Guida Rapida all`utilizzo dell`applicazione - BancaIdentity
Transcript
Guida Rapida all`utilizzo dell`applicazione - BancaIdentity
Guida Rapida all’utilizzo dell’applicazione: Actalis FILE PROTECTORTM INDICE Guida Rapida all’utilizzo dell’applicazione: Actalis FILE PROTECTORTM _______________0 1 Introduzione ___________________________________________________________2 1.1 2 Primo avvio____________________________________________________________3 2.1 3 8 Decrittografare e verificare un documento cifrato e firmato_____________________ 31 Il database personale dei certificati _______________________________________35 7.1 Importazione del certificato Certification Authority ___________________________ 35 7.2 Importazione dei certificati Utility________________________________________ 44 La marca temporale____________________________________________________51 8.1 9 Verificare un documento firmato ________________________________________ 26 La decrittografia con verifica firma _______________________________________31 6.1 7 Firmare e crittografare un documento ____________________________________ 19 La verifica della firma __________________________________________________26 5.1 6 Firmare un documento _______________________________________________ 10 La firma con crittografia ________________________________________________19 4.1 5 Configurazione ______________________________________________________3 La firma digitale_______________________________________________________10 3.1 4 Scopo del documento _________________________________________________2 Apporre una marca temporale su un documento _____________________________ 51 Configurazione connessioni ______________________________________________53 9.1 Configurare il collegamento alla CA per lo scarico della CRL ___________________ 53 9.2 Configurare il collegamento al server di marca temporale ______________________ 56 1 1 Introduzione 1.1 Scopo del documento La presente “Guida Rapida all’utilizzo dell’applicazione: ACTALIS FILE PROTECTORTM” ha l’obiettivo di orientare l’utente ad un utilizzo immediato delle funzionalità base di File Protector. Il documento non è da considerarsi come sostitutivo del manuale fornito con l’applicazione, “File Protector Guida all’uso di File Protector v3x”, in alcuna sua parte e si rimanda ad esso in caso di chiarimenti e/o approfondimenti. 2 2 Primo avvio In questo capitolo vengono descritte le azioni da effettuare per configurare FILE PROTECTOR (nel seguito FP) in modo da attivarlo all’utilizzo immediato. Tutte le operazioni descritte sono da eseguire solamente al primo utilizzo, successivo all’installazione dell’applicazione. 2.1 Configurazione FP può essere avviato da menù START, PROGRAMMI, ACTALIS , FILE PROTECTOR 3.0 Figura n° 1 avvio di File Protector dalla barra delle applicazioni oppure dall’icona presente sul desktop: Figura n° 2 avvio di File Protector da Desktop 3 FP si avvia presentando la seguente immagine: Figura n° 3 avvio di File Protector Al primo avvio appare il messaggio: Figura n° 4 primo avvio: assenza di utenze configurate che invita l’utente a creare un nuovo profilo. Questa operazione consente di riservare un’area personale in cui vengono immagazzinati sia i certificati utente che delle Certification Authority utilizzati nelle diverse attività. Cliccando su OK appare la finestra per la configurazione del profilo, dove è necessario impostare il nome dell’utenza e scegliere una password di accesso: 4 Figura n° 5 configurazione del profilo di utenza La correttezza della configurazione viene segnalata dal seguente messaggio: Figura n° 6 profilo utente creato con successo Infine, selezionando OK, si ha accesso all’applicazione FP che si presenta come in figura: Figura n° 7 File Protector Il successivo passo per concludere la configurazione di FP è la scelta del dispositivo: ovvero l’impostazione del tipo di smart card che si è ricevuto in dotazione. IMPORTANTE la configurazione del dispositivo deve essere eseguita inserendo prima la smart card nel lettore. La smart card deve essere inserita con il microchip rivolto verso l’alto ed è inserita correttamente quando il led verde del lettore lampeggia. 5 Questa operazione si effettua dal menù DISPOSITIVO, CONFIGURAZIONE: Figura n° 8 configurazione Smart Card Selezionare l’opzione HARDWARE e cliccare sul pulsante IMPOSTARE AUTOMATICAMENTE (SE POSSIBILE); Figura n° 9 impostazione modello Smart Card Selezionando il primo pulsante a sinistra dell’applicazione si attiva la lettura del contenuto della smart card: Figura n° 10 accesso al contenuto della Smart Card ed appare la finestra di login; se non si è effettuata l’impostazione del dispositivo, dopo alcuni istanti, compare il seguente messaggio di errore: 6 Figura n° 11 accesso alla Smart Card fallito In questo caso è necessario scegliere il menù DISPOSITIVO, CONFIGURAZIONE ed effettuare il controllo delle impostazioni selezionate. 7 Se FP è stato configurato correttamente, cliccando sul pulsante di LOGIN compare la finestra: Figura n° 12 richiesta PIN di accesso alla Smart Card contraddistinta dal messaggio “DISPOSITIVO INSERITO” seguito da un visto verde. Per poter accedere al contenuto della smart card è necessario digitare il suo PIN nella casella di testo e selezionare il pulsante OK. IMPORTANTE il PIN della smart card è composto nel seguente modo: o leprimetrecifresonoriportatesullalettera accompagnatoria del kit cliente alla voce “PIN della carta”; ad esempio: 123xxxxx. o a queste cifre vanno aggiunte quelle contenute nella busta disicurezzaconsegnataall’utenteall’attodella registrazione; se ad esempio il codice segreto della busta è 87654 il PIN della smart card sarà 12387654. 8 Per interrompere la consultazione del contenuto della smart card selezionare il primo pulsante a sinistra di FP e confermare l’uscita. Figura n° 13 uscita dalla Smart Card A questo punto FP è pronto per esse utilizzato in tutte le sue funzionalità: firmare un documento; firmare e crittografare un documento, busta crittografica; verificare la firma di un documento; decrittografare e verificare una busta crittografica; gestire il database personale dei certificati; apporre una marca temporale; gestire la configurazione delle connessioni; 9 3 La firma digitale Nel presente capitolo vengono descritti tutti i passi necessari per ottenere la firma di un documento, in modo da salvaguardarne e garantirne l’integrità e l’autenticità. 3.1 Firmare un documento FP permettere di accedere alle funzionalità di firma attraverso il secondo pulsante da sinistra: Figura n° 14 pulsante firma documento oppure da menù FILE, FIRMA: Figura n° 15 menù firma 10 L’applicazione in prima istanza richiede di selezionare il file da sottomettere alla firma; in questo caso si è scelto il file “prova firma.txt” residente nella directory “Documenti”: Figura n° 16 selezione documento da firmare Selezionando APRI, FP propone la posizione in cui salvare il file firmato. Figura n° 17 predisposizione file da firmare 11 Come si può notare dalla casella di testo, contrassegnata da “SPECIFICARE LA POSIZIONE IN CUI SALVARE IL DOCUMENTO FIRMATO:”, FP propone automaticamente la cartella “DOCUMENTI\FIRMATI” contenuta all’interno della directory d’installazione dell’applicativo: Figura n° 18 percorso directory file firmati è possibile scegliere una diversa posizione attraverso il pulsante SFOGLIA... Il pulsante APRI IL DOCUMENTO... permette di controllare il contenuto del documento prima che questo venga firmato. Gli option button DER (BINARIO), PEM (BASE64), consentono di scegliere il formato con cui verrà generato il documento firmato. 