Na tym pliku ćwiczymy!

SecOffice

Program do szyfrowania i podpisywania dokumentów elektronicznych

Instrukcja użytkownika

Wersja 1.5

Spis treści (tutaj automatycznie wygeneruj spis treści)

Microsoft Office, Microsoft Word, Microsoft Excel, Windows, Outlook Express, Internet Explorer są zastrzeżonymi znakami towarowymi firmy Microsoft Corporation.

Netscape Navigator jest znakiem towarowym firmy Netscape.

Opis programu

Program służy do podpisywania i szyfrowania dokumentów bezpośrednio z programów pakietu Microsoft Office (Word i Excel) oraz dowolnych plików z poziomu menu kontekstowego (Eksplorator Windows).

Dzięki integracji z programami pakietu MS Office podpisanie, zaszyfrowanie lub weryfikacja dokumentu może być wykonana bezpośrednio z poziomu tych programów, bez konieczności przechodzenia do innego programu.

Integracja z Eksploratorem Windows umożliwia szyfrowanie i podpisywanie pozostałych plików (innych niż dokumenty MS Office z rozszerzeniami *.doc, *.xls) z poziomu dowolnego menedżera plików systemu Windows. Opcje programu takie jak `Szyfruj' czy `Podpisz' dostępne są w menu kontekstowym (prawy klawisz myszy).

Program umożliwia podpisywanie dokumentu przez kilku użytkowników (grupę osób zatwierdzających dany dokument).

SecOffice oparty jest całkowicie na podsystemie Windows CryptoAPI. Jego pełną użyteczność osiąga się przez używanie go razem z wbudowanymi w system Windows mechanizmami zarządzania certyfikatami. Do operacji na samych certyfikatach najlepiej wykorzystać okno zarządzania certyfikatami dostępne w programach Internet Explorer lub Outlook Express.

Co nowego w wersji 1.5

Zmiany w wersji 1.5 w stosunku do wersji 1.0

• Nowy sposób kodowania podpisów w dokumentach Microsoft Office (Word, Excel):

• podpis jest wstawiany do struktury dokumentu; użytkownik może przeglądać dokument także na komputerze bez zainstalowanego programu SecOffice lub SecOffice Reader (podpis jest niewidoczny), natomiast tylko użytkownik z zainstalowanym programem oraz odpowiednim kluczem publicznym może zweryfikować podpisy pod dokumentem.

• Nowy sposób zapisu zaszyfrowanego dokumentu Microsoft Office (Word, Excel):

• zaszyfrowany dokument wstawiany jest do struktury nowego dokumentu (gotowego szablonu) podobnie jak ma to miejsce w przypadku podpisu; po zaszyfrowaniu użytkownikowi wyświetlana jest informacja zawarta w przygotowanym szablonie umieszczonym w katalogu programu SecOffice (np. „Dokument jest zaszyfrowany”); użytkownik może zmieniać wygląd szablonu i informację wyświetlaną po zaszyfrowaniu.

• Możliwość wprowadzenia wielu adresów CRL - obsługa i pobieranie wielu list CRL.

• Obsługa protokołu https przy pobieraniu list CRL.

• Wyświetlanie w programach MS Word i Excel informacji o stanie dokumentu (podpisany, zaszyfrowany, podpisany i zaszyfrowany) na pasku tytułu aplikacji i pasku statusu.

• Podpisanie bibliotek programu (SsoKernel.dll i SsoShellEsxt.dll) przy użyciu technologii Microsoft Authenticode.

• W programach MS Word i Excel brak funkcji „Otwórz zabezpieczony” w menu i pasku SecOffice (odszyfrowanie i weryfikacja za pomocą funkcji „Odszyfruj/Weryfikuj”).

• Wybór przez użytkownika dostawcy usług kryptograficznych (CSP) możliwy tylko dla operacji korzystających z klucza publicznego (szyfrowanie i weryfikacja). Dla operacji wykorzystujących klucz prywatny (podpis i odszyfrowanie) automatycznie wybierany jest odpowiedni CSP. Ponadto nazwa CSP nie jest już zapisywana wewnątrz zabezpieczonego pliku, przez co nie wymusza użycia tego samego CSP przez pozostałych użytkowników tego pliku.

• Poprawiono diagnostykę błędów i usunięto różne nieprawidłowości dostrzeżone w poprzedniej wersji programu.

• Poprawiono program instalacyjny.

Instalacja

Wymagania programu

SecOffice współpracuje z elementami pakietu Microsoft Office 97/2000/XP PL (Microsoft Word
i Microsoft Excel), działających na systemach Windows 98/Me, Windows NT/2000/XP.

Dodatkowo, w przypadku systemów:

• Windows 98/NT 4 - wymagany jest Internet Explorer w wersji 5.0 lub wyższej,

• Windows NT 4 - wymagany Service Pack 4 lub wyższy.

