1. Introducció

Aquest manual serveix de guia per dur a terme amb èxit el procés d'instal·lació del Kit Bit4id per a l'ús de targetes les criptogràfiques i el procediment per a accedir i usar l'aplicació de gestió. El Kit Bit4id consta dels següents components:

  • Bit4id Middleware: llibreries que permeten a qualsevol aplicació del Sistema Operatiu operar amb les targetes criptogràfiques.
  • PKIManager-aoc: aplicació per a la gestió de la targeta, que permet realitzar operacions com a canvi de PIN o PUK, desbloqueig de PIN, obtenir informació sobre la targeta, importar o exportar certificats…

Aquest manual et guiarà d'una manera senzilla en el procés d'instal·lació i ús del Kit Bit4id.

1.1. A qui va dirigit aquest document?

Usuaris finals, que utilitzaran targetes amb xip en entorns MacOS.

2. Abans de començar

Assegura't de disposar de:

  • Un lector de targetes estàndard, compatible PC/SC que es trobi correctament connectat, instal·lat i configurat. Segueix les instruccions subministrades pel fabricant del lector per verificar la seva correcta instal·lació i funcionament.
  • La darrera versió del Kit Bit4id. Enllaç per a descarregar l'última versió 
  • Per poder realitzar la instal·lació, és indispensable disposar de permisos d'Administrador. En cas de no disposar-ne, la instal·lació serà denegada.

3. Instal·lació

En cas que sigui necessari, hauràs de descarregar i instal·lar els drivers perquè el teu equip reconegui el lector que has adquirit. Per fer-ho, adreça't a la pàgina oficial del fabricant del lector.

Segueix les instruccions subministrades pel fabricant del lector per verificar la seva correcta instal·lació i funcionament.

En cas d'adquirir un lector de bit4id, si la teva versió de Mac OS té instal·lats per defecte els drivers PCSC, no serà necessari descarregar cap driver. En cas contrari, has de descarregar i instal·lar els drivers del lector:

- Processadors amb chip Intel: https://cdn.bit4id.com/es/AOC/drivers/Bit4id_drivers_MacOS.zip.

- Processadors amb chip Apple: https://cdn.bit4id.com/es/AOC/drivers/Bit4id_drivers_MacOS.zip.

3.1. Assistent d'Instal·lació del PKI Manager

  1. Adreça't a la carpeta on has descarregat l'arxiu i executa'l.
  2. Segueix els passos de l'instal·lador.

Instal·lador de l'aplicació

Acceptar termes

Acceptar termes

Processo instal·lació

Aplicació instal·lada

  1. Una vegada finalitzada la instal·lació del PKI Manager, reinicia l'equip.
  2. Finalitzat el reinici, obre l'aplicació.

    App Bit4id en Escritorio

    Així es mostra sense cap dispositiu connectat:

    Imatge sense cap dispusitiu conectat

  3. Amb l'aplicació oberta, connecta el lector en un port USB i seguidament, insereix la targeta. També pots fer aquest procés, connectant el token en un port USB.

PKI Manager amb targeta connectada

4. Problemes durant la instal·lació

És possible que tinguis versions anteriors de l'aplicació de Gestió de la targeta (Bit4id PKI Manager) instal·lades en el teu equip, per la qual cosa se't sol·licitarà que eliminis versions anteriors abans d'executar l'instal·lador. Elimina aquestes versions i executa de nou l'instal·lador.

Com desinstal·lar una versió anterior de PKI Manager?

  1. Obre el Finder
  2. Ves a la pestanya Aplicacions
  3. Selecciona l'aplicació a desinstal·lar amb un clic
  4. Dirigeix-te a Arxiu en la zona superior de la pantalla
  5. Clica: Traslladar a la paperera

5. Configuració a Firefox

ATENCIÓ: si estàs utilitzant una versió de Mac OS Big Sur o posterior pots saltar-te aquest pas, pel fet que en les noves versions les llibreries libbit4xpki.dylib ja ve incorporada en el sistema. En cas que no reconegui els certificats continua.

Per poder utilitzar els certificats que contingui la targeta intel·ligent en el navegador Mozilla Firefox, és necessari incorporar unes llibreries del Middleware Universal de Bit4id de manera manual.

La incorporació automatitzada de dispositius de seguretat en Firefox es va deshabilitar des de la versió 3.5 com a mesura de seguretat.

  1. Obre Mozilla Firefox, ves a → Preferències()

Opcions Firefox

  1. A l'apartat de Privacitat i Seguretat, busca l'apartat dels certificats i clica a Dispositius de Seguretat

Privacitat Firefox

  1. S'obrirà l'Administrador de dispositius. Clica a Carregar

Carregar mòdul criptogràfic en Firefox

  1. Quan s'obri aquesta finestra, has de buscar el controlador del dispositiu PKCS#11. Clica  Examinar… per a buscar-ho al teu equip.

Ventana módulo PKCS#11

En l'anterior finestra, s'ha d'introduir les següents dades:

  • Nom del mòdul : Bit4id Universal Middleware
  • Arxiu del mòdul :/Applications/PKIManager-bit4id.app/Contents/Resources/etc/libbit4xpki.dylib

Finestra mòdul PKCS#11

A continuació, clica Acceptar. El mòdul s'incorporarà satisfactòriament, i la instal·lació a Firefox haurà conclòs.

Mòdul OK

6. Configuració a Adobe Reader

ATENCIÓ: si estàs utilitzant una versió de Mac OS Big Sur o posterior pot saltar-se aquest pas, pel fet que en les noves versions les llibreria libbit4xpki.dylib ja ve incorporada en el sistema. En cas que no reconegui els certificats, continua.

Per poder signar amb els certificats que contingui la targeta intel·ligent en Adobe Reader, és necessari incorporar unes llibreries del Middleware Universal de Bit4id de manera manual.

  1. Obre un document PDF amb Adobe Reader. Seguidament ves a Eines → Certificats

Eines - Certificats

  1. Selecciona l'opció de Signar digitalment

Signar digitalment

  1. S'obrirà una finestra emergent. Clica "Configurar ID digital"

Config ID

  1. Selecciona la primera opció (“Utilitzar un dispositiu de creació de signatures”) i clica Continuar

ID Digital

  1. Clica "Administrar ID digital"

Admin ID Digital

  1. S'obrirà una finestra emergent. En el menú lateral esquerre, assegura't que està seleccionat "Modulos y distintivos PKCS#11". Clica "Adjuntar módul"

Adjuntar mòdul

  1. S'obrirà una altra finestra emergent. Et sol·licita introduir la ruta de la llibreria PKCS11.
  • Ruta de la biblioteca:/Applications/PKIManager-bit4id.app/Contents/Resources/etc/libbit4xpki.dylib

pkcs11 lib

  1. Comprova que s'ha creat el mòdul bit4id PKCS#11. Seguidament reinicia Adobe Reader.

Module OK

  1. Obre Adobe i realitza de nou els passos 1 i 2. Et mostrarà els certificats disponibles del dispositiu criptogràfic que tinguis connectat.
    Llista certificats
  2. Selecciona el certificat desitjat i clica Continuar
  3. Introdueix el PIN i clica Firmar

Llista certificats

 

7. Funcionalitats

L'aplicació Bit4id PKI Manager disposa de múltiples funcionalitats disponibles des de la pantalla principal.

IMPORTANT: Bit4id PKI Manager ve per defecte amb la versió d'usuari. Per a poder disposar de totes les seves funcionalitats, s'ha de passar a la versió d'administrador mitjançant el comando: Command+A

Finestra principal PKI Manager

 

7.1. Taules de funcionalitats

Funcionalitats bàsiques:

Captura de les funcionalitats bàsiques

Taula de funcionalitats bàsiques

Funció Descripció
Desbloca el PIN Funció per a desbloquejar el PIN de la targeta.
Canviar el PIN Funció per a canviar el PIN de la targeta.
Canviar el PUK Funció per a canviar el PUK de la targeta.
Inici de sessió/Tancar sessió Funció per a entrar/tancar sessió en la targeta.
Informació del dispositiu Pestanya on trobarem la descripció del dispositiu connectat i la targeta.
Certificats Pestanya on trobarem els certificats de l'usuari i de la CA carregats en la targeta.

Per poder accedir a les funcionalitats extres has de clicar:

Click

Funcionalitats extres:

Captura de les funcionalitats extres

Taula de funcionalitats extres

Funció Descripció
Inici de sessió/Tancar sessió Iniciar/Tancar sessió del contingut de la targeta.
Refrescar Actualitza el contingut del token/targeta per a veure nous certificats.
Canviar el nom del dispositiu Definir el nom amb el qual apareix el dispositiu.
Canviar el PIN Funció per a canviar el PIN de la targeta.
Desbloca el PIN Funció per a desbloquejar el PIN de la targeta mitjançant el PUK d'aquesta.
Canviar el PUK Funció per a canviar el PUK de la targeta.
Importar certificat Funció per a importar un certificat al teu targeta.
Esborrar el dispositiu Funció esborrar TOTS els certificats i claus del token de la targeta.
  • Inici de sessió

Per a accedir a qualsevol funcionalitat que ofereix el programari, cal introduir el PIN de la targeta

Iniciar sessión

  • Canviar el PIN

Per a canviar el PIN, introdueix el PIN de la targeta i el nou PIN. El nou PIN ha de tenir entre 4 i 8 dígits alfanumèrics.

Canviar PIN

  • Desbloca el PIN

Per a desbloquejar el PIN, introdueix el PUK de la targeta i el nou PIN. El nou PIN ha de tenir entre 4 i 8 dígits alfanumèrics.

Desbloquejar PIN

  • Canviar el PUK

Introdueix el PUK antic de la targeta i el nou PUK. El nou PUK ha de tenir entre 4 i 8 dígits alfanumèrics.

Canviar PUK

  • Importació

Aquesta opció permet la importació de certificats en la targeta. Els formats acceptats per a la importació de certificats en targeta .p12 o .pfx ja que aquests formats inclouen la clau privada del certificat, imprescindible per a realitzar operacions criptogràfiques.

Per a iniciar la importació, abans selecciona el certificat des de la seva ubicació, tal com es mostra en la següent imatge:

Seleccionar certificat

Una vegada seleccionat el certificat, prem “Obrir”:

El sistema et demanarà la contrasenya de l'arxiu PFX o P12 (certificat i clau privada del mateix) que vols importar, i que conté el teu certificat i parell de claus. Insereix-la i completa segons la teva conveniència les opcions d'importació, on:

Contrasenya del certificat

– Importar certificats sense igual de claus associat: permet importar tota la jerarquia de certificació inclosa en el fitxer PFX o P12. Es recomana NO MARCAR aquesta opció.

– Definir CKA_ANEU de PKCS#11: identificador que determinades aplicacions utilitzen a l'hora de mostrar el certificat. Es recomana introduir un valor identificatiu útil, per exemple pedro_signatura, pedro_accés, pedro_xifratge, etc.

I la importació del certificat s'haurà completat:

Importació OK

En el cas que vulguis comprovar que el certificat ha estat correctament guardat, recorda que pot revisar tots els certificats emmagatzemats en la targeta a través de l'opció “Veure” de Bit4id PKI Manager.

  • Detalls del certificat

Una vegada s'introdueix el PIN de la targeta, pots veure els certificats que s'hi troben inclosos. En la finestra emergent que mostra l'aplicació, pots veure informació

Info cenrtificat

  • Informació de la targeta

Ofereix informació detallada de la targeta: model, número de sèrie, fabricant i etiqueta.
És possible que suport (soporte@bit4id.com) et sol·liciti aquesta informació per a conèixer el tipus de targeta que estàs utilitzant.

Info targeta

8. Preguntes freqüents

Puc combinar números i lletres per al número PIN de la targeta?
Sí, no hi ha cap problema, sempre que el nou PIN tingui entre 4 i 8 dígits.

Existeix un màxim d'insercions de PIN en el cas que tingui algun dubte i no recordi el meu número PIN? Quan pot quedar bloquejada la targeta?
Si s'introdueix més de 3 vegades el codi PIN de manera errònia, aquest es bloqueja. Segueix els passos per desblocar el PIN indicats en el punt anterior.

Existeix un màxim d'insercions de PUK per a intentar desbloquejar el PIN? Què passa si la targeta queda bloquejada?
Si s'introdueix més de 3 vegades el codi PUK de manera errònia, aquest es bloqueja. Per raons de seguretat, la targeta es bloqueja completament. 

 

9.Glossari

Autoritat de Certificació: és l'entitat de confiança, responsable d'emetre i revocar els certificats electrònics, utilitzats en la signatura electrònica. L'Autoritat de Certificació, per si mateixa o mitjançant la intervenció d'una Autoritat de Registre, verifica la identitat del sol·licitant d'un certificat abans de la seva expedició o, en cas de certificats expedits amb la condició de revocats, elimina la revocació dels certificats en comprovar aquesta identitat.

Caducitat del certificat digital: el certificat digital té un període de vigència que consta en el mateix certificat. Generalment és de 2 anys, encara que per llei es permet una vigència de fins a 5 anys. Una vegada el certificat hagi caducat, no es podran utilitzar els serveis oferts per l'Administració que requereixin signatura electrònica, i qualsevol signatura electrònica que es faci a partir d'aquest moment no tindrà validesa.

Certificat digital: document en suport informàtic emès i signat per l'Autoritat de Certificació, que garanteix la identitat del seu propietari.

Certificat reconegut: certificat expedit per un Prestador de Serveis de Certificació que compleix els requisits establerts en la Llei quant a la comprovació de la identitat i altres circumstàncies dels sol·licitants i a la fiabilitat i les garanties dels serveis de certificació que prestin, de conformitat amb el que disposa el capítol II del Títol II de la Llei 59/2003, de 19 de desembre, de Signatura Electrònica.

Signatura electrònica: conjunt de dades, en forma electrònica, annexos a altres dades electròniques o associats funcionalment amb ells, utilitzats com a mitjà per a identificar formalment a l'autor o als autors del document que la recull. Existeixen 3 tipus de signatura electrònica: signatura electrònica simple, avançada i reconeguda.

Signatura electrònica simple: conjunt de dades, en forma electrònica, annexos a altres dades.

Signatura electrònica avançada: signatura electrònica que permet identificar al signant i detectar qualsevol canvi ulterior de les dades signades, que està vinculada al signant de manera única i a les dades a què es refereix i que ha estat creada per mitjans que el signant pot mantenir sota el seu exclusiu control.

Signatura electrònica reconeguda: es considera signatura electrònica reconeguda la signatura electrònica avançada basada en un certificat reconegut i generada mitjançant un dispositiu segur de creació de signatura. La signatura electrònica reconeguda tindrà respecte de les dades consignades en forma electrònica el mateix valor que la signatura manuscrita en relació amb els consignats en paper.

Funció hash: és una operació que es realitza sobre un conjunt de dades de qualsevol grandària, de manera que el resultat obtingut és un altre conjunt de dades de grandària fixa, independentment de la grandària original, i que té la propietat d'estar associat unívocament a les dades inicials, és a dir, és impossible trobar dos missatges diferents que generin el mateix resultat en aplicar la Funció hash.

Hash o Empremta digital: resultat de grandària fixa que s'obté després d'aplicar una funció hash a un missatge i que compleix la propietat d'estar associat unívocament a les dades inicials.

Integritat: la integritat és la qualitat que posseeix un document o arxiu que no ha estat alterat i que a més permet comprovar que no s'ha produït cap manipulació en el document original.

Llistes de Revocació de Certificats o Llistes de Certificats Revocats: llista on figuren exclusivament les relacions de certificats revocats o suspesos (no els caducats).

No repudio: l'emissor que ferm electrònicament un document no podrà negar que va enviar el missatge original, ja que aquest és imputable a l'emissor per mitjà de la clau privada que únicament coneix ell i que està obligat a custodiar. El no repudi permet, a més, comprovar qui va participar en una transacció.

El no repudi o irrenunciabilitat és un servei de seguretat estretament relacionat amb l'autenticació i que permet provar la participació de les parts en una comunicació. La diferència essencial amb l'autenticació és que la primera es produeix entre les parts que estableixen la comunicació i el servei de no repudi es produeix enfront d'un tercer

Prestador de Serveis de Certificació o PSC: persona física o jurídica que expedeix certificats electrònics o presta altres serveis en relació amb la signatura electrònica. Veure Autoritat de Certificació.

PIN: seqüència de caràcters que permeten l'accés als certificats. Número d'Identificació Personal, a vegades anomenat PIN.

PUK: seqüència de caràcters que permeten el canvi o desbloqueig del PIN. Clau Personal de Desbloqueig.

Renovació: la renovació consisteix a sol·licitar un nou certificat mitjançant un certificat vigent però que està a punt de caducar. D'aquesta manera, abans de la caducitat d'un certificat es pot sol·licitar la renovació i això implica que s'emeti un nou certificat vàlid.

Revocació: anul·lació definitiva d'un certificat digital a petició del subscriptor, o per pròpia iniciativa de l'Autoritat de Certificació en cas de dubte de la seguretat de les claus. La revocació és un estat irreversible. Es pot sol·licitar la revocació d'un certificat després d'una situació de suspensió o per voluntat de les persones autoritzades a sol·licitar-la. De la mateixa manera, en el cas d'un certificat suspès, si ha passat el període de suspensió màxim, si el certificat no ha estat habilitat, passa a estar definitivament revocat. Quan l'entitat de certificació revoca o suspèn un certificat, ha de fer-lo constar en les Llistes de Certificats Revocats (CRL), per a fer públic aquest fet. Aquestes llistes són públiques i han d'estar sempre disponibles.

Targeta intel·ligent (smartcard): qualsevol targeta amb circuits integrats que permeten l'execució d'una certa lògica programada.