12 Per procedere alla firma del file prescelto è necessario selezionare il pulsante AGGIUNGI FIRMA...; in questo caso FP richiede l’accesso alla smart card che deve essere inserita correttamente nel lettore: Figura n° 19 accesso alla smart card per firma Digitare il PIN della smart card e selezionare il pulsante OK; Se si presenta il seguente messaggio: Figura n° 20 certificato emittente non censito significa che nel database personale dell’utente non è presente il certificato della Certification Authority che ha emesso la credenziale del firmatario. In questo caso è necessario procedere all’importazione del 13 certificato dell’emittente, seguendo le operazioni descritte nel par. 7.1 “Importazione del certificato Certification Authority”. IMPORTANTE il database dei certificati è personale; questo significa che ogni utenza di FP ha un suo database ed i certificati importati da un utente non vengono condivisi. Ogni utente deve quindi provvedere ad aggiornare il proprio database con i certificati con cui si trova ad operare. La seguente segnalazione: Figura n° 21 certificato utente scaduto si manifesta quando il certificato di tipo Identity, contenuto nella smart card è scaduto. In questo caso è necessario ripetere l’operazione di firma utilizzando la smart card contenente il certificato rinnovato. IMPORTANTE il rinnovo del certificato scaduto e non sospeso, avviene automaticamente e l’utente riceve una nuova smart card contenete il certificato aggiornato. Il PIN della smart card non corrisponde a quello contenete il certificato scaduto ed è composto come segue: o le prime tre cifre sono riportate sulla lettera accompagnatoria del kit cliente alla voce “PIN della carta”; ad esempio: 123xxxxx. o a queste cifre vanno aggiunte quelle contenute nella busta di sicurezza consegnata all’utente all’atto della registrazione; se ad esempio il codice segreto della busta è 87654 il PIN della smart card sarà 12387654. 14 Selezionando AGGIUNGI FIRMA... FP richiede nuovamente il PIN della smart card: Figura n° 22 firma documento - richiesta PIN smart card Se si digita un pin errato compare il messaggio: Figura n° 23 PIN errato IMPORTANTE la smart card è in grado di memorizzare il numero di volte che si è digitato un PIN errato. Questo numero viene azzerato appena si digita il PIN corretto ma se si effettuano 4 tentativi errati, consecutivi, la smart card si blocca inibendo ogni suo utilizzo. 15 Nel caso la smart card sia bloccata viene visualizzato il messaggio: Figura n° 24 smart card bloccata in questo caso vengono inibite tutte le sue funzionalità. N.B.: Per la procedura di sblocco della smart-card, fare riferimento all’apposito paragrafo del Manuale Cliente Dopo aver digitato correttamente il PIN ed aver selezionato OK, il documento “prova firma.txt” viene firmato con le credenziali contenute nella smart card utilizzata: Figura n° 25 firma documento 16 La figura sopra fornisce l’esito ed un riepilogo dell’operazione di firma, infatti da questa si può dedurre che: o il visto verde nella casella FIRMA conferma che il file “prova firma.txt” è stato correttamente firmato; o il documento è stato firmato dal Sig. Rossi il 22/11/2005 alle ore 17,31; o la firma è stata generata utilizzando la credenziale di tipo Identity; o il documento firmato si chiama “prova firma.txt.p7m”. N.B.: per evitare di cancellare il file firmato è necessario selezionare il pulsante Salva. Se si seleziona annulla o la “x” in alto a destra, il documento firmato non viene salvato e per rigenerarlo sarà necessario ripetere tutta la procedura di firma Selezionare il pulsante SALVA per salvare il documento firmato: Figura n° 26 salvataggio file documento firmato 17 A questo punto il file “prova firma.txt.p7m” è pronto per essere utilizzato da ogni procedura capace di verificarne la sua integrità ed autenticità. Figura n° 27 documento firmato 18 4 La firma con crittografia Il presente capitolo descrive tutte le azioni da compiere per firmare e crittografare un documento, in modo da garantirne l’integrità, l’autenticità e la riservatezza. 4.1 Firmare e crittografare un documento FP permette di accedere alle funzionalità di firma attraverso il quarto pulsante: Figura n° 28 pulsante firma e crittografia documento oppure da menù FILE, FIRMA E CIFRA: Figura n° 29 menù firma e crittografia 19 La prima operazione da effettuare è la selezione del file da sottomettere alla firma e da crittografare; in questo caso si è scelto il file “prova firma crittografia.txt” residente nella directory “Documenti”: Figura n° 30 selezione documento da firmare e crittograficare Dopo aver selezionato APRI, si accede alla videata di gestione della firma e crittografia: Figura n° 31 avvio firma e crittografia senza smart card 20 La prima azione da compiere è avviare la firma del documento prescelto selezionando il pulsante AGGIUNGI FIRMA … Se a questo punto si seleziona erroneamente il tasto AVANTI > FP procede alla sola crittografia del file, impedendo l’apposizione della firma: Figura n° 32 avvio crittografia senza firma Selezionando il pulsante AGGIUNGI FIRMA … l’applicazione richiede l’inserimento della smart card contenete la credenziale Identity: Figura n° 33 richiesta pin accesso smart card 21 Dopo aver digitato il pin di accesso alla smart card e aver selezionato OK, viene richiesto nuovamente il pin della smart card per accedere alla credenziale Identity e poter avviare la firma del documento: Figura n° 34 richiesta pin accesso credenziale Identity Nel caso in cui si utilizzi una smart card contenete un certificato Identity scaduto, si presenta il seguente messaggio: Figura n° 35 firma errata certificato Identity scaduto 22 Al termine della firma del documento, FP riporta gli estremi del firmatario, la data e ora di apposizione e la conferma della correttezza dell’operazione: Figura n° 36 firma conclusa correttamente A questo punto si può procedere alla crittografia del file prescelto, selezionando il pulsante AVANTI > per accedere al pannello di controllo della crittografia. N.B.: Per cifrare un documento è necessario disporre della chiave pubblica del destinatario al quale si vuole inviare il documento. Cifrare un documento significa dare certezza a chi riceve della confidenzialità del documento. Chi riceve, tramite la propria chiave privata sarà il solo in grado di aprire il documento. Pertanto sarà necessario avere nel database dei certificati di file protector, le chiavi pubbliche delle persone (certificati di Utility dei destinatari) alle quali andranno inviati i documenti. In caso non fossero presenti, (lista dei destinatari di File Protector vuota) riferirsi alla presente Guida Rapida cap. 7.2 per effettuarne il caricamento. 23 Il processo di crittografia viene attivato scegliendo i destinatari da abilitare alla decrittografia e selezionando il pulsante AGGIUNGI >: Figura n° 37 avvio crittografia documento firmato A questo punto viene generato il file “prova firma crittografia.txt.p7e”, contenete il documento firmato e crittografato. Figura n° 38 fine processo firma e crittografia documento IMPORTANTE per evitare di cancellare il file firmato e crittografato è necessario selezionare il pulsante SALVA. Se si seleziona annulla o la “x” in alto a destra, il documento firmato e crittografato non viene salvato e per rigenerarlo sarà necessario ripetere tutta la procedura di firma e crittografia. 24 Selezionare il pulsante SALVA per salvare il documento firmato e crittografato: Figura n° 39 salvataggio documento firmato e crittografato in questo modo viene creato il file “prova firma crittografia.txt.p7e” nella directory riportata nella figura seguente Figura n° 40 percorso directory file firmati e crittografati ed è pronto per essere utilizzato da ogni procedura capace di decrittografarlo e verificarne la sua integrità ed autenticità. 25 5 La verifica della firma In questo capitolo vengono descritte tutte le azioni da compiere per verificare la firma apposta su un documento, in modo da accertarne l’integrità e valutare l’autenticità del firmatario. 5.1 Verificare un documento firmato È possibile accedere alle funzionalità di verifica firma attraverso il terzo pulsante da destra: Figura n° 41 pulsante verifica documento oppure da menù FILE, APRI BUSTA: Figura n° 42 menù apri busta 26 FP in prima istanza richiede di selezionare il file da sottoporre al processo di verifica: Figura n° 43 selezione documento da verificare Come si può notare dalla figura precedente i documenti firmati hanno di solito estensione “.p7m” ma potrebbero anche non avere alcuna estensione. In ogni caso, se si sottopone al processo di verifica un file non firmato si manifesta il seguente messaggio: Figura n° 44 selezione documento non firmato 27 Selezionando un documento firmato, FP procede automaticamente alla verifica della firma e, al termine presenta la seguente finestra riepilogativa: Figura n° 45 verifica firma documento Da questa videata si può concludere che la firma contenuta nel file “prova firma.txt.p7m”, apposta da Rossi Renato, in data 22/11/2005, alle 17,31 e 41 secondi è valida e quindi il documento “prova firma.txt” è integro. Se diversamente ad un visto verde la finestra della verifica firma riporta una “x” rossa: Figura n° 46 verifica firma errata 28 significa che la firma NON è valida e che il documento in nostro possesso NON è integro, cioè non corrisponde a quello firmato da Rossi Renato. IMPORTANTE fino a questo punto si è solamente accertata l’integrità del documento firmato e nulla si può dire riguardo la sua autenticità. Per verificarne l’autenticità in modo da accertare che la firma appartenga effettivamente al firmatario e non sia apocrifa è necessario procedere alla verifica del certificato firmatario. Selezionando il pulsante VERIFICA FIRMATARIO … si avvia il processo di verifica del certificato firmatario: l’applicazione presenta una finestra da cui si può accedere a tutti i particolari del certificato firmatario. Figura n° 47 verifica formale certificato firmatario In questo caso è possibile operare sul certificato la verifica: o formale, ovvero constatarne la sua validità temporale; o sostanziale cioè accertare che il certificato sia stato effettivamente emesso dalla Certification Authority dichiarata nella casella di testo ISSUER: Come si può notare dalla figura precedente, non è possibile verificare se il certificato è stato revocato o meno perché non è stato possibile verificare la CRL. 29 IMPORTANTE per completare in modo integrale la verifica del firmatario è CERTIFICATI seguendo le operazioni necessario abilitare la VERIFICA descritte nel paragrafo 9.1. Solo ultimando la verifica della CRL è possibile constatare che il certificato non è stato revocato, almeno al momento di apposizione della firma, in modo da ritenere la stessa legalmente valida. Se la VERIFICA FIRMATARIO … produce la seguente videata: Figura n° 48 certificato firmatario scaduto significa che il certificato del firmatario è scaduto al momento della verifica ma era formalmente valido al momento della sua apposizione. In questo caso rimane legittima la validità formale e sostanziale del certificato e, previo controllo della CRL, la firma resta legalmente valida. Per salvare il contenuto del documento verificato è necessario selezionare il pulsante SALVA: Figura n° 49 salvataggio file verificato 30 6 La decrittografia con verifica firma Il presente capitolo descrive tutte le azioni da compiere per decrittografare e verificare la firma di un documento, in modo da valutarne, in riservatezza, l’integrità e l’autenticità. IMPORTANTE per decrittografare un documento firmato e crittografato con il proprio certificato Utility è necessario utilizzare la smart card che lo contiene. È fondamentale averne cura, conservandola, anche quando il certificato è scaduto e la smart card viene sostituita con un’altra aggiornata. La decrittografia non è vincolata alla durata temporale del certificato. 6.1 Decrittografare e verificare un documento cifrato e firmato È possibile accedere alle funzionalità di decrittografia e verifica firma attraverso il terzo pulsante da destra: Figura n° 50 pulsante decrittografia e verifica documento oppure da menù FILE, APRI BUSTA: Figura n° 51 menù apri busta 31 FP in prima istanza richiede di selezionare il file da sottoporre al processo di decrittografia e verifica: Figura n° 52 selezione documento crittografato e firmato Per decrittografare un documento è necessario inserire nel lettore la smart card, contenete la credenziale Utility, prima di selezionare il file; in caso contrario si manifesta il seguente messaggio: Figura n° 53 smart card con credenziale Utility non presente 32 Dopo aver scelto il file crittografato e firmato ed aver inserito la smart card, selezionando il pulsante APRI viene richiesto il pin di accesso alla smart card: Figura n° 54 accesso smart card digitando il PIN della smart card e selezionando OK si attiva la decrittografia e la verifica del file prescelto. A questo punto FP presenta la seguente videata riepilogativa: Figura n° 55 decrittografia e verifica firma documento corretta Da questa si può concludere che il documento è stato decrittografato e che la firma apposta da Rossi Renato, in data 06/06/2006, alle 15,08 e 07 secondi è valida e quindi il documento è integro ed autentico. Selezionando il pulsante VERIFICA FIRMATARIO … si avvia il processo di verifica del certificato firmatario in modo del tutto analogo a quanto riportato nel capitolo precedente; 33 Selezionando APRI IL DOCUMENTO … è possibile accedere al contenuto, in chiaro, del documento mentre per salvarlo è necessario selezionare il pulsante SALVA: Figura n° 56 salvataggio file decrittografato e verificato 34 7 Il database personale dei certificati In questo capitolo vengono descritte tutte le azioni necessarie per effettuare l’importazione dei certificati delle Certification Authority e dei destinatari dei documenti crittografati. IMPORTANTE l’importazione nel database personale di certificati di CA, permette di validare automaticamente i certificati firmatari emessi dalle stesse. È quindi un’operazione importante dal punto di vista della sicurezza e deve essere eseguita solo se si è certi che il certificato è autentico ed appartiene ad un CA fidata. Per ulteriori informazioniconsultareilmanualediFP. Si ricorda inoltre che il database dei certificati è personale; questo significa che ogni utenza di FP ha un suo database ed i certificati importati da un utente non vengono condivisi. Ogni utente deve quindi provvedere ad aggiornare il proprio database con i certificati con cui si trova ad operare. 7.1 Importazione del certificato Certification Authority Il presente paragrafo descrive le operazioni da compiere per: o estrarre dalla propria smart card il certificato della CA che ha emesso le credenziali Identity e Utility; o importare nel data base personale dei certificati il certificato della CA estratto. Per visualizzare il contenuto della smart card, dopo averla inserita nel lettore ed aver digitato il pin di accesso, è necessario selezionare il menù STRUMENTI E OPZIONI, KEY MANAGER: Figura n° 57 Key Manager – gestione credenziali/certificati 35 L’applicazione attiva una finestra che riporta il contenuto della smart card inserita: Figura n° 58 Key Manager contenuto della smart card Come si può notare dalle figura, in questo caso la smart card contiene: o due certificati di CA indicati con CA CERTIFICATE e LEVEL 1 CERTIFICATE; o una credenziale Identity, IDENTITY CERTIFICATE, per la firma elettronica; o una credenziale Utility, UTILITY CERTIFICATE, per la crittografia e la decrittografia; 36 L’obbiettivo di questo paragrafo è quello di abilitare la credenziale Identity, alla firma di documenti e per farlo è necessario esportare i certificati delle due Certification Authority che l’hanno emessa. L’esportazione si avvia cliccando con il tasto destro del mouse, sul certificato selezionato e selezionando la voce ESPORTA… dal menù a tendina: Figura n° 59 esportazione certificato emittente certificatore In questo modo FP richiede il nome da assegnare al certificato da esportare: Figura n° 60 salvataggio su file certificato - emittente certificatore 37 Selezionando il pulsante ESPORTA il certificato selezionato viene salvato, in formato PEM, nel file chiamato CAEMITTENTE. Figura n° 61 salvataggio su file certificato - sub emittente certificatore Effettuando le stesse operazioni sul secondo certificato della CA lo si esporta generando il file CAEMITTENTELIVELLO1. IMPORTANTE FP permette di gestire certificati salvati in file senza alcuna estensione. Solitamente è buona norma associare ai file contenete certificati l’estensione “.crt” oppure “.cer”. In questo modo il sistema operativo interpreta tali file come certificati ed è più agevole utilizzarli anche in altre applicazioni come, ad esempio, Internet Explorer. 38 Selezionando OK si conferma la correttezza dell’esportazione: Figura n° 62 salvataggio certificati corretto A questo punto, per importare nel database personale i certificati appena estratti, è necessario selezionare il menù STRUMENTI E OPZIONI, DATABASE CERTIFICATI: Figura n° 63 accesso da menù al database personale certificati oppure selezionare il secondo pulsante da destra: Figura n° 64 accesso al database personale certificati 39 FP propone quindi la videata riepilogativa dei certificati delle autorità di certificazione, già contenuti nel data base personale associato all’utente: Figura n° 65 database personale dei certificati 40 Azionando il pulsante IMPORTA DA FILE, si avvia l’importazione del certificato CAEMITTENTE: Figura n° 66 importazione certificato - emittente certificatore Dopo aver selezionato IMPORTA, l’applicazione conferma il successo dell’operazione presentando la seguente finestra: 41 Figura n° 67 conferma importazione certificato Leggere attentamente il messaggio proposto e confermare selezionando SI. 42 Infine FP conferma la correttezza dell’importazione. Figura n° 68 importazione certificato corretta Selezionare OK e ripetere tutti i passi descritti dalla figura n°. 66 in poi, per importare il certificato della CA secondaria. 43 7.2 Importazione dei certificati Utility Per importare il certificato di una persona a cui si vuole destinare un documento riservato, è necessario selezionare il menù STRUMENTI E OPZIONI, DATABASE CERTIFICATI: Figura n° 69 accesso da menù al database personale certificati oppure selezionare il secondo pulsante da destra: Figura n° 70 accesso da menù al database personale certificati 44 FP propone quindi la videata riepilogativa dei certificati delle autorità di certificazione, già contenuti nel data base personale associato all’utente: Figura n° 71 database personale certificati autorità di certificazione 45 Selezionando l’opition button TIPO DI ENTITÀ, UTENTI FINALI, si accede alla sezione del database personale riservata ai certificati dei destinatari dei documenti crittografati: Figura n° 72 database personale certificati utenti finali 46 In fase di primo utilizzo il data base è vuoto e per procedere all’importazione è necessario selezionare il pulsante IMPORTA DA FILE: Figura n° 73 importazione certificato utente per crittografia A questo punto è possibile scegliere il certificato da importare, selezionando il pulsante SFOGLIA… 47 Selezionare APRI per avviare l’importazione: Figura n° 74 selezione certificato utente per crittografia Se il certificato da importare ha un’estensione diversa da “.cer” è necessario scegliere come TIPO FILE, TUTTI I FILE: Figura n° 75 selezione certificato utente per crittografia estensione .crt e scegliere il file opportuno. 48 Selezionando IMPORTA: Figura n° 76 importazione certificato il certificato scelto viene importato nel database personale dei certificati. Figura n° 77 importazione certificato corretta 49 Dopo aver confermato la correttezza dell’importazione è possibile visualizzare gli estremi del certificato immesso nel database: Figura n° 78 archiviazione certificato utente per crittografia A questo punto il certificato è pronto per essere inserito fra i destinatari dei documenti riservati. 50 8 La marca temporale Il presente paragrafo riporta tutte le operazioni da effettuare per apporre su un documento, una marca temporale a valore legale. 8.1 Apporre una marca temporale su un documento È possibile accedere alle funzionalità di marcatura temporale attraverso il primo pulsante da destra: Figura n° 79 pulsante marcatura temporale oppure da menù FILE, RICHIEDI MARCA TEMPORALE: Figura n° 80 menù richiedi marca temporale 51 FP in prima istanza richiede di selezionare il file su cui apporre la marca temporale: Figura n° 81 selezione documento da marcare Selezionando APRI si avvia il processo di marcatura; se compare il messaggio: Figura n° 82 errore di connessione significa che FP non è opportunamente configurato per connettersi all’autorità di certificazione temporale; per rimediare a questa situazione è necessario seguire le operazioni illustrate nel paragrafo 9.2. 52 9 Configurazione connessioni In questo capitolo vengono descritte tutte le azioni necessarie per configurare FP in modo da attivare: o la verifica on line dei certificati firmatari, con controllo di eventuale revoca pubblicata sulla Certificate Revocation List (CRL); o il collegamento alla CA di Timestamping 9.1 Configurare il collegamento alla CA per lo scarico della CRL Per configurare il collegamento alla CA è necessario selezionare il menù STRUMENTI E OPZIONI, PREFERENZE: Figura n° 83 menù preferenze 53 In questo modo l’applicazione attiva una finestra che riporta tutti i sui parametri di configurazione: Figura n° 84 impostazione directory predefinite Selezionando la linguetta VERIFICA CERTIFICATI: Figura n° 85 attivazione verifica certificati firmatari è possibile scegliere i PROTOCOLLI e la MODALITÀ DI ACCESSO ALLA CRL; selezionando l’option button ON-LINE si attiva il controllo di un’eventuale revoca del certificato firmatario, con la consultazione, in tempo reale, del contenuto della CRL direttamente alla CA emittente. Quest’operazione offre la massima garanzia sull’attendibilità ed autenticità del certificato. 54 Attraverso la linguetta SERVER PROXY è possibile impostare i parametri per la connessione a Internet e per la loro corretta configurazione è necessario rivolgersi ad un sistemista. Figura n° 86 impostazione connessioni 55 9.2 Configurare il collegamento al server di marca temporale Per configurare il collegamento alla CA di Timestamping è necessario selezionare il menù STRUMENTI E OPZIONI, PREFERENZE: Figura n° 87 menù preferenze In questo modo l’applicazione attiva una finestra che riporta tutti i sui parametri di configurazione: Figura n° 88 impostazione preferenze 56 Selezionando la linguetta Timestamping: è possibile impostare i parametri di configurazione per attivare il servizio di marcatura temporale; per reperire il loro corretto valore, è necessario far riferimento all’Help Desk dedicato. Figura n° 89 attivazione servizio di marcatura temporale Fine documento. 57 Quick reference Use of the Application: Actalis FILE PROTECTORTM INDICE Quick use of the application: Actalis FILE PROTECTORTM _______________0 1 Introduction ___________________________________________________________2 1.1 2 First start____________________________________________________________3 2.1 3 8 Decrypt and verify encrypted and signed a document_____________________ 31 The personal database of certified _______________________________________35 7.1 Importing the certificate Certification Authority ___________________________ 35 7.2 Import Certificate Utility________________________________________ 44 The timestamp____________________________________________________51 8.1 9 Verify a signed document ________________________________________ 26 The decryption with signature verification _______________________________________31 6.1 7 Sign and encrypt a document ____________________________________ 19 The signature verification __________________________________________________26 5.1 6 Signing a document _______________________________________________ 10 The signature encryption ________________________________________________19 4.1 5 Configuration ______________________________________________________3 The digital signature_______________________________________________________10 3.1 4 Document goals _________________________________________________2 Affix a time stamp on a document _____________________________ 51 Configuring connections ______________________________________________53 9.1 Configure the connection to the CA for the discharge of the CRL ___________________ 53 9.2 Configure the connection to the server timestamp ______________________ 56 1 1 Introduction 1.1 Document Goals This "Quick Reference Guide to the use of the application: ACTALIS FILE PROTECTORTM" aims to direct the user to an immediate use of the basic functions of File Protector. The document is not considered as a substitute in the manual supplied with the application, "File Protector File User's Guide V3x Protector ", in its entirety and refer to it in case of clarifications and / or further details. 2 2 First start This chapter describes the actions to be performed to configure FILE PROTECTOR (in Following FP) so as to enable immediate use. All of the operations are to be performed only on first use, after installation of the application. 2.1 Configuration FP can be started from the START menu, PROGRAMS, ACTALIS, FILE PROTECTOR 3.0 Picture n° 1 Start from the taskbar File Protector or icon on the desktop: Picture n° 2 Start from the Desktop File Protector 3 FP starts up the following picture: Picture n° 3 Startup File Protector When you first start, the follow message appear: Picture n° 4 first boot: no users configured inviting the user to create a new profile. This allows you to reserve an area staff which are stored both user certificates that the Certificate Authority used in different activities. Clicking on OK appears the dialog for configuring the profile, where you must set the name user and choose a password: 4 Picture n° 5 configuration of the profile of users The correctness of the configuration is indicated by the following message: Picture n° 6 User profile created successfully Finally, select OK, you have access to the application that FP is as in the figure: Picture n° 7 File Protector The next step to complete the configuration of FP is the choice of the device: ie the setting the type of smart card that has been provided. IMPORTANT device configuration must be performed by inserting the smart card into the reader. The smart card must be Supplied with the microchip facing upward and is inserted correctly when the green led flashes of the player. 5 This can be done from the menu DEVICE CONFIGURATION: Picture n° 8 Smart Card configuration Select the HARDWARE and click on SET AUTOMATICALLY (IF POSSIBLE); Picture n° 9 setting model Smart Card Selecting the first button on the left of the application is active for reading the contents of the smart card Picture n° 10 access to the contents of the Smart Card and the login window appears, unless you are setting to the device, after a few moments, I get the following error message: 6 Picture n° 11 Access to Smart Card failed In this case you must choose the menu DEVICE, CONFIGURATION and make control settings. 7 If FP is configured correctly, clicking on the LOGIN button window appears: Picture n° 12 PIN required to access the Smart Card characterized by the message "DEVICE CONNECTED" followed by a green tick. To access the contents of the smart card is necessary to enter your PIN in the text box and click the button OK. IMPORTANT the smart card PIN is composed as follows: o The first three digits are shown on the letter accompanying the customer kit in the "PIN Card"; for example: 123xxxxx. o this must be added to those contained in the envelope security given to the user when registered, for example, if the secret code of the envelope is 87654 the smart card PIN is 12387654. 8 To stop browsing the contents of the smart card, select the first button to the left of FP and confirm the exit. Picture n° 13 Smart Card Exit At this point FP is ready for them used in all its features: Document signature sign and encrypt a document, the cryptographic envelope; verify the signature of a document; decrypt and verify a cryptographic envelope; manage the database of certified personnel; affix a time stamp; manage the configuration of connections; 9 3 The digital signature This chapter describes all steps necessary to obtain the signature of a document, to safeguard and ensure the integrity and authenticity. 