Przebieg instalacji

W celu zainstalowania programu należy uruchomić plik `setup.exe' i postępować zgodnie
ze wskazówkami zawartymi w programie instalacyjnym.

Program musi być instalowany przez użytkownika z prawami dostępu administratora.
Po zainstalowaniu może być używany przez wszystkich użytkowników danej stacji roboczej.

W przypadku systemów Windows NT/2000/XP, gdy użytkownik nie ma uprawnień administratora wyświetlane jest okienko z informacją (Rys. 1) i proces instalacji zostaje przerwany.

Rys. 1

W sytuacji, gdy na komputerze brak jest zainstalowanych składników pakietu Microsoft Office program instalacyjny wyświetli okno dialogowe z odpowiednią informacją (Rys. 2).

Rys. 2

W takim wypadku możliwe będzie korzystanie z programu jedynie za pomocą menu kontekstowego (Rys. 5).

Podczas instalacji może zostać wyświetlony komunikat (Rys. 3).

Rys. 3

Sytuacja taka będzie miała miejscem, jeżeli przed instalacją używany był program SecOffice lub SecOffice Reader i jego pliki zostały zablokowane przez system operacyjny. W takim przypadku konieczny będzie restart systemu i ponowne uruchomienie programu instalacyjnego SecOffice.

W trakcie procesu instalacji wyświetlona zostanie informacja (Rys. 4) na temat konieczności uaktywnienia obsługi makr. Dokładniejsze informacje zamieszczone zostały w dalszej części tego rozdziału.

Rys. 4

Po zainstalowaniu programu, w menu kontekstowym pod prawym klawiszem myszy pojawi się dodatkowa opcja (menu rozwijane) - SecOffice.

Rys. 5

Jeżeli Microsoft Word i Microsoft Excel są zainstalowane, po instalacji SecOffice w oknach tych programów pojawi się dodatkowy pasek narzędzi, a w pasku menu - nowa pozycja - SecOffice (Rys. 6, Rys. 7).

Rys. 6

Rys. 7

W przypadku Microsoft Office 2000/XP, jeżeli opcje zabezpieczeń ustawione są na poziom wysoki, przy próbie uruchomienia Microsoft Word lub Microsoft Excel wyświetlony zostanie komunikat
(Rys. 8).

Rys. 8

UWAGA:

W celu uruchomienia SecOffice w programie Microsoft Word XP konieczna będzie zmiana poziomu zabezpieczeń na Średni. Dopiero ta zmiana spowoduje, że wyświetlone zostanie powyższe okno.

W okienku dialogowym należy zaznaczyć opcję Zawsze ufaj makrom z tego źródła, co pozwoli uaktywnić funkcje programu SecOffice. Po tej operacji szablony makr podpisane przez firmę Sotel będą uruchamiane bez ostrzegania użytkownika i zostaną dodane do tabeli Źródła zaufane.

Rys. 9

Poziom zabezpieczeń i zaufane źródła makr można sprawdzić i ustawić w programach Microsoft Word 2000/XP i Microsoft Excel 2000/XP wybierając opcję Narzędzia w pasku menu a następnie opcje Makro i Zabezpieczenia (Rys. 9).

Biblioteki programu SecOffice (SsoKernel.dll, SsoShellExt instalowane w katalogu systemowym) zostały podpisane z wykorzystaniem technologii Microsoft Authenticode. Użytkownik może po instalacji programu sprawdzić, czy biblioteki te nie zostały zmienione.

W tym celu należy po zaznaczeniu odpowiedniego pliku z menu kontekstowego wybrać opcję Właściwości a następnie zakładkę Podpisy cyfrowe. Po zaznaczeniu certyfikatu firmy Sotel i naciśnięciu klawisza Szczegóły... zostanie wyświetlone okienko z informacją o tym, czy podpis jest poprawny (Rys. 10).

Rys. 10

Aktualizacja wersji 1.0

Istnieje możliwość aktualizacji wersji 1.0 programu SecOffice i zastąpienie jej wersją 1.5.
W przypadku aktualizacji proces instalacji jest taki sam jak przy pierwszej instalacji programu. Po instalacji należy powtórzyć proces rejestracji (wystawiony zostanie nowy numer licencyjny). Poprzednie ustawienia programu zostaną zachowane.

UWAGA:

W wersji 1.5 programu SecOffice wprowadzono nowy format przechowywania plików `sof'. Przed zainstalowaniem programu na komputerze z wcześniejszą wersją SecOffice należy odbezpieczyć dokumenty zabezpieczone starą wersją.

Rejestracja programu

Program rozprowadzany jest w wersji czasowej (30-dniowej), dlatego przed każdą operacją wyświetlane jest okno z informacją o pozostałym okresie działania (Rys. 11).

Rys. 11

Po tym terminie zostaną zablokowane wszystkie funkcje poza opcją rejestracji. Dalsze korzystanie
z programu możliwe jest po wykupieniu licencji i rejestracji.

W celu zarejestrowania programu użytkownik powinien wybrać opcję Ustawienia (dostępną po zainstalowaniu SecOffice w menu programów Microsoft Word, Microsoft Excel oraz menu kontekstowym Eksploratora Windows) a następnie zakładkę Rejestracja (Rys. 12).

Rys. 12

Na zakładce należy wpisać dane osoby, dla której wystawiona będzie licencja a następnie nacisnąć Zapisz/Wyślij. W oknie dialogowym należy wybrać katalog, w którym zostanie zapisany plik z danymi (*.ire) i ewentualnie zmienić nazwę tego pliku. Domyślnie jest on zapisywany w katalogu programu. Po zapisaniu zostanie wyświetlone okno z pytaniem, czy wysłać plik do rejestracji
(Rys. 13).

Rys. 13

Jeżeli użytkownik wybierze Tak, wyświetlone zostanie okno tworzenia nowej wiadomości domyślnego programu pocztowego z plikiem *.ire w formie załącznika (Rys. 14).

Rys. 14

W przypadku, gdy użytkownik nie będzie mógł wysłać danych do rejestracji automatycznie, należy wysłać plik *.ire korzystając z dowolnego programu pocztowego lub nagrać go na dyskietkę i wysłać pocztą konwencjonalną na adres podany w rozdziale Kontakt z producentem.

Na podstawie treści tego pliku przygotowywany jest specjalny kod licencji i odsyłany zwrotnie do klienta. Kod ten należy wpisać w polu Kod licencji (można użyć standardowego Kopiuj/Wklej)
i nacisnąć OK. Od tej pory wszystkie funkcje programu SecOffice są do dyspozycji użytkownika.

Wpisanie kodu w polu Kod licencji na zakładce Rejestracja powoduje zablokowanie przycisku Zapisz/Wyślij. W celu zmiany danych rejestracyjnych i generacji nowego pliku *.ire należy skasować wszystkie znaki z pola Kod licencji.

Po wpisaniu otrzymanego numeru licencji edycja formularza rejestracyjnego zostaje zablokowana.

UWAGA:

1) Zmiana danych o użytkowniku, zainstalowanie bądź przeniesienie oprogramowania na inny komputer powoduje potrzebę odnowienia licencji.

2) W przypadku reinstalacji systemu operacyjnego bądź modyfikacji sprzętowej również może pojawić się potrzeba ponownej rejestracji. W takim przypadku użytkownik ma prawo do bezpłatnego odnowienia licencji.

Jeżeli z programu ma korzystać więcej niż jeden użytkownik danej stacji roboczej, dla każdego użytkownika wymagane jest wczytanie pliku *.ire z danymi osoby, na którą została wystawiona licencja (przycisk Wczytaj na zakładce Rejestracja), a następnie wpisanie kodu licencyjnego wygenerowanego na podstawie tych danych. Dlatego ważne jest bezpieczne przechowanie przez klienta zarówno pliku *.ire jak i wygenerowanego kodu.

UWAGA: Ponowne zapisanie danych rejestracyjnych w pliku *.ire (wcześniej zapisanych, dla których został wygenerowany kod licencyjny) lub wpisanie innych danych spowoduje, że numer licencji będzie nieważny.

Interfejs użytkownika

Pasek narzędzi i menu (Microsoft Word, Microsoft Excel)

Po zainstalowaniu `SecOffice', w programach Microsoft Word i Excel z lewej strony okna aplikacji dodany zostanie nowy pasek narzędzi (o nazwie SecOffice), a w pasku dostępne będzie nowe menu SecOffice. Zarówno pasek narzędzi jak i menu, udostępniają użytkownikowi te same funkcje:

• Podpisz
  - podpisanie aktualnie redagowanego dokumentu,

• Szyfruj
  - zaszyfrowanie dokumentu,

• Podpisz i szyfruj
  - podpisanie i zaszyfrowanie redagowanego dokumentu,

• Odszyfruj/Weryfikuj
  - odszyfrowanie dokumentu zaszyfrowanego bądź weryfikacja podpisu (sprawdzenie, czy podpisany dokument nie został zmieniony),

• Ustawienia
  - umożliwia użytkownikowi zmianę ustawień programu,

• Pomoc
  - wywołanie pliku pomocy użytkownika,

• O programie
  - wyświetlenie danych na temat wersji i producenta programu.

Menu kontekstowe (Eksplorator Windows)

SecOffice umożliwia szyfrowanie i podpisywanie plików z poziomu dowolnego menedżera plików.

W czasie instalacji programu do menu kontekstowego dodawana jest dodatkowa opcja (menu rozwijane) SecOffice (Rys. 5), umożliwiająca podpisanie bądź zaszyfrowanie wybranego pliku. Działania dostępne z poziomu menu kontekstowego są takie, jak w przypadku paska narzędzi i menu SecOffice w programach MS Word i MS Excel.

W systemie rejestrowany jest także nowy typ pliku - Plik SecOffice - z rozszerzeniem .sof zarezerwowanym dla plików podpisanych bądź zaszyfrowanych programem SecOffice.
Domyślna ikona dla tego rozszerzenia przedstawiona jest na Rys. 15.

Rys. 15

W przypadku zabezpieczania z poziomu menu kontekstowego dokumentów MS Office (pliki *.doc
i *.xls) sposób przechowywania podpisów oraz szyfrowania jest taki sam jak w przypadku zabezpieczania z poziomu programów Word i Excel.

Dla plików innych niż dokumenty MS Office tworzone są zawsze osobne pliki z rozszerzeniem .sof przechowujące podpisy albo zaszyfrowane dane.

Zabezpieczanie danych

W celu szyfrowania lub podpisywania użytkownik powinien mieć wygenerowaną parę kluczy - prywatny i publiczny oraz certyfikat wystawiony przez centrum certyfikujące.

Certyfikaty można uzyskać na stronach instytucji świadczących usługi certyfikacji kluczy. Najczęściej udostępniają one użytkownikom także darmowe certyfikaty próbne (uproszczony jest proces weryfikacji danych użytkownika, ograniczona jest ważność certyfikatu, np. 1 miesiąc). Proces generacji certyfikatu zależny jest od procedur centrum certyfikującego. W celu wygenerowania
i zainstalowania certyfikatu należy postępować zgodnie z instrukcjami dostępnymi na stronie wystawcy certyfikatu.

Jednym z etapów generacji certyfikatu jest wybór dostawcy usług kryptograficznych (CSP - dokładniejszy opis znajduje się w rozdziale Ustawienia w podrozdziale Ogólne). Jeżeli użytkownik chce korzystać z niestandardowych algorytmów kryptograficznych albo posiada sprzętowe urządzenie kryptograficzne (np. czytnik i kartę elektroniczną), na którym chce przechowywać swoje klucze, musi wybrać odpowiedni moduł CSP dostarczany przez producenta. CSP wskazany podczas generacji certyfikatu będzie skojarzony z tym certyfikatem i wywoływany podczas wykonywania operacji kryptograficznych wykorzystujących klucz prywatny (podpis i odszyfrowanie).

Zarządzanie certyfikatami dostępnymi w systemie możliwe jest przy użyciu programów Internet Explorer lub Outlook Express.

W przypadku Internet Explorera 5.x, aby sprawdzić dostępne certyfikaty należy (Rys. 16):

• z menu wybrać opcję Narzędzia a następnie Opcje internetowe,

• wybrać zakładkę Zawartość, a na niej przycisk Certyfikaty...,

• w oknie Menedżer certyfikatów mamy dostęp do czterech głównych magazynów certyfikatów: Osobiste, Inne osoby, Pośredni wystawcy certyfikatów i Zaufani główni wystawcy certyfikatów.

W przypadku podpisywania dokumentów za pomocą programu SecOffice, do podpisanego pliku dodawane są certyfikaty użyte do tej operacji. Użytkownik może dodać je do wybranego magazynu certyfikatów.

Rys. 16

W programie SecOffice dokumenty mogą być podpisane na dwa sposoby (zależnie od ustawień programu):

• podpisy oddzielone (w osobnym pliku),

• podpisy razem z danymi w jednym pliku.

Różnice pomiędzy tymi dwoma sposobami wyjaśnione są w rozdziale Ustawienia programu.

Podpis i weryfikacja

Podpis

W celu podpisania dokumentu w programie Microsoft Word lub Excel należy z paska narzędzi wybrać ikonę
lub z menu SecOffice wybrać opcję Podpisz.

Dokument zostanie zamknięty i wyświetlona zostanie lista dotychczasowych podpisów pod dokumentem (Rys. 17), do której użytkownik będzie mógł dodać kolejny podpis.

Rys. 17

Informacje zawarte na liście podpisów to:

• Nazwa certyfikatu, którym został podpisany plik,

• Wystawca - nazwa wystawcy, który wydał certyfikat,

• Czas podpisu, czyli czas złożenia podpisu pod dokumentem,

• Miejsce, Powód - dodatkowe informacja o miejscu i celu złożenia podpisu,

• Status - informacja o ważności podpisu.

Po naciśnięciu przycisku `Dodaj/Odnów' wyświetlone zostanie okienko z prośbą o wybranie klucza prywatnego, którym będzie podpisany plik (Rys. 18).

Rys. 18

Po wskazaniu klucza wyświetlone zostanie okno dialogowe, w którym użytkownik będzie mógł wpisać dodatkowe informacje na temat podpisu (miejsce i powód jego złożenia).

Rys. 19

Po podpisaniu dokumentu zostanie on ponownie otwarty do edycji a na pasku tytułu programu
i pasku statusu wyświetlona zostanie informacja o tym, że dokument jest podpisany (Rys. 20).

W zależności od ustawień, po podpisaniu dokumentu z poziomu MS Office tworzony jest dodatkowy plik z podpisem, z rozszerzeniem *.sof bądź podpis kodowany jest wewnątrz pliku dokumentu
w sposób niewidoczny dla użytkownika. Plik ten można będzie otworzyć na dowolnym komputerze, jednak weryfikację można będzie przeprowadzić jedynie na komputerze z zainstalowanym programem SecOffice lub SecOffice Reader.

Należy pamiętać, że jakiekolwiek zmiany wprowadzone do dokumentu spowodują, że podpis będzie nieważny.

Rys. 20

Z poziomu Eksploratora Windows podpisanie pliku można wykonać poprzez zaznaczenie pliku i z menu kontekstowego wybór opcji SecOffice პ Podpisz (Rys. 21).

Rys. 21

W przypadku, gdy użytkownik podpisuje dokument wcześniej przez niego podpisany, to istniejący
pod dokumentem podpis zostanie zaktualizowany.

Weryfikacja

Z poziomu programu MS Word lub Excel weryfikację podpisu można wykonać przez otwarcie
w edytorze MS Word lub Excel dokumentu, a następnie wybór ikony
lub opcji Odszyfruj/Weryfikuj z menu SecOffice. Przy włączonej opcji Podpisy oddzielone (w osobnym pliku) w ustawieniach programu, plik podpisu (*.sof) musi się znajdować w tym samym katalogu co dokument, dla którego wygenerowany został podpis.

Po wywołaniu opcji weryfikacji wyświetlone zostanie okno z listą certyfikatów, przy użyciu których dokument został podpisany.

Rys. 22

Zaraz po wyświetleniu okna, status każdego podpisu na liście ustawiony jest na Nieokreślony (Rys. 22). W celu weryfikacji wszystkich podpisów należy nacisnąć przycisk Weryfikuj. Ważność podpisów (czyli zgodność dokumentu z oryginałem) będzie sygnalizowana ustawieniem statusu podpisu na Ważny. Jeśli dokument został zmieniony, to podpisy nie zostaną poprawnie zweryfikowane i status ustawi się na Nieważny.

Rys. 23

Wybierając certyfikat z listy a następnie przycisk Pokaż certyf., użytkownik może wyświetlić szczegółowe informacje na temat tego certyfikatu (Rys. 24). Informacje te można także wyświetlić klikając dwukrotnie na danym certyfikacie (doubleclick).

Rys. 24

W przypadku weryfikacji z poziomu Eksploratora Windows, należy po zaznaczeniu pliku wybrać
w menu kontekstowym opcję SecOffice პ Odszyfruj/Weryfikuj.

Weryfikacji można też dokonać przez dwukrotne kliknięcie myszą (doubleclick) na pliku podpisu (*.sof). Domyślną akcją dla pliku podpisu jest weryfikacja.

Szyfrowanie i odszyfrowanie

Szyfrowanie

W celu zaszyfrowania dokumentu w programie MS Word lub MS Excel należy wybrać ikonę

lub opcję Szyfruj z menu SecOffice.

Po tej operacji szyfrowany dokument zostanie zamknięty i pojawi się okienko dialogowe z prośbą
o wybór klucza publicznego odbiorcy, czyli osoby, która będzie mogła odszyfrować dokument (Rys. 25).

Rys. 25

W oknie dialogowym istnieje również możliwość wyboru magazynu certyfikatów, z którego ma być użyty klucz. Domyślnie jest to magazyn Osobisty.

Po zaszyfrowaniu dokumentu jego zakodowana treść umieszczana jest w specjalnym dokumencie opakowującym, którym zostanie zastąpiony plik oryginalny. Dokumenty opakowujące zawierają treść jaka będzie wyświetlana po otwarciu zaszyfrowanego dokumentu użytkownikowi, który nie jest adresatem wiadomości (nie posiada odpowiedniego klucza prywatnego) lub też nie ma zainstalowanego programu SecOffice (Rys. 26).

Dokumenty opakowujące zapisane są w katalogu `Opakowania' programu SecOffice (domyślnie - ..\Program Files\Sotel\SecOffice\Opakowania). Użytkownik może zmieniać ich postać według własnych potrzeb.

Rys. 26

W przypadku szyfrowania w menedżerze plików, należy po zaznaczeniu pliku wybrać opcję SecOffice პ Szyfruj. Następnie tak jak w przypadku szyfrowania dokumentów MS Office wybrać klucz publiczny odbiorcy. Zaszyfrowany plik zostanie zapisany jako osobny plik z rozszerzeniem *.sof.

