Keycert

УТВЕРЖДЁН

СИСТЕМА УЧЕТА ПОТРЕБЛЕНИЯ РЕСУРСОВ И БЕЗНАЛИЧНЫХ РАСЧЕТОВ С ИСПОЛЬЗОВАНИЕМ SMART-CARD

Программное обеспечение для поддержки Smart-карт

Программа для сертификации открытого ключа эмитента

Руководство оператора

Листов 16

2000

DSSSCT File : keycert.doc Ref : KEYCERTUG0000 Revision:2.0 2 / 16 Copyright © Dekart S.R.L (www.dekart.com) - 2000

This document shall not be disclosed to a third party without prior written consent of Dekart S.R.L. Никакая часть данного документа не может быть воспроизведена в какой бы то ни было форме и какими бы, то ни было

средствами без письменного разрешения владельца авторских прав.Ссылка на оригинал обязательна.

Аннотация Данный документ содержит описание порядка работы с утилитой KeyCert, обеспечивающей сертификацию открытых ключей эмитентов. Приводится необходимая справочная информация, сведения о возможных ошибках,возникающих при неправильной работе пользователя с утилитой и порядке их устранения.




Оглавление

1. ТЕРМИНОЛОГИЯ И УСЛОВНЫЕ ОБОЗНАЧЕНИЯ (ГЛОССАРИЙ)............................4

1.1 СИСТЕМА ..................................................................................................................................4 1.2 СТАНДАРТЫ ШИФРОВАНИЯ ......................................................................................................4 1.3 КАРТЫ СИСТЕМЫ И ИНФОРМАЦИЯ НА КАРТАХ ........................................................................4 1.4 КЛЮЧИ СИСТЕМЫ.....................................................................................................................5

2. НАЗНАЧЕНИЕ..............................................................................................................................6

3. ОБЩИЕ СВЕДЕНИЯ...................................................................................................................6

4. ВЫПОЛНЕНИЕ ПРОГРАММЫ ...............................................................................................7

4.1 УСТАНОВКА ПРОГРАММЫ ........................................................................................................7 4.2 ЗАПУСК ПРОГРАММЫ ...............................................................................................................7 4.3 НАСТРОЙКА ОБОРУДОВАНИЯ (КОНФИГУРАЦИИ РАБОЧЕГО МЕСТА ЦСК) ...............................8 4.4 СЕРТИФИКАЦИЯ ОТКРЫТЫХ КЛЮЧЕЙ ЭМИТЕНТОВ..................................................................8 4.5 ВЫХОД ИЗ ПРОГРАММЫ............................................................................................................9

5. ВХОДНЫЕ ДАННЫЕ..................................................................................................................9

6. ВЫХОДНЫЕ ДАННЫЕ..............................................................................................................9

7. СООБЩЕНИЯ ОБ ОШИБКАХ...............................................................................................10

7.1 CAN’T FIND SMART CARD READER.........................................................................................10 7.2 KEY IS NOT FOUND ..................................................................................................................10 7.3 PIN CODE MUST CONTAIN ONLY DECIMAL DIGITS ...................................................................10 7.4 PIN CODE MUST HAVE FROM 4 TO 8 DIGITS .............................................................................11 7.5 ATTENTION! PIN CODE IS WRONG!......................................................................................11 7.6 CARD IS BLOCKED!............................................................................................................12 7.7 SMART CARD WAS NOT FOUND................................................................................................13 7.8 IDENTIFIER OF ISSUER MUST CONTAIN 8 DIGITS.......................................................................13 7.9 IDENTIFIER OF CERTIFICATE AUTHORITY MUST CONTAIN 8 DIGITS .........................................13 7.10 BAD END DATE .......................................................................................................................14 7.11 CORRECT END DATE MUST BE ENTERED .................................................................................14 7.12 END DATE MUST BE GREATER THAN CURRENT DATE ...............................................................14 7.13 CERTIFICATE REQUEST IS NOT FOUND .....................................................................................15 7.14 IDENTIFIER IN CERTIFICATE REQUEST IS NOT COMPARE WITH FILE NAME ................................15 7.15 ISSUER KEY LENGTH IS NOT MULTIPLE BY 8.............................................................................15 7.16 SECRET KEY FILE DON’T FOUND ..............................................................................................15 7.17 ERROR READING KEY FILE .......................................................................................................16

8. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ......................................................................................16




1. Терминология и условные обозначения (Глоссарий)

1.1 Система СУПР – Система учета потребления ресурсов и безналичных расчетов сиспользованием smart-карт (название системы). Payflex - Интеллектуальная (smart) карта фирмы Schlumberger, которая положена в основу систем безналичных расчетов, разрабатываемых компанией Dekart S.R.L. SCR-60, Reflex 60, Reflex 72 (Schlumberger), TOWITOKO ChipDrive - считыватели smart-карт, использующиеся в отдельных технологических звеньях СУПР. Работают только совместно с компьютером, и управляются программным обеспечением, работающем на компьютере.Эмитент - организация, выполняющая персонализацию карт держателей,ведущая базы карт-счетов держателей и обрабатывающая платёжные транзакции.ПЦ - процессинговый центр. Подразделение (участник) системы, в задачи которого входит обслуживание терминального поля, сбор транзакций от терминалов, их сортировку и рассылку эмитентам.ЦС – центр системы. Организация, занимающаяся предварительной персонализацией карт держателей и их передачей эмитентам (участникам системы). ЦСК - центр сертификации ключей (Certificate authority). Организация,обеспечивающая сертификацию ключей участников системы.Примечание. В СУПР функции центра системы и центра сертификации ключей выполняет одна организация.Держатель карты - физическое лицо, использующее карту в качестве платёжного инструмента при оплате товара или услуги.Платежная единица – условная товаро-денежная единица (рубли, леи,доллары, литры, кВт·ч. и т.д.), используемая в СУПР в качестве средства платежа.

1.2 Стандарты шифрования DES (Data Encryption Standard) - Стандарт шифрования данных. Симметричная система шифрования с длиной ключа и шифруемого блока данных 64 бита.Эффективная длина ключа на самом деле равна 56 (один бит каждого байта используется в качестве контрольного). RSA - система шифрования на основе открытых ключей. Применяется в системе для статической аутентификации карт держателей.SHS (Secure Hash Standard) - Стандарт на хеш-функцию. Стандарт определяет алгоритм Secure Hash Algorithm (SHA-1), который может использоваться для создания "сжатого" представления некоторой последовательности. Такое представление носит название дайджеста последовательности.

1.3 Карты системы и информация на картах SAM (Secure Application Module) – специальная карта, которая обеспечивает безопасность при операциях дебетования и кредитования.




Карта доступа (или карта персональных ключей) – специальная карта, которая предназначена для защищенного хранения ключа (ключей) доступа ответственных лиц системы. Карта доступа принадлежит конкретному ответственному лицу системы и защищена его персональным идентификационным номером (PIN-кодом). Серийный номер карты - неизменяемая, уникальная для каждой карты двоичная последовательность длиной 8 байт, записываемая на карту заводом изготовителем.BIN (Bank Identification Number) – идентификационный номер эмитента (8 цифр), составленный в соответствии со стандартом ISO. PIN (Personal Identification Number) – персональный идентификационный номер пользователя (от 4 до 8 десятичных цифр). Владелец карты обязан держать свой PIN - код в секрете.PAN (Primary Account Number) – номер карты (19 цифр), первые 8 цифр которого соответствуют BIN. ID (Identifier) – идентификатор (8 цифр), определяющий имена файлов, вкоторых записываются RSA ключи процессингового центра и эмитента, запрос на сертификацию и сертификат, а также PAN-коды эмитента. Совпадает с BIN.

1.4 Ключи системы Ключи доступа – внутренние ключи, которые хранятся на карте доступа иприменяются для «открытия» различных технологических приложений системы, причем в большинстве случаев они служат для активизации других (секретных) ключей системы.Диверсификация ключа - "распыление" ключа. Используется для индивидуализации внутренних ключей карт держателей.Мастер ключ - секретный ключ симметричной системы шифрования,используемый в системе для диверсификации ключей карт держателей.Модуль - открытая часть ключа системы шифрования RSA. Экспонента - открытая часть ключа RSA. Может быть равной 3 либо четвёртому числу Ферма (Fermat 4 = 2^2^4+1 = 65537). В СУПР экспонента равна 3. Сертификат - двоичная последовательность, получаемая специальными криптографическими методами и служащая для проверки достоверности некоторой последовательности данных.Случайная последовательность - последовательность двоичных данных,которая создаётся специальными механизмами в картах и терминалах для модификации сообщений с целью индивидуализации протокола обмена отодного сеанса к другому




2. Назначение

Программа сертификации ключей эмитента KeyCert предназначена для выполнения ЦСК процедуры сертификации открытых ключей эмитентов.Процедура сертификации открытых ключей заключается в подписании (ввыполнении цифровой подписи) открытого ключа и других данных эмитента. Вэти данные (кроме открытого ключа) должны входить: идентификатор эмитента, дата окончания действия сертификата, уникальный серийный номер сертификата. Результатом работы программы KeyCert является файл – сертификат открытого ключа эмитента, который должен быть передан эмитенту.

3. Общие сведения

Программа представляет собой стандартное Windows приложение (EXE-модуль) с GUI-интерфейсом. KeyCert может эксплуатироваться самостоятельно,а также, в исключительных случаях, встраиваться в другие приложения.

Необходимое оборудование:• Компьютер IBM PC (486 и выше), имеющий свободный последовательный порт • Считыватель smart-карт одного из следующих типов: SCR-60, Reflex 60, Reflex 72 (Schlumberger), TOWITOKO ChipDrive • Карта доступа ЦСК

Необходимое программное обеспечение:• Операционная система MS Windows • Утилита KeyCert • Файл запрос на сертификацию открытого ключа эмитента ISS_ID.REQ • Файл, содержащий секретные ключи ЦСК (ЦСК_ID.SEC) Примечание. При первом запуске программы по умолчанию используются последовательный порт COM2 и считыватель SCR-60.

Данная программа в системе СУПР используется всякий раз, когда появляется новый эмитент карт, но, по крайней мере, один раз при «начальной инициализации» СУПР для одного (первого) эмитента.




4. Выполнение программы

4.1 Установка программы При выключенном компьютере необходимо подключить считыватель

smart-карт к свободному последовательному порту.Установка программы KeyCert осуществляется простым ее копированием

на жесткий диск компьютера. Желательно предварительно создать на диске специальный каталог для программного обеспечения СУПР.

Если используется считыватель SCR-60, который подключен кпоследовательному порту COM2 (параметры, принятые по умолчанию), то можно переходить к запуску программы (см. п.4.2). В противном случае следует произвести настройку конфигурации рабочего места ЦСК согласно п.4.3:• Включить компьютер и запустить утилиту KeyCert (см. п.4.2); • Программа выдаст сообщение: “Can’t find Smart Card Reader”. Необходимо нажать кнопку “OK” и в открывшемся окне программы в полях “COM Port” и“Reader Type” указать реально используемые имя коммуникационного порта итип считывателя.

• Нажать клавишу “Quit”, после чего снова запустить программу.

4.2 Запуск программы Запуск программы KeyCert осуществляется двойным нажатием левой

клавиши мыши. При этом автоматически производится подключение соответствующего считывателя карт к соответствующему коммуникационному порту (при первом запуске программы используются значения, принятые по умолчанию) и появляется основное окно программы.




Для дальнейшей работы с программой необходимо вставить в считыватель карту доступа ЦСК.