3.1 Signing a document Allow access to the FP signature capabilities through the second button from the left: Picture n° 14 Button signed document or from the menu FILE, SIGNATURE: Pictura n° 15 Signature menu 10 The application in the first instance requires you to select the file to be submitted for signature, in which case it is choose the file "test firma.txt" resides in the directory "Documents": Picture n° 16 selection document to be signed If you select OPEN, FP propone the position to save the signed file. Picture n° 17 preparing files to be signed 11 As you can see from the text box, marked "SPECIFY THE POSITION IN WHICH SAVE THE DOCUMENT SIGNED: "FP will automatically select the folder" DOCUMENTS \ SIGNED "contained inside the installation directory of the application: Picture n° 18 signed files directory path You can choose a different location through the BROWSE button ... the button OPEN THE DOCUMENT ... allows you to control the content of the document before it is signed. The DER option button (TRACK), PEM (BASE64), allow you to choose the format to be generated the document signed. 12 To proceed with the signing of the chosen file you must select the ADD button SIGN ... and in this FP requires access to the smart card be properly inserted in the reader: Picture n° 19 Access to the smart card for signing Enter the PIN of the smart card and select the OK button; If the following message appears: Picture n° 20 certificate issuer uncensored means that the database is not personally present the certificate of the Certification Authority issued the credential of the petitioner. In this case it is necessary to import of certificate issuer, following the steps described in Sec. 7.1 "Certificate import Certification Authority ". 13 IMPORTANT the certificate database is personal, which means that each user has a database of FP and certificates imported from a users are not shared. Each user must provide for update its database with the certificates with which it finds itself operate. The following recommendation: Picture n° 21 user certificate expired occurs when the certificate of type Identity, contained in the smart card has expired. In this case is necessary to repeat the signature using the smart card containing the renewed certificate. IMPORTANT renewal of the expired certificate and not suspended, is automatically and the user receives a new smart card containing the updated certificate. The smart card PIN does not match that containing the certificate has expired and is composed as follows: o The first three digits are shown on the accompanying letter the customer kit in the "PIN Card" for example: 123xxxxx. o this must be added to those contained in the bag Security delivered to you at registration, if For example, the secret code of the envelope of the PIN is 87654 smart card will be 12387654. 14 Selecting ADD SIGNATURE ... FP requires the smart card PIN again: Picture n° 22 signing document - PIN, smart card If you enter an incorrect PIN message appears: Picture n° 23 incorrect PIN IMPORTANT the smart card is able to store the number of times that you typed an incorrect PIN. This number is reset when you type the correct PIN but if you make 4 unsuccessful attempts, times, the smart card is blocked by inhibiting its every use. 15 If the smart card is blocked is displayed: Picture n° 24 smart card locked in this case are inhibited from its full functionality. NB: For the procedure to unlock the smart-card, please refer to the specific paragraph of manual customer After you have typed the correct PIN and selecting OK, the document "Test firma.txt" is signed with the credentials contained in the smart card used: Picture n° 25 signing document 16 The figure above provides a summary of the outcome and the signature process, in fact, from this we can deduce that: o The green tick in the box SIGNATURE confirmation that the file "test firma.txt" was properly signed; o The document was signed by Mr. Smith on 22/11/2005 at 17.31; o the signature was generated using the credential type identity; o The signed document is called "proof firma.txt.p7m". NB: To avoid canceling the signed file you must select the Save button. If you select undo or "x" in the upper right, signed the document is not saved and will need to regenerate repeat the whole process of signature Select the SAVE button to save the signed document: Picture n° 26 Saving files document signed 17 At this point, the file "test firma.txt.p7m" is ready to be used by any procedure capable of verify its integrity and authenticity. Picture n° 27 Signed document 18 4 The signature encryption This chapter describes all the actions to take to sign and encrypt a document so to ensure the integrity, authenticity and confidentiality. 4.1 Sign and encrypt a document FP allows you to access the signature functionality through the fourth button: Picture n° 28 button, document signing and encryption or from the menu FILE, SIGNED AND FIGURES: Picture n° 29 menu signature and encryption 19 The first task is to select the files to be submitted for signature and encryption, in Here we have chosen the file "test signature crittografia.txt" resides in the directory "Documents": Picture n° 30 selection document to sign and encrypt After you select Open, you access the management screen of signature and encryption: Picture n° 31 Start signing and encryption without smart card 20 The first action to take is to start signing the document by selecting the desired ADD SIGNATURE at this point ... If you mistakenly select the NEXT button> FP shall only encryption of files, preventing the signing: Picture n° 32 Start encryption unsigned Selecting the ADD button SIGN ... the application requires the insertion of the smart card containing the identity credential: Picture n° 33 request pin Smart Card Logon 21 After entering the PIN access to the smart card and selecting OK, you are prompted again pin smart card identity credential for access to and be able to start signing the document: Picture n° 34 request access credential pin Identity In the case where you use a smart card containing a certificate Identity elapsed, it has the following message: Picture n° 35 Identity certificate expired wrong signature 22 After signing the document, FP shows the details of the signatory, the date and time of affixing and confirms the correctness of the operation: Picture n° 36 signing properly completed At this point you can proceed to the encryption of the chosen file, selecting the NEXT button> to access the control panel of cryptography. NB: To encrypt a document you must have the recipient's public key to which wants to send the document. Encrypting a document is to give certainty to those who receive the confidentiality of the document. The receiver using his private key will only be able to open the document. So it would have in the certificate database file protector, the public keys of persons (Utility certificates of recipients) will be sent to such documents. If not present, (list of recipients File Protector empty) refer to this Guide Quick cap. 7.2 to load it. 23 The encryption process is activated by selecting the recipients to enable the decryption and selecting ADD button>: Picture n° 37 Start encrypting the signed document At this point generates the file "test signature crittografia.txt.p7e", containing the document signed and encrypted. Picture n° 38 end of the process document signing and encryption IMPORTANT to avoid deleting the file is encrypted and signed It must select the SAVE button. If you select cancel or the "x" top right, the document is not signed and encrypted is saved and will need to repeat all the regenerates process of signature and encryption. 