realizando o procedimento de desbloqueio.

Nota: por padrão, o número máximo de tentativas de inserção do PIN do EnterSafe Minidriver é 10.

4.2.2.1 Exemplo de procedimento de desbloqueio

A funcionalidade de desbloqueio de um cartão inteligente requer o uso de uma chave de administrador, a qual o

usuário comum não deve ter acesso direto. O usuário terá que requisitar suporte de um agente de segurança para

completar a operação.

Para proteger a confidencialidade da chave do Administrador o procedimento de desbloqueio do cartão não

requer que o usuário final apresente a chave de Administração diretamente. Ao invés disso um mecanismo de

“Desafio-Resposta” é usado:



36

1. O usuário obtém um Desafio através do cartão inteligente.

2. O usuário comunica o Desafio para o Administrador de TI/Helpdesk.

3. O Administrador de TI/Helpdesk combina o Desafio (8 bytes) e chave de Administrador (24 bytes)

utilizando o algoritmo DES3 para calcular uma Resposta única (8 bytes) para o desafio.

4. O Administrador de TI/Helpdesk comunica a Resposta para o usuário final.

5. O usuário final insere a Resposta e define um novo valor para o PIN do usuário, que será estabelecida

uma vez que o processo de desbloqueio for encerrado.

6. O cartão inteligente confirma se a Resposta fornecida é correta, comparando o valor inserido pelo

usuário com aquele gerado pelo próprio cartão, utilizando o Desafio e a chave de Administração. Se ambos os

valores coincidirem o desbloqueio do cartão será finalizado com sucesso, a nova senha do usuário estabelecida e

contador de tentativas é zerado.

É importante notar que, como o procedimento de validação do PIN, o desbloqueio do cartão é protegido por um

número máximo de tentativas de desbloqueio. Uma vez que esse número é atingido o cartão será

permanentemente bloqueado até mesmo para o administrador e todos os dados armazenados no cartão se

tornaram imediatamente inacessíveis. Por essa razão, é importante realizar o procedimento de desbloqueio com

muito cuidado.

Assim como o procedimento de alteração de PIN, os processos e ferramentas utilizados para desbloquear um

cartão inteligente no Windows V ista/2008 e versões anteriores do Windows são diferentes.

4.2.2.2 Desbloqueando um cartão inteligente no Windows 2000, XP ou Server 2003

No Windows 2000, XP, Server 2003 e versões posteriores, a ferramenta utilizada para alterar o valor do PIN do

usuário também poderá ser utilizada para desbloquear o cartão.

Note que para utilizar essa ferramenta, o usuário deve estar logado ao PC. O usuário não poderá utilizar as

credenciais contidas no cartão inteligente porque o cartão encontra-se bloqueado. Portanto, se a política de

acesso da organização introduz um mecanismo de logon através de cartão inteligente, o usuário terá que acessar

outro PC já logado para poder ter acesso a ferramenta de desbloqueio de cartão.

A ferramenta de gerenciamento do PIN fornece a seguinte caixa de diálogo para desbloqueio de cartão:



37

Figura 43 - Ferramenta de gerenciamento de PIN – Desbloqueio

Com o token bloqueado conectado a porta USB, quando o usuário clicar no botão “Unblock”, o cartão inteligente

irá retornar um Desafio de 16 dígitos e irá habilitar os campos “Response”, “New PIN” e “Confirm New PIN”

para permitir que o usuário insira os valores correspondentes de acordo com o procedimento anteriormente

descrito. Uma vez que o usuário clique no botão “OK”, os valores de Resposta e do novo PIN serão transmitidos

para o cartão para completar o procedimento de desbloqueio.

4.2.2.3 Desbloqueando o cartão inteligente no Windows V ista, 2008 e Windows 7

A ferramenta de desbloqueio de PINs para cartões inteligentes está integrada a área de trabalho segura do

Windows V ista, 2008 e Windows 7. Entretanto, essa ferramenta precisa ser habilitada na Política de Grupos do

Windows. Quando essa opção é habilitada, a tela de desbloqueio é automaticamente exibida ao usuário que

tentar utilizar um cartão bloqueado.

Nota: o desbloqueio exige que a cada cartão inteligente distribuído a um usuário seja atribuída uma chave de

Administrador e uma maneira segura para armazenar e acessar essa chave quando houver necessidade de

assistência.



38

4.2.2.3.1 Habilitando o desbloqueio no Windows V ista, 2008 e Windows 7

A função de desbloqueio, por padrão, não está habilitada nessas versões do Windows. Para habilitá-la deve utilizar

a Política de Grupos no MMC (Microsoft Management Console).

1. Clique no botão “Start”, digite MMC no campo de busca e pressione “Enter”.

2. Clique em “Allow” quando a caixa de diálogo de comando aparecer para abrir o MCC.

3. No Console 1, clique no menu “File” e selecione “Add/Remove Snap-in”.

4. Na caixa de diálogo Add or Remove Snap-ins, selecione Group Policy Object Editor no painel Available

Snap-ins do lado esquerdo da tela, e então clique em Add, como mostra a figura:

Figura 44 - Adicionando “Group Policy Object Editor”

5. Você poderá habilitar a funcionalidade de desbloqueio apenas para um computador local ou para todos

os computadores do domínio.