Istnieje możliwość wyboru kilku odbiorców (Rys. 27). W tym celu należy wskazać kilka kluczy przez zaznaczenie odpowiednich pozycji listy, gdy wciśnięty jest klawisz Ctrl.

Rys. 27

Odszyfrowanie

W celu odszyfrowania dokumentu, należy w programach MS Word i MS Excel otworzyć zaszyfrowany dokument a następnie wybrać ikonę
lub opcję Odszyfruj/Weryfikuj z menu SecOffice. Wyświetlone zostanie okno z listą adresatów dokumentu - osób, których klucze publiczne zostały użyte do zaszyfrowania (Rys. 28). Jeżeli program znajdzie w systemie odpowiedni klucz prywatny dokument zostanie odszyfrowany i otwarty.

Rys. 28

W przypadku odszyfrowywania pliku z poziomu Eksploratora Windows możliwe jest wykonanie operacji na dwa sposoby:

• przy użyciu menu kontekstowego - po wskazaniu pliku, należy z menu SecOffice dostępnego pod prawym klawiszem, wybrać polecenie Odszyfruj/Weryfikuj.

• przez dwukrotne kliknięcie myszą (doubleclick) na zaszyfrowanym pliku (*.sof) - dla pliku zaszyfrowanego domyślną akcją jest odszyfrowanie.

Podpis i szyfrowanie

Użytkownik może zabezpieczyć plik podpisem i szyfrem jednocześnie. Funkcja ta może być przydatna w instytucjach z określonym obiegiem dokumentów. Przykładowo po zebraniu pod dokumentem wszystkich wymaganych podpisów ostatnia, zatwierdzająca osoba składa swój podpis pod dokumentem a następnie szyfruje go kluczem publicznym swoim, bądź osoby (instytucji), do której jest on adresowany.

W celu zabezpieczenia dokumentu podpisem i szyfrem należy wybrać ikonę
lub opcję Podpisz i szyfruj z menu SecOffice. Wyświetlone zostanie okno z istniejącymi już dla danego pliku podpisami (Rys. 29). Następnie w celu dodania własnego podpisu użytkownik powinien wybrać w oknie dialogowym przycisk Dodaj/Odnów, wskazać klucz prywatny (Rys. 18), przy pomocy którego dokument będzie podpisany i wybrać przycisk Dalej.

Rys. 29

Następnie należy wskazać klucze publiczne odbiorców, czyli osób, które będą mogły odszyfrować dokument (Rys. 25, Rys. 27).

Opcja Podpisz i szyfruj jest dostępna także z menu kontekstowego Eksploratora Windows (Rys. 30) w przypadku podpisywania i szyfrowania innych typów plików.

Rys. 30

Podobnie jak w przypadku szyfrowania, po podpisaniu i zaszyfrowaniu dokumentu MS Word lub MS Excel, jego treść jest umieszczana w specjalnym dokumencie opakowującym wyświetlanym użytkownikowi (patrz rozdział Szyfrowanie i Odszyfrowanie).

W celu odszyfrowania pliku zabezpieczonego podpisem i szyfrem, należy wybrać opcję Odszyfruj/Weryfikuj z menu kontekstowego lub podwójnie kliknąć na pliku z rozszerzeniem `.sof'.
W przypadku odbezpieczania dokumentu z poziomu programu Microsoft Word lub Excel - poprzez wybór ikony
lub opcji Odszyfruj/Weryfikuj z menu SecOffice dla zaszyfrowanego dokumentu. Dokument zostanie najpierw odszyfrowany, a następnie wyświetlone zostanie okno z podpisami umożliwiające ich zweryfikowanie.

Ważność certyfikatów

Podczas próby podpisania lub zaszyfrowania a także podczas odszyfrowania i weryfikacji dokumentu wszystkie użyte certyfikaty są weryfikowane i mogą pojawić się komunikaty o błędach. Jeżeli wystąpi błąd weryfikacji certyfikatu, wyświetlona zostanie przyczyna nie zweryfikowania oraz pytanie Czy pomimo tego chcesz użyć tego certyfikatu (Rys. 31). Jeżeli użytkownik odpowie Nie, certyfikat zostanie pominięty (jeśli jest to weryfikacja, status podpisu zostanie ustawiony na Nieważny - Rys. 23). Naciśnięcie przycisku Tak, spowoduje wymuszenie przez użytkownika użycia tego certyfikatu.

Rys. 31

Poniżej zamieszczona jest lista wszystkich możliwych komunikatów o błędnej weryfikacji certyfikatu:

• `Certyfikat nie został poprawnie zweryfikowany certyfikatem wystawcy' - oznacza to, że certyfikat zmienił się (został sfałszowany lub uszkodzony),

• `Certyfikat ma przekroczony termin ważności',

• `Nie znaleziono listy CRL dla tego certyfikatu' - nie została pobrana lista certyfikatów odwołanych (dokładniej pobieranie tych list zostało omówione w rozdziale CRL).

