Manuale dell'utente
Azioni preliminari
AloCrypt può essere installato o utilizzato nella sua versione portable senza la necessità dell'installazione. La versione portable permette di utilizzare AloCrypt su qualsiasi PC ed è pensata per essere utilizzata unitamente al dispositivo AloCoreS, la chiave di sicurezza fornita di mass storage integrato.
La limitazioni principali della versione portable sono elencate di seguito:
non vengono installati i menu contestuali utilizzabili in esplora risorse di Windows
non vengono visualizzate le icone con sovraimpressa la chiave rossa ad indicare che il file è criptato
Installazione di AloCrypt
Scaricare il file zip AloCryptSetup.msi
Lanciare l'installer AloCryptSetup.msi: apparirà la finestra riportata di seguito:
Cliccare su "Avanti" : apparirà un nuovo dialogo.
Modificare eventualmente le scelte e cliccare di nuovo su "Avanti"
Al termine dell'installazione (o dell'aggiornamento) verrà chiesto di riavviare il sistema.
Estrazione di AloCrypt portable
Scaricare il file zip di AloCrypt Portable;
aprire lo zip ed estrarne il contenuto nel disco del dispositivo AloCoreS;
se non ancora fatto sarà necessario effettuare la configurazione iniziale del dispositivo AloCoreS.
NOTA - La versione portable è utilizzabile su qualsiasi PC anche nel caso in cui sia già installata una versione di AloCrypt. Ad indicare che si tratta della versione portable, la barra dell'applicazione AloCrypt riporta la dicitura "Portable" come mostrato nella figura seguente.
Configurazione del dispositivo AloCore
Dopo aver installato AloCrypt sul computer sarà necessario inizializzare il dispositivo AloCore senza il quale il programma non potrà funzionare.
Lanciare il programma AloCrypt.exe (l'installazione crea un link sul Desktop) e seguire le istruzioni riportate più avanti in questo manuale nel paragrafo "Inizializzazione".
Gestione dei files
Criteri generali di crittografia
AloCrypt adotta alcune regole generali per la crittografia dei file e per il mantenimento della stessa durante l'utilizzo dei file. Di seguito viene schematizzato il funzionamento nel caso delle più comuni operazioni.
NOTA - Le operazioni ipotizzate si intendono eseguite nei programmi lanciati con l'estensione AloCrypt attiva.
1.
Salva
Eseguendo il comando "Salva" di un file criptato questo resterà criptato ovunque sia posizionato nel disco.
2.
Salva come ...
Salva con nome...
Salvando un file criptato con un altro nome, utilizzando "Salva come..." o "Salva con nome...", il file salvato non sarà criptato (è un nuovo file) ma in chiaro: sarà eventualmente necessario criptarlo di nuovo (cfr. anche punto 3.).
3.
Salva come ...
Salva con nome...
(in una cartella con crittografia forzata)
Salvando un file criptato con un altro nome all'interno di una cartella con crittografia forzata (cfr. § "Regole di crittografia") definita nelle regole di crittografia di default o della specifica applicazione, il file sarà salvato nel formato criptato.
4.
Condividi...
Firma...
Il processo di condivisione e di firma mantiene il file criptato ovunque si trovi nel disco.
5.
Salva
Salva con nome...
Salva come
Caricando un file in chiaro e salvandolo in una qualsiasi posizione, questo resterà in chiaro (cfr. anche punto 6.).
6.
Salva
Salva con nome...
Salva come
Caricando un file in chiaro e salvandolo all'interno di una cartella con crittografia forzata (cfr. § "Regole di crittografia"), il file verrà criptato.
Criptare un file
Il processo di cifratura di un file può essere effettuato in diversi modi:
utilizzando i menu contestuali
utilizzando l'applicazione AloCrypt.exe
direttamente dall'applicazione con la quale si è creato o aperto il file
Di seguito sono illustrate le diverse possibilità che AloCrypt riserva all'utente per eseguire tale operazione.
Criptare utilizzando i menu contestuali
Selezionare il file che si vuole criptare
Aprire il menu contestuale AloCrypt e selezionare "Cripta"
Se il dispositivo è ancora bloccato verrà chiesto di inserire la password di sblocco.
Il file verrà quindi criptato.
Criptare utilizzando l'applicazione AloCrypt.exe
Selezionare il file che si vuole criptare
aprire il menu contestuale AloCrypt e selezionare "Gestisci"
In alternativa aprire direttamente l'applicