1. Introducció
Aquest manual serveix de guia per a dur a terme amb èxit el procés d'instal·lació del Kit Bit4id per a l'ús de targetes les criptogràfiques i el procediment per a accedir i utilitzar l'aplicació de gestió. El Kit Bit4id consta dels següents components:
- Bit4id Middleware: llibreries que permeten a qualsevol aplicació del Sistema Operatiu operar amb les targetes criptogràfiques.
- Bit4id PKI Manager: aplicació per a la gestió de la targeta, que permet realitzar operacions com a canvi de PIN o PUK, desbloqueig de PIN, obtenir informació sobre la targeta, importar o exportar certificats…
Aquest manual et guiarà d'una manera senzilla en el procés d'instal·lació i ús del Kit Bit4id.
1.1 A qui va dirigit aquest document?
Usuaris finals, que utilitzaran targetes amb xip en entorns Linux.
2. Abans de començar
Assegura't de disposar de:
- Un lector de targetes estàndard, compatible PC/SC que es trobi correctament connectat, instal·lat i configurat. Segueix les instruccions subministrades pel fabricant del lector per a verificar la seva correcta instal·lació i funcionament.
- La última versió del Kit Bit4id. Enllaç per a descarregar l'última versió.
- Per a poder realitzar la instal·lació, és indispensable disposar de permisos d'Administrador .En cas de no disposar-ne, la instal·lació serà denegada.
- En cas d'utilitzar l'entorn d'escriptori GNOME, és indispensable activar wayland. A continuació trobaràs una guia de com fer-ho.
3. Instal·lació
En cas que sigui necessari, hauràs de descarregar i instal·lar els drivers perquè el teu equip reconegui el lector que has adquirit. Per fer-ho, adreça't a la pàgina oficial del fabricant del lector.
Segueix les instruccions subministrades pel fabricant del lector per a verificar la seva correcta instal·lació i funcionament.
En cas d'adquirir un lector de bit4id, si la teva versió de Linux té instal·lats per defecte els drivers PCSC, no serà necessari descarregar cap driver.
3.1. Assistent d'Instal·lació del PKI Manager
- Dirigeix-te a la carpeta on has descarregat l'arxiu comprimit DEB.zip
- Descomprimeix la carpeta. Dins de la carpeta t'apareixeran 2 instal·ladors.
- Si el teu sistema operatiu és Ubuntu/Debian hauràs d'executar: Bit4id_Middleware.deb
- Si el teu sistema operatiu és Fedora/Centos hauràs d'executar: Bit4id_Middleware.rpm
- Segueix els passos de l'instal·lador. En aquest cas ho farem amb un Ubuntu 22.04.1
-
Una vegada finalitzada la instal·lació del PKI Manager, reinicia l'equip.
-
Imatge sense cap dispositiu connectat:
Una vegada finalitzat el reinici, obre l'aplicació.
- Amb l'aplicació oberta, connecta el lector en un port USB i seguidament, insereix la targeta. També pots fer aquest procés connectant el token en un port USB.
4. Problemes durant la instal·lació
És possible que tinguis versions anteriors de l'aplicació de Gestió de la targeta (Bit4id PKI Manager) instal·lades en el teu equip, per la qual cosa se't sol·licitarà que eliminis versions anteriors abans d'executar l'instal·lador. Elimina aquestes versions i executa de nou l'instal·lador.
Com desinstal·lar una versió anterior de PKI Manager?
- Ves al Centre de Programari (Instal·lar Programari)
- Cerca i selecciona la pestanya d'Instal·lats
- Selecciona el que vulguis eliminar
- Prem desinstal·lar
- Si no, obre la consola de comandos (Control + Alt + T)
- Escriu Ubuntu/Debian(sudo apt-get --purge remove libbit4xpki), Fedora/Centos(sudo yum remove libbit4xpki)
- Introdueix la teva contrasenya i prem Enter
5. Configuració a Firefox
Per a poder utilitzar els certificats que contingui la targeta intel·ligent en el navegador Mozilla Firefox, és necessari incorporar unes llibreries del Middleware Universal de Bit4id de manera manual.
La incorporació automatitzada de dispositius de seguretat en Firefox es va deshabilitar des de la versió 3.5 com a mesura de seguretat.
- Obrim Mozilla Firefox, ens dirigim a Opcions → ( Preferències)
- A l'apartat de Privacitat i Seguretat, busca l'apartat dels certificats i clica a Dispositius de Seguretat
- S'obrirà l'Administrador de dispositius. Clica a Carregar
- Quan s'obri aquesta finestra, has de buscar el controlador del dispositiu PKCS#11. Clica a Examinar, per a buscar-ho al teu equip.
En l'anterior finestra, s'han d'introduir les següents dades:
- Nom del mòdul: Bit4id Universal Middleware
- Arxiu del mòdul: /usr/lib/bit4id/libbit4xpki.so
6. Funcionalitats
L'aplicació Bit4id PKI Manager disposa de múltiples funcionalitats disponibles des de la pantalla principal.
IMPORTANT: Bit4id PKI Manager ve per defecte amb la versió d'usuari. Per a poder disposar de totes les seves funcionalitats, s'ha de passar a la versió d'administrador mitjançant el comando: Ctrl+A
6.1. Taules de funcionalitats
Funcionalitats bàsiques:
Taula de funcionalitats bàsiques
Funció | Descripció |
---|---|
Desbloca el PIN | Funció per a desbloquejar el PIN de la targeta. |
Canviar el PIN | Funció per a canviar el PIN de la targeta. |
Canviar el PUK | Funció per a canviar el PUK de la targeta. |
Inici de sessió/Tancar sessió | Funció per a entrar/tancar sessió en la targeta. |
Informació del dispositiu | Pestanya on trobarem la descripció del dispositiu connectat i la targeta. |
Certificats | Pestanya on trobarem els certificats de l'usuari i de la CA carregats en la targeta. |
Per poder accedir a les funcionalitats extres has de clicar a:
Funcionalitats extres:
Taula de funcionalitats extres
Funció | Descripció |
---|---|
Inici de sessió/Tancar sessió | Iniciar/Tancar sessió del contingut de la targeta. |
Refrescar | Actualitza el contingut del token/targeta per a veure nous certificats. |
Canviar el nom del dispositiu | Definir el nom amb el qual apareix el dispositiu. |
Canviar el PIN | Funció per a canviar el PIN de la targeta. |
Desbloca el PIN | Funció per a desbloquejar el PIN de la targeta mitjançant el PUK d'aquesta. |
Canviar el PUK | Funció per a canviar el PUK de la targeta. |
Importar certificat | Funció per a importar un certificat al teu targeta. |
Esborrar el dispositiu | Funció esborrar TOTS els certificats i claus del token de la targeta. |
-
Iniciar sessió
Per accedir a qualsevol funcionalitat que ofereix el programari, cal introduir el PIN de la targeta
-
Canviar PIN
Per canviar el PIN, introdueix el PIN de la targeta i el nou PIN. El nou PIN ha de tenir entre 4 i 8 dígits alfanumèrics.
- Desbloca el PIN
Per desbloquejar el PIN, introdueix el PUK de la targeta i el nou PIN. El nou PIN ha de tenir entre 4 i 8 dígits alfanumèrics.
- Canviar PUK
Introdueix el PUK antic de la targeta i el nou PUK. El nou PUK ha de tenir entre 4 i 8 dígits alfanumèrics.
- Importació
Aquesta opció permet la importació de certificats en la targeta. Els formats acceptats per a la importació de certificats en targeta .p12 o .pfx ja que aquests formats inclouen la clau privada del certificat, imprescindible per a realitzar operacions criptogràfiques.
Per iniciar la importació, abans selecciona el certificat des de la seva ubicació, tal com es mostra en la següent imatge:
Una vegada seleccionat el certificat, prem “Open”:
El sistema et demanarà la contrasenya de l'arxiu PFX o P12 (certificat i clau privada del mateix) que vols importar, i que conté el seu certificat i parell de claus. Insereix-la i completa segons la teva conveniència les opcions d'importació, on:
– Importar certificats sense igual de claus associat: permet importar tota la jerarquia de certificació inclosa en el fitxer PFX o P12. Es recomana NO MARCAR aquesta opció.
– Definir CKA_ANEU de PKCS#11: identificador que determinades aplicacions utilitzen a l'hora de mostrar el certificat. Es recomana introduir un valor identificatiu útil, per exemple pedro_signatura, pedro_accés, pedro_xifratge, etc.
I la importació del certificat s'haurà completat:
En el cas que es desitgi comprovar que el certificat ha estat correctament guardat, recorda que pots revisar tots els certificats emmagatzemats en la targeta a través de l'opció “Veure” de Bit4id PKI Manager.
- Detalls del certificat
Una vegada s'introdueix el PIN de la targeta, pots veure els certificats que s'hi troben inclosos. En la finestra emergent que mostra l'aplicació, pots veure informació del certificat seleccionat prèviament.
- Informació
Ofereix informació detallada de la targeta: model, número de sèrie, fabricant i etiqueta. És possible que suport (soporte@bit4id.com) et sol·liciti aquesta informació per a conèixer el tipus de targeta que està utilitzant.
7. Preguntes freqüents
Puc combinar números i lletres per al número PIN de la targeta?
Sí, no hi ha cap problema, sempre que el nou PIN tingui entre 4 i 8 dígits.
Existeix un màxim d'insercions de PIN en el cas que tingui algun dubte i no recordi el meu número PIN? Quan pot quedar bloquejada la targeta?
Si insereixes més de 3 vegades el codi PIN de forma errònia, aquest es bloqueja. Segueix els passos "Desbloqueja el PIN" indicats anteriorment per desbloquejar-lo.
Existeix un màxim d'insercions de PUK per a intentar desbloquejar el PIN? Què passa si la targeta queda bloquejada?
Si insereixes més de 3 vegades el codi PUK de forma errònia, aquest es bloqueja. Per raons de seguretat, la targeta es bloqueja completament.
8. Glossari
Autoritat de Certificació: és l'entitat de confiança, responsable d'emetre i revocar els certificats electrònics, utilitzats en la signatura electrònica. L'Autoritat de Certificació, per si mateixa o mitjançant la intervenció d'una Autoritat de Registre, verifica la identitat del sol·licitant d'un certificat abans de la seva expedició o, en cas de certificats expedits amb la condició de revocats, elimina la revocació dels certificats en comprovar aquesta identitat.
Caducitat del certificat digital: el certificat digital té un període de vigència que consta en el mateix certificat. Generalment és de 2 anys, encara que per llei es permet una vigència de fins a 5 anys. Una vegada el certificat hagi caducat, no es podran utilitzar els serveis oferts per l'Administració que requereixin signatura electrònica, i qualsevol signatura electrònica que es faci a partir d'aquest moment no tindrà validesa.
Certificat digital: document en suport informàtic emès i signat per l'Autoritat de Certificació, que garanteix la identitat del seu propietari.
Certificat reconegut: certificat expedit per un Prestador de Serveis de Certificació que compleix els requisits establerts en la Llei quant a la comprovació de la identitat i altres circumstàncies dels sol·licitants i a la fiabilitat i les garanties dels serveis de certificació que prestin, de conformitat amb el que disposa el capítol II del Títol II de la Llei 59/2003, de 19 de desembre, de Signatura Electrònica.
Signatura electrònica: conjunt de dades, en forma electrònica, annexos a altres dades electròniques o associats funcionalment amb ells, utilitzats com a mitjà per a identificar formalment a l'autor o als autors del document que la recull. Existeixen 3 tipus de signatura electrònica: signatura electrònica simple, avançada i reconeguda.