4.3 Настройка оборудования (конфигурации рабочего места ЦСК)Если требуется изменить конфигурацию рабочего места ЦСК, то

необходимо выполнить следующее:• При выключенном компьютере подключить считыватель smart-карт ксвободному последовательному порту;• Включить компьютер и запустить утилиту KeyCert (см. п.4.2); • Если установки программы KeyCert не соответствуют реальной конфигурации рабочего места участника системы, то программа выдаст сообщение: “Can’t find Smart Card Reader”. Необходимо нажать кнопку “OK” и воткрывшемся окне программы в полях “COM Port” и “Reader Type” указать реально используемые имя коммуникационного порта и тип считывателя. Затем нажать клавишу “Quit”, после чего снова запустить программу.

4.4 Сертификация открытых ключей эмитентов Для сертификации открытого ключа эмитента необходимо:

• Запустить программу KeyCert; • Вставить карту доступа ЦСК в считыватель;• Ввести цифровой идентификатор ЦСК (ЦСК_ID), состоящий из 8 десятичных цифр;• Ввести цифровой идентификатор эмитента (ISS_ID), состоящий из 8 десятичных цифр;• Указать дату окончания действия сертификата;• Ввести PIN-код (от 4 до 8 десятичных цифр), после чего нажать клавишу “Certificate”.




По окончании процесса сертификации в текущем каталоге появится файл ISS_ID.CRT (см. п.6), а программа выдаст сообщение:

4.5 Выход из программы Выход из программы осуществляется путем нажатия клавиши “Quit” или

кнопки закрытия окна.

5. Входные данные

Входными данными для утилиты KeyCert являются:1) ЦСК_ID - цифровой идентификатор ЦСК (8 десятичных цифр); 2) ISS_ID - цифровой идентификатор эмитента карт (8 десятичных цифр); 3) PIN-код карты доступа оператора, который осуществляет сертификацию ключей (от 4 до 8 десятичных цифр);

4) Дата окончания действия сертификата;5) Тип считывателя smart-карт (SCR-60, Reflex 60, Reflex 72, TOWITOKO

ChipDrive); 6) Имя коммуникационного (последовательного) порта (COM1, COM2, COM3,

COM4).Значения, принятые по умолчанию: тип считывателя smart-карт - SCR-60, имя порта - COM2.

6. Выходные данные

Выходными данными (результатом работы) программы являются сертификат открытого ключа эмитента (файл ISS_ID.CRT), подписанный




цифровой подписью на основе секретного ключа ЦСК. Файл ISS_ID.CRT передается эмитенту.

7. Сообщения об ошибках

7.1 Can’t find Smart Card Reader

Появление данной ошибки говорит о том, что был указан неверный коммуникационный порт или неверный тип считывателя smart-карт. В этом случае необходимо нажать кнопку OK, затем отметить верные значения всоответствующих списках (“COM Port”, “Reader Type”), нажать клавишу “Quit”, после чего снова запустить программу.Кроме того, подобное сообщение может появиться также в случае одновременного многократного вызова программы KeyCert или иных утилит СУПР.

7.2 Key is not found

Появление данной ошибки говорит о том, что вместо карты доступа ЦСК была вставлена какая-либо иная карта. В данном случае необходимо вставить всчитыватель карту доступа и продолжить работу.

7.3 PIN code must contain only decimal digits




Появление данной ошибки говорит о том, что при вводе PIN-кода были использованы не только десятичные цифры, но и другие символы. В данном случае необходимо ввести правильное значение PIN-кода, после чего продолжить работу.

7.4 PIN code must have from 4 to 8 digits

Появление данной ошибки говорит о том, что длина введенного PIN-кода была либо меньше 4, либо больше 8 цифр. В данном случае необходимо ввести правильное значение PIN-кода, после чего продолжить работу.

7.5 ATTENTION! PIN code is wrong!

Появление данной ошибки говорит о том, что был введен неверный PIN-код.Программа уменьшит число попыток предъявления PIN-кода на единицу.