24 Select the SAVE button to save the document signed and encrypted: Picture n° 39 Save the document signed and encrypted This will create the file "test crittografia.txt.p7e signature" in the directory shown in Figure following Picture n° 40 signed and encrypted file directory path and is ready to be used by any procedure capable of decrypt and verify its integrity and authenticity. 25 5 The signature verification This chapter describes all the actions to be performed to verify the signature on a document in order to ensure integrity and assess the authenticity of the signer. 5.1 Verify a signed document You can access the functionality of signature verification through the third button from the right: Picture n° 41 Verification Document button or from the menu FILE, OPEN ENVELOPE: Picture n° 42 menu open the envelope 26 FP in the first instance requires you to select the file to be submitted to the verification process: Picture n° 43 selection document to validate As can be seen from the figure above the signed documents usually have a ". P7m" but might as well not have any extension. In any case, if it submits to the verification process a file not signed the following message appears: Picture n° 44 unsigned document selection 27 Selecting a document signed, FP automatically proceed to the signature verification at the end presents the following summary screen: Picture n° 45 Signature Verification Document From this screen you can conclude that the signature contained in the file "test firma.txt.p7m" placed by Rossi Renato, on 22/11/2005, at 17.31 and 41 seconds and then the document is valid "proof firma.txt" is intact. If otherwise in a green box of the signature verification shows a red "x": Picture n° 46 wrong signature verification 28 NOT mean that the signature is valid and that the document in our possession is NOT intact, ie not corresponds to the one signed by Renato Rossi. IMPORTANT up to this point it is only ascertained the integrity of the document signed and nothing can be said about its authenticity. To verify the authenticity to ensure that the signature really belongs to the signer and has not apocryphal necessary to verify the signing certificate. By selecting CHECK SIGNED ... you start the verification process of the signing certificate: The application presents a dialog where you can access all the details of the signing certificate. Picture n° 47 formal verification certificate signer In this case it is possible to operate on the certificate verification: o formal or verify that this time its validity; o that is substantially ensure that the certificate was actually issued by the Certification Authority stated in the text box ISSUER: As you can see from the figure above, it is not possible to verify whether the certificate has been revoked or less because it was not possible to check the CRL. 29 IMPORTANT to complete in an integral way to verify the signer is necessary to enable the VERIFICATION CERTIFICATES following the operations described in Section 9.1. Only completing the verification of CRL can see that the certificate was not revoked, at least the time of signature, so you feel the same legally valid. If the CHECK SIGNED ... produces the following screen: Picture n° 48 signing certificate expired means that the signer's certificate has expired when the audit but was formally valid time of its affixing. In this case remains legitimate and substantial part of the formal validity certificate and, upon inspection of the CRL, the signature is legally valid. To save the contents of the document occurred, you must select the SAVE button Picture n° 49 File saving occurred 30 6 The decryption with signature verification This chapter describes all the actions to take to decrypt and verify the signature of a document in order to evaluate, in confidentiality, integrity and authenticity. IMPORTANT to decrypt a document signed and encrypted its certificate Utility must use the smart card which contains it. It is essential to take care of it, storing it, even when the certificate has expired and the card is replaced with another date. Decryption is not bound to the duration the certificate in time. 6.1 Decrypt and verify encrypted and signed a document You can access the features of decryption and signature verification through the third button from the right: Picture n° 50 button decryption and verification document or from the menu FILE, OPEN ENVELOPE: Picture n° 51 menu open the envelope 31 FP in the first instance requires you to select the files to be in the process of decryption and verification: Picture n° 52 encrypted and signed document selection To decrypt a document is required in the smart card reader, containing the credential Utility, before selecting the file, otherwise the following message appears: Picture n° 53 smart card credential Utility not present 32 After choosing the files encrypted and signed, and have inserted the smart card, select the OPEN button pin is required to access the smart card: Picture n° 54 Smart Card Logon typing the smart card PIN and select OK to activate the decryption and verification of the chosen file. Now FP has the following summary screen: Picture n° 55 correct decryption and signature verification document From this it can be concluded that the document is decrypted and the signature by Rossi Renato, on 06/06/2006, at 15.08 and 07 seconds is valid and then the document is intact and authentic. By selecting CHECK SIGNED ... you start the verification process of the signing certificate in similar way to what is indicated in the previous chapter; 33 Selecting OPEN THE DOCUMENT ... you can access content in the clear, the document while to save you must select the SAVE button: Picture n° 56 Saving files decrypted and verified 34 7 The personal database of certified This chapter describes all the actions needed to import certificates Certificate Authority and recipients of encrypted documents. IMPORTANT importing into your personal database of CA certificates, allows you to automatically validate certificates issued signatories by the same. It is therefore an important from the point of view safety and should only be done if you are certain that the certificate is authentic and belongs to a trusted CA. for more information, refer to the FP. Also note that the certificate database is personal; This means that each user has a database of FP and certificates imported from a user is not shared. each user must therefore be made to update its database with certificates with which it operates. 