• `Certyfikat znajduje się na liście certyfikatów odwołanych' - użytkownik odwołał swój certyfikat (umieścił go na liście CRL), ponieważ np. zmieniły się dane użytkownika certyfikatu, zachodziło podejrzenie, że klucz prywatny został skompromitowany lub skradziony, itp.,

• `Nie znaleziono certyfikatu wystawcy dla tego certyfikatu' - brak certyfikatu urzędu, który wydał certyfikat, przez co nie można sprawdzić jego poprawności i ważności.

Ustawienia programu

Ogólne

Dla operacji kryptograficznych z użyciem klucza publicznego (szyfrowanie i weryfikacja) użytkownik ma możliwość określenia takich ustawień, jak:

• dostawca usług kryptograficznych (Crypto Service Provider - CSP),

• opcja automatycznego importu certyfikatów weryfikujących,

• serwer HTTP proxy - w przypadku, gdy użytkownik łączy się z Internetem za pośrednictwem serwera proxy, może na tej zakładce ustawić adres i port tego serwera. Ustawienie to wykorzystuje się przy pobieraniu list CRL.

Rys. 32

Od wybranego dostawcy usług kryptograficznych zależy to, w jaki sposób zabezpieczane będą dokumenty, czyli wykorzystywane algorytmy kryptograficzne, długości kluczy, dlatego dostępne
do wyboru algorytmy kryptograficzne zależne są właśnie od wybranego wcześniej CSP.

Dla domyślnego CSP - Microsoft Base Cryptographic Provider v1.0 - dostępne są algorytmy DES, RC2, RC4.

W przypadku operacji z użyciem klucza prywatnego (podpis i odszyfrowanie) automatycznie wybierany jest odpowiedni dostawca usług kryptograficznych (CSP).

Podczas podpisywania dokumentów do podpisów dołączane są certyfikaty konieczne do weryfikacji. Opcja automatycznego importu certyfikatów weryfikujących powoduje samoistne dodanie tych certyfikatów do systemu użytkownika w trakcie wykonywania operacji weryfikacji. W przypadku, gdy opcja ta nie jest aktywna użytkownik musi sam zaimportować te certyfikaty z podpisanego pliku.

Wykonuje się to przez wyświetlenie certyfikatu (przycisk Pokaż certyf. lub podwójne kliknięcie podpisu na liście) a następnie użycie przycisku Instaluj certyfikat. Importowane certyfikaty umieszczane są w magazynie Książka adresowa.

Podpis. i szyfr.

Sposób składowania podpisów określa w jaki sposób do dokumentu mają być dołączane podpisy:

• Podpisy oddzielone (w osobnym pliku) - tworzony jest osobny plik z podpisem
  o rozszerzeniu *.sof, np. dla dokumentu `dokument.doc' po podpisaniu utworzony zostanie dodatkowy plik z podpisem `dokument.doc.sof';

• Podpisy razem z danymi w jednym pliku - w przypadku dokumentów MS Office podpis umieszczany jest wewnątrz pliku dokumentu, natomiast dla plików innych niż dokumenty MS Office, zarówno podpis jak i treść dokumentu zostają zapisane w osobnym pliku z rozszerzeniem .sof; po skasowaniu pliku oryginalnego jego zawartość może być odtworzona z pliku podpisanego.

Użytkownik ma możliwość wybrania algorytmu szyfrującego. Zbiór możliwych do wyboru algorytmów zależny jest od aktualnie ustawionego na zakładce Ogólne dostawcy usług kryptograficznych (CSP).

W sekcji Dodatkowy odbiorca przy szyfrowaniu użytkownik może wskazać klucz publiczny odbiorcy, dla którego dodatkowo, automatycznie będzie szyfrowany każdy dokument. W momencie włączenia opcji Zawsze szyfruj też dla: wyświetlone zostanie okienko z listą kluczy publicznych, spośród których należy wskazać jeden. Nazwa wybranego certyfikatu zostanie wyświetlona obok opcji. Od tej chwili podczas wszystkich operacji szyfrowania na liście odbiorców automatycznie będzie pojawiał się wybrany certyfikat. Za pomocą przycisku Pokaż certyf. można wyświetlić okienko z informacjami o tym certyfikacie.

CRL

Podczas podpisywania bądź szyfrowania pliku, certyfikaty są weryfikowane certyfikatem wystawcy, sprawdzana jest ich ważność oraz to, czy nie zostały odwołane przez właściciela. W przypadku odwołania, certyfikat zostaje umieszczony na liście certyfikatów odwołanych (Certificate Revocation List - CRL). Listy te są dostępne na serwerach wystawców certyfikatów. Program SecOffice w trakcie weryfikacji certyfikatów korzysta z tych list.