В данном случае следует ввести верное значение PIN-кода. Необходимо отметить, что при следующей попытке предъявить PIN-код, программа проинформирует о том, сколько попыток предъявления PIN-кода осталось.

Если на следующем шаге будет введено верное значение PIN-кода, число попыток предъявления PIN-кода снова станет равным 3. Иначе оно снова уменьшится на единицу. Перед третьей попыткой предъявить PIN-код появится сообщение:

7.6 CARD IS BLOCKED! Троекратный неправильный ввод PIN-кода приводит к блокированию карты доступа:

Порядок деблокирования карты доступа описан в документе «Программа обслуживания карт доступа. Руководство оператора».




7.7 Smart Card was not found.

Появление данной ошибки говорит о том, что была попытка выполнить операцию при отсутствии в считывателе карты доступа, либо, если в настройках программы были указаны считыватели Reflex 72, TOWITOKO ChipDrive при реально используемых иных типах считывателей. В данном случае необходимо вставить в считыватель карту доступа либо изменить настройки программы всоответствии с реальной конфигурацией рабочего места, после чего продолжить работу.

7.8 Identifier of Issuer must contain 8 digits

Появление данной ошибки говорит о том, что была допущена ошибка при вводе цифрового идентификатора эмитента: либо данный параметр не был введен вовсе, либо его длина меньше 8 цифр. В данном случае необходимо ввести правильное значение требуемого параметра, после чего продолжить работу.

7.9 Identifier of Certificate Authority must contain 8 digits

Появление данной ошибки говорит о том, что была допущена ошибка при вводе цифрового идентификатора ЦСК: либо данный параметр не был введен вовсе,либо его длина меньше 8 цифр. В данном случае необходимо ввести правильное значение требуемого параметра, после чего продолжить работу.




7.10 Bad End Date

Появление данной ошибки говорит о том, что была введена несуществующая дата окончания действия сертификата. В данном случае необходимо ввести правильное значение требуемого параметра, после чего продолжить работу.

7.11 Correct End Date must be entered

Появление данной ошибки говорит о том, что при вводе даты окончания действия сертификата были заполнены не все поля. В данном случае необходимо ввести правильное значение требуемого параметра, после чего продолжить работу.

7.12 End date must be greater than current date

Появление данной ошибки говорит о том, что при вводе даты окончания действия сертификата было указано уже прошедшее число. В данном случае необходимо ввести правильное значение требуемого параметра, после чего продолжить работу.




7.13 Certificate request is not found

Появление данной ошибки говорит о том, что программа не может найти файл сзапросом на сертификацию. В данном случае необходимо либо ввести правильное имя файла, либо скопировать в текущий каталог искомый файл,после чего продолжить работу.

7.14 Identifier in certificate request is not compare with file name

Появление данной ошибки говорит о том, что название эмитента, указанное взапросе на сертификацию не совпадает с именем файла – запроса на сертификацию. В данном случае необходимо выяснить причины модификации файла – запроса на сертификацию.

7.15 Issuer key length is not multiple by 8

Появление данной ошибки говорит о том, что в файле – запросе на сертификацию указана неверная длина ключа. В данном случае необходимо выяснить причины модификации файла – запроса на сертификацию.

7.16 Secret key file don’t found




Появление данной ошибки говорит о том, что программа не может найти файл ссекретными ключами ЦСК. В данном случае необходимо либо ввести правильное имя файла, либо скопировать в текущий каталог искомый файл,после чего продолжить работу.

7.17 Error reading key file

Появление данной ошибки говорит о том, что запорчен файл с секретными ключами ЦСК. В данном случае необходимо воспользоваться резервной копией файла с секретными ключами ЦСК, т.е. скопировать ее в текущий каталог.

8. Обеспечение безопасности Владелец карты обязан держать свой PIN-код в секрете!Троекратный неправильный ввод PIN-кода приводит к блокированию карты

доступа!

Keycert

Documents

Transcript of Keycert