Signatura electrònica simple: conjunt de dades, en forma electrònica, annexos a altres dades.
Signatura electrònica avançada: signatura electrònica que permet identificar al signant i detectar qualsevol canvi ulterior de les dades signades, que està vinculada al signant de manera única i a les dades a què es refereix i que ha estat creada per mitjans que el signant pot mantenir sota el seu exclusiu control.
Signatura electrònica reconeguda: es considera signatura electrònica reconeguda la signatura electrònica avançada basada en un certificat reconegut i generada mitjançant un dispositiu segur de creació de signatura. La signatura electrònica reconeguda tindrà respecte de les dades consignades en forma electrònica el mateix valor que la signatura manuscrita en relació amb els consignats en paper.
Funció hash: és una operació que es realitza sobre un conjunt de dades de qualsevol grandària, de manera que el resultat obtingut és un altre conjunt de dades de grandària fixa, independentment de la grandària original, i que té la propietat d'estar associat unívocament a les dades inicials, és a dir, és impossible trobar dos missatges diferents que generin el mateix resultat en aplicar la Funció hash.
Hash o Empremta digital: resultat de grandària fixa que s'obté després d'aplicar una funció hash a un missatge i que compleix la propietat d'estar associat unívocament a les dades inicials.
Integritat: la integritat és la qualitat que posseeix un document o arxiu que no ha estat alterat i que a més permet comprovar que no s'ha produït cap manipulació en el document original.
Llistes de Revocació de Certificats o Llistes de Certificats Revocats: llista on figuren exclusivament les relacions de certificats revocats o suspesos (no els caducats).
No repudio: l'emissor que ferm electrònicament un document no podrà negar que va enviar el missatge original, ja que aquest és imputable a l'emissor per mitjà de la clau privada que únicament coneix ell i que està obligat a custodiar. El no repudi permet, a més, comprovar qui va participar en una transacció.
El no repudi o irrenunciabilitat és un servei de seguretat estretament relacionat amb l'autenticació i que permet provar la participació de les parts en una comunicació. La diferència essencial amb l'autenticació és que la primera es produeix entre les parts que estableixen la comunicació i el servei de no repudi es produeix enfront d'un tercer
Prestador de Serveis de Certificació o PSC: persona física o jurídica que expedeix certificats electrònics o presta altres serveis en relació amb la signatura electrònica. Veure Autoritat de Certificació.
PIN: seqüència de caràcters que permeten l'accés als certificats. Número d'Identificació Personal, a vegades anomenat NIP.
PUK: seqüència de caràcters que permeten el canvi o desbloqueig del PIN. Clau Personal de Desbloqueig.
Renovació la renovació consisteix a sol·licitar un nou certificat mitjançant un certificat vigent però que està a punt de caducar. D'aquesta manera, abans de la caducitat d'un certificat es pot sol·licitar la renovació i això implica que s'emeti un nou certificat vàlid.
Revocació: anul·lació definitiva d'un certificat digital a petició del subscriptor, o per pròpia iniciativa de l'Autoritat de Certificació en cas de dubte de la seguretat de les claus. La revocació és un estat irreversible. Es pot sol·licitar la revocació d'un certificat després d'una situació de suspensió o per voluntat de les persones autoritzades a sol·licitar-la. De la mateixa manera, en el cas d'un certificat suspès, si ha passat el període de suspensió màxim, si el certificat no ha estat habilitat, passa a estar definitivament revocat. Quan l'entitat de certificació revoca o suspèn un certificat, ha de fer-lo constar en les Llistes de Certificats Revocats (CRL), per a fer públic aquest fet. Aquestes llistes són públiques i han d'estar sempre disponibles.
Targeta intel·ligent (smartcard): qualsevol targeta amb circuits integrats que permeten l'execució d'una certa lògica programada.