Na tej zakładce użytkownik może określić adresy URL do plików zawierających CRL lub też,
w przypadku gdy posiada pliki .crl zapisane na dysku, możliwe jest wskazanie ścieżek do plików dyskowych. Program obsługuje także szyfrowany protokół HTTPS. Rozpoznanie typu lokalizacji następuje automatycznie na podstawie formatu adresu:

• http:// - zwykły adres WWW,

• https:// - adres WWW z połączeniem szyfrowanym (SSL),

• pozostałe (np. c:\lista.crl) - ścieżka do pliku na dysku.

Wpisane ścieżki można edytować przez podwójne kliknięcie („doubleclick”).

Istnieje także możliwość ustawienia częstotliwości pobierania CRL:

• Pobieraj CRL przed każdym użyciem certyfikatów - przy każdej operacji program będzie pobierał listy z adresów podanych i zaznaczonych
  w okienku `Lokalizacje pobierania CRL',

• Pobieraj CRL przed pierwszym użyciem certyfikatów - program pobierze CRL
  ze wskazanych miejsc tylko przy pierwszym użyciu certyfikatów po każdym uruchomieniu programu.

Rys. 33

W przypadku tych dwóch opcji pobrane zostaną CRL tylko z wybranych lokalizacji (zaznaczone pole
przy adresie).

W przypadku, gdy żadna z powyższych opcji nie będzie zaznaczona, użytkownik sam musi dokonać pobrania CRL dla używanych certyfikatów (przez naciśnięcie przycisku Pobierz po ustawieniu odpowiedniego adresu lub ścieżki).

Przycisk Pobierz działa dla aktualnie wybranego i podświetlonego adresu lub (jeżeli żaden adres nie jest podświetlony) dla wybranych adresów (z zaznaczonymi polami wyboru
przy adresie).

Rejestracja

Zakładka ta została opisana w rozdziale Rejestracja programu.

Komunikaty błędów

W czasie pracy z programem użytkownik może spotkać się z informacjami o błędach, które mogą być spowodowane niewłaściwym korzystaniem z programu, przerwaniem wykonywania akcji koniecznej w dalszej części operacji kryptograficznej, itp.

Okienko z komunikatem zawsze zawiera krótki opis błędu (Rys. 34). Dodatkowo może wystąpić systemowy kod błędu oraz opis w języku angielskim generowany automatycznie przez system operacyjny.

Rys. 34

Jeżeli komunikat będzie niezrozumiały, więcej informacji użytkownik może znaleźć w tabeli 1,
w której zostały zebrane najważniejsze błędy mogące wystąpić w czasie pracy z programem. Informacje na temat błędów nie zamieszczonych w tabeli lub dokładniejszą diagnozę błędu użytkownik może uzyskać kontaktując się z producentem programu.

Tabela 1

Komunikat błędu	Przyczyna wystąpienia
Błędny format lub nieodpowiedni numer wersji pliku .SOF	Uszkodzenie pliku SOF. Próba otwarcia pliku z rozszerzeniem SOF utworzonego przez program inny niż SecOffice (konflikt rozszerzeń). Próba otwarcia pliku SOF utworzonego za pomocą starszej wersji programu.
Błąd importu listy CRL	Pobierany plik nie jest poprawnym plikiem CRL
Błąd pobierania listy CRL	Niepoprawny adres URL do pliku CRL
Błąd kopiowania pliku listy CRL	Niepoprawna ścieżka lub nazwa pliku CRL
Błąd podłączenia do CSP klucza prywatnego	Problem z dostępem do klucza prywatnego (np. brak klucza prywatnego, brak w czytniku karty z kluczem prywatnym, niepoprawny PIN, itp.). Problem z dostępem do modułu CSP (np. uszkodzenie lub brak pliku systemowego).
Błąd podłączenia do CSP	Problem z dostępem do modułu CSP (np. uszkodzenie lub brak pliku systemowego). Brak uprawnień do korzystania z wybranego CSP. Wybór niewłaściwego CSP w konfiguracji programu.
Błąd podpisywania skrótu	Brak dostępu do klucza prywatnego. Uszkodzony klucz prywatny.
Błąd importu klucza sesji	Próba odszyfrowania pliku zaszyfrowanego algorytmem niedostępnym w CSP skojarzonym z certyfikatem użytkownika. Brak dostępu do klucza prywatnego. Uszkodzony klucz prywatny.
Błąd importu klucza publicznego	Próba użycia certyfikatu wykorzystującego algorytm asymetryczny lub długości kluczy niedostępne w aktualnie ustawionym CSP.

Kontakt z producentem

Centrum Inżynierii Bezpieczeństwa
Systemów Komputerowych i Telekomunikacyjnych

SOTEL

41-506 Chorzów

ul. Długa 1

tel.(32) 247 28 20 wew. 410

tel./fax (32) 246 56 49

e-mail: comsec@sotel.com.pl

www.sotel.com.pl

SecOffice 1.5 - Instrukcja użytkownika 4

---