1) Para habilitar apenas a máquina local, você deve deve possuir credenciais de administrador.

Selecione Local Computer em Group Policy Object. Clique em Finish para fechar a caixa de diálogo

Select Group Policy.

2) Para habilitar todas as máquinas do domínio você deve ser administrador do mesmo.

Selecionar Default Domain Policy em Group Policy Object. Na caixa de diálogo Select Group Policy

Object clique em Finish.



39

6. Clique em OK na caixa de diálogo Add or Remove Snap-ins para encerrá-la.

7. Clique em Local Computer Policy do lado esquerdo do painel, e então clique em Computer

configuration—>Administrative Templates—>Windows Components—> Smart Card. E então duplo clique em

Allow Integrated Unblock screen to be displayed at time of logon na lista de Setting, como mostra a figura:

Figura 45 - Configuração de desbloqueio

8. Selecione o botão Enabled e clique em OK, como mostra a imagem:



40

Figura 46 - Habilitando a funcionalidade de desbloqueio

Nesse ponto, a tela de desbloqueio de cartão inteligentes exibirá uma frase pré configurada. Essa frase pode ser

utilizada para fornecer um número de telefone para que os usuários possam ligar e obter uma Resposta para o

Desafio do administrador. Você poderá configurar essa frase seguindo os seguintes passos:

9. Retorne a caixa de diálogo Console 1, selecione Local Computer Policy —> Computer Configuration —>

Administrative Templates —> Windows Components —> Smart Card, duplo clique em Display string

when smart card is blocked do lado direito do painel.

10. Selecione a opção Enabled e digite a frase a ser exibida na tela de desbloqueio na caixa de texto

Display sting when smart card is blocked e pressione OK, como mostra a imagem:



41

Figura 47 - Frase de desbloqueio

4.2.2.3.2 Desbloqueio no Windows V ista, 2008 e Windows 7

Da mesma forma que acontece com a alteração de PIN, a funcionalidade de desbloqueio já está está integrada

com a área de trabalho segura do Windows V ista, 2008 e Windows 7. Entretanto, essa ferramenta precisa ser

habilitada na Política de Grupos do Windows com descrito no item 2.2.3.1. Quando essa opção é habilitada, a tela

de desbloqueio é automaticamente exibida ao usuário que tentar utilizar um cartão bloqueado.



42

Figura 48 - Área de trabalho protegida - Desbloqueio

4.2.2.4 Ferramenta de Administrador para Desbloqueio

O procedimento de desbloqueio requer que o administrador seja capaz de calcular o Desafio e a Resposta

fornecidos pelo cartão inteligente de qualquer usuário pelo qual ele é responsável. Isso significa que o

administrador deve:

1. Saber ou ter acesso aos valores das chaves de administrador de todos os cartões inteligentes em uso.

2. Ter acesso a ferramenta DES3 para calcular a Resposta baseada no Desafio e ter acesso a chave de

administração de determinado cartão inteligente.

Nenhum dos sistemas operacionais Windows fornece algum meio para que os administradores possam controlar

o armazenamento seguro das chaves administrativas dos usuários, como também não fornecem uma ferramenta

para calcular Respostas para os Desafios.

Essas funcionalidades normalmente são fornecidas por qualquer fornecedora de CMS privada, incluindo o IML

(Identity Lifecycle Manager) da Microsoft.



43

Anexo: Termos e abreviações

Entrada

Descrição

ePass2003 Token baseado na tecnologia de cartões inteligentes

compatível com as normas FIPS, desenvolvido pela

Feitian Technologies para operar na Infraestrutura de

Chaves Públicas.

Interface CryptoAPI

(CAPI)

Interface utilizada na criptografia de operações,

fornecida pela Microsoft. Através dessa interface, é

possível desenvolver aplicações PKI para

encriptação/decriptação de dados, autenticação e

assinatura na plataforma Windows.

Interface Smart Card

Minidriver

Interface utilizada na criptografia de operações,

fornecida pela Microsoft. Ela provê encapsulação de

algoritmos criptográficos para cartões inteligentes

baseados na Microsoft Base Smart Card Crypto

Provider e Microsoft Smart Card Key Storage Provider.

Interface PKCS#11 Interface de programação introduzida pela RSA. Ela

abstrai o dispositivo criptográfico em um token de

visão lógica universal, para ser usado em em

aplicativos alto nível, fornecendo independência de

dispositivos e compartilhamento de recursos.

Documents

Guia do Usuário ePass2003 - pronovacertificadora.com.br · defeitos de fabricação, assim como a assegura a qualidade dos materiais utilizados por um período de 12 ... PC/SC ,