7.1 Importing the certificate Certification Authority This paragraph describes the steps you should take: o extract from their smart card, the certificate of the CA that issued the credentials Identity and Utility; o imported into the data base of personal certificates, the certificate of the CA extract. To view the contents of the smart card, once inserted into the reader and you enter the pin access, you must select the menu TOOLS AND OPTIONS KEY EXECUTIVES: Picture n° 57 Key Manager - management credentials / certificates 35 The application opens a window showing the contents of the inserted smart card: Picture n° 58 Key Manager from the smart card As can be seen from the figure, in this case the smart card contains: o indicated with two certificates of CA and CA CERTIFICATE LEVEL 1 CERTIFICATE; o a credential identity, IDENTITY CERTIFICATE, for electronic signature; o a credential Utility UTILITY CERTIFICATE, for encryption and decryption; 36 The goal of this section is to enable the identity credential, the signing of documents and do you need to export the certificates of the Certification Authority that the two were issued. The export is started by clicking the right mouse button, the selected certificate and selecting the EXPORT voice ... from the menu: Picture n° 59 export certificate issuer CA Thus FP requires a name for the certificate to be exported: Picture n° 60 Save to File Certified - certifier issuing 37 By selecting EXPORT the selected certificate is stored in PEM format in the file called CA ISSUER. Picture n° 61 Save to File Certified - certifier issuing sub By performing the same operations on the second CA certificate you export the file generating CA ISSUER LEVEL 1. IMPORTANT FP allows you to manage certificates stored in files without no extension. It is usually a good idea to attach files certificate containing the extension. "CRT" or ". cer". in this so the operating system interprets these files as certified and easier to use them also in other applications such as, for example, Internet Explorer. 38 Selecting OK confirms the correctness of export: Picture n° 62 saving certificates correctly At this point, to import into your personal database certificates freshly extracted, you must select the TOOLS AND OPTIONS menu, CERTIFIED DATABASE: Picture n° 63 menu to access personal database certified or select the second button from the right: Picture n° 64 access to certified personal database 39 FP proposes the summary screen of the certificates of certification authorities, already contained in the data personal basis associated with the user: Picture n° 65 personal database of certified 40 Pressing the button IMPORT FROM FILE, you start the certificate import CAEMITTENTE: Picture n° 66 import certificate - issuing certification After selecting IMPORT, the application confirms the success of presenting following window: 41 Picture n° 67 import certificate confirming Please read the message and confirm proposed by selecting YES. 42 Finally FP confirms the correctness of the import. Picture n° 68 Import the correct certificate Select OK and repeat all the steps described in the Figure n °. 66 onwards, to import the CA certificate secondary. 43 7.2 Import Certificate Utility To import the certificate of a person you want to allocate a confidential document, you must Select menu TOOLS AND OPTIONS, CERTIFIED DATABASE: Picture n° 69 menu to access personal database certified or select the second button from the right: Picture n° 70 menu to access personal database certified 44 FP proposes the summary screen of the certificates of certification authorities, already contained in the data personal basis associated with the user: Picture n° 71 Certification authorities certified personal database 45 Selecting the button opition TYPE OF ENTITY END USERS, do I access the database staff paid to recipients of certificates of encrypted documents: Picture n° 72 certified personal database users 46 In the first phase using the database is empty and import to proceed you must select the IMPORT FROM FILE button: Picture n° 73 Import user certificate for encryption At this point you can choose to import the certificate, selecting the BROWSE button ... 47 Select OPEN to start the import: Picture n° 74 selected user certificate for encryption If you want to import the certificate has an extension other than. "Cer" as you must choose FILE TYPE, ALL FILES: Picture n° 75 selected user certificate for encryption extension. crt and choose the appropriate file. 48 Selecting IMPORT: Picture n° 76 import certificate chose the certificate is imported into the database of certified personnel. Picture n° 77 Import the correct certificate 49 After confirming the correctness of import, you can view the details of the certificate entered in the database: Picture n° 78 storing user certificate for encryption At this point the certificate is ready to be included among the recipients of confidential documents. 50 8 The timestamp This paragraph includes all the services to be affixed to a document, a brand Time in statute. 8.1 Affix a time stamp on a document You can access the functionality of marking time through the first button from the right: Picture n° 79 button timestamping or from the menu FILE, MAKE TIME ASK: Picture n° 80 menu request timestamp 51 FP in the first instance requires you to select the file to append the timestamp: Picture n° 81 selection document to be marked Selecting OPEN starts the process of marking, if the message appears: Picture n° 82 connection error means that FP is not properly configured to connect to the CA time; to remedy this situation, you must follow the steps listed in section 9.2. 52 9 Configuring connections This chapter describes all the actions necessary to configure FP so as to enable: o The online verification of the certificates signed by examination of possible revocation published in the Certificate Revocation List (CRL); o the connection to the CA Timestamping 9.1 Configure the connection to the CA for the discharge of the CRL To configure the connection to the CA is necessary to select the TOOLS menu and options, PREFERENCES: Picture n° 83 menu preferences 53 In this way the application opens a window that contains all the configuration parameters: Picture n° 84 setting default directories Selecting the tab VERIFICATION CERTIFICATES: Picture n° 85 Activation occurs certificates signed You can choose the PROTOCOLS and PROCEDURES FOR ACCESS TO CRL, select the option button ON-LINE is active control of a cancellation of the signing certificate, with the consultation time real content of the CRL directly to the issuing CA. This operation offers the best guarantee reliability and authenticity of the certificate. 54 Through PROXY SERVER tab you can set the parameters for connecting to the Internet and their proper configuration, you must contact a system administrator. Picture n° 86 setting connections 55 9.2 Configure the connection to the server timestamp To configure the connection to the CA Timestamping is necessary to select the menu TOOLS AND OPTIONS, PREFERENCES: Picture n° 87 menu preferences In this way the application opens a window that contains all the configuration parameters: Picture n° 88 setting preferences 56 Selecting the tab Timestamping: is possible to set the configuration parameters to activate the service time stamp; for find their correct value, you must refer to the Help Desk dedicated. Picture n° 89 service activation time stamp End of document. 57