Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

5.1.3.2         Softwarová instalace externích úložišť

Pokud si jako uživatel pořídíte nějakou čipovou kartu, USB token či jiné obdobné zařízení, operační systém vašeho počítače nejspíše ještě nebude obsahovat potřebného poskytovatele certifikačních služeb (modul CSP), a vy mu ho musíte nejprve dodat. Je tedy na vás postarat se o instalaci potřebného softwaru.

Potřebný software by vám měl dodat výrobce vašeho zařízení. A je také na něm, jak snadná či naopak komplikovaná bude jeho instalace, a jak velké nároky na součinnosti bude vyžadovat od vás jako uživatele. V ideálním případě jen vložíte dodané CD a instalační program se již sám postará o vše potřebné.

Pro správné pochopení celého procesu instalace externích úložišť si ještě řekněme, že kromě softwarového „poskytovatele kryptografických služeb“ (modulu CSP) je obvykle třeba instalovat ještě ovladač samotného nosiče (jako hardwarového zařízení) či potřebného snímače.

Nejlépe je to vidět na příkladu s čipovou kartou: nejprve musíte nainstalovat čtečku čipových karet. Ta se dnes připojuje nejčastěji k USB rozhraní (dříve spíše k sériovému portu), a vyžaduje instalaci příslušného softwarového ovladače. Ten se instaluje jeden (pro jednu čtečku), a díky tomuto ovladači pak počítač a jeho operační systém dokáží s danou čtečkou pracovat. Dokáží například rozpoznat, že do čtečky je či není vložena nějaká čipová karta, a pokud ano, dokáží s touto kartou komunikovat.

Každá čipová karta ale může „komunikovat“ jinak, ve smyslu rozsahu a způsobu poskytování svých vlastních funkcí. Takže „nad“ ovladačem čtečky čipových karet musí fungovat ještě další ovladač, který již bude rozumět konkrétní (právě vložené) čipové kartě i tomu, co tato karta nabízí a jak funguje. Tento ovladač pak kartou nabízené funkce zprostředkuje té aplikaci, která by je chtěla využívat.

Jinými slovy: tímto dalším ovladačem, fungujícím „nad“ čtečkou čipové karty, je příslušný modul CSP, alias poskytovatel kryptografických služeb, šitý na míru konkrétní kartě.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Reference nasazení SW Cryptoplus

Obrázek 5 - 8: Reference nasazení SW Cryptoplus

V ČR je jako modul CSP (poskytovatel kryptografických služeb) pro čipové karty nejčastěji používán software CryptoPlus, ovšem uzpůsobený pro různé čipové karty. V  rámci svého internetového bankovnictví jej používá například Česká spořitelna, Komerční banka či ČSOB, a původně jej pro své čipové karty používala i certifikační autorita I. CA.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Příklad nainstalovaného ovladače čtečky čipových karet a CSP modulu Cryptoplus ve verzi pro I.CA

Obrázek 5 - 9: Příklad nainstalovaného ovladače čtečky čipových karet a CSP modulu Cryptoplus ve verzi pro I.CA

Nutnost instalovat jak ovladač zařízení, tak i další software plnící roli modulu CSP, platí i pro zařízení charakteru USB tokenů, které ale žádnou čtečku nepotřebují (nýbrž se vkládají přímo do USB portu počítače). Viz následující obrázek.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Příklad instalace ovladače a CSP modulu pro token iKey4000

Obrázek 5 - 10: Příklad instalace ovladače a CSP modulu pro token iKey4000

Takovýchto poskytovatelů kryptografických služeb (modulů CSP), které zprostředkovávají služby různých úložišť certifikátů, bývá i na jednom počítači více.  Je to patrné i z následujícího obrázku, který ukazuje možnost výběru modulu CSP při generování žádosti o nový certifikát (viz dále) a fakticky se ptá, do kterého (fyzického) úložiště má být nový certifikát (a jemu odpovídající soukromý klíč) umístěn. Na obrázku je několik modulů CSP pro systémové „softwarové“ úložiště, několik pro čipové karty, a jeden CSP modul (ten vybraný) pro USB token iKey 4000.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Příklad výčtu CSP modulů

Obrázek 5 - 11: Příklad výčtu CSP modulů

Zdůrazněme si, že k jednomu a témuž fyzickému úložišti může být k dispozici více různých modulů CSP. Týká se to hlavně interních úložišť, realizovaných softwarově (nejčastěji těch systémových, zřizovaných přímo operačním systémem), protože pouze jejich moduly CSP skutečně provádí konkrétní určité kryptografické operace.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Představa více modulů CSP nad jedním interním úložištěm

Obrázek 5 - 12: Představa více modulů CSP nad jedním interním úložištěm

Moduly CSP se liší hlavně ve své „síle“: v tom, s jak velkými klíči a s jak silnými kryptografickými algoritmy, včetně hašovacích funkcí, mohou pracovat. A v závislosti na tom pak na ně mohou být, nebo naopak nemusí být aplikována případná exportní omezení. To je i důvod existence více standardních CSP (Cryptographic Service Provider) modulů v dřívějších verzích operačního systému MS Windows:

·         Microsoft Base Cryptographic Service Provider nepodléhá exportním omezením ze strany USA, protože je schopen pracovat jen s krátkými klíči a slabými kryptografickými algoritmy

·         Microsoft Enhanced Cryptographic Service Provider již může podléhat exportním omezením (ze strany USA), protože dokáže pracovat s delšími klíči a silnějšími algoritmy.

Ani jeden z těchto dvou „standardních“ modulů však nedokáže pracovat s hašovacími funkcemi SHA-2[3], které jsou dnes již (u kvalifikovaných certifikátů) povinné. Tuto schopnost má až následující CSP modul od Microsoftu:

·         Microsoft Enhanced RSA and AES Cryptographic Provider[4]

Pokud jde o CSP moduly, instalované spolu s konkrétními čipovými kartami či USB tokeny (obecně s externími úložišti), zde je podpora SHA-2 individuální a záleží na každé jednotlivé kartě či tokenu. Totéž platí i pro CSP modul

·         Microsoft Base Smart Card Crypto Provider

který může zprostředkovávat kryptografické funkce (některých) čipových karet.


[3] Problematikou hašovací funkce SHA-2 v produktem Microsoftu se podrobněji zabývá kapitola 7.

[4] Modul CSP stejného jména (ale  s příponou „(Prototype)“) se vyskytuje již v operačním systému MS Windows XP s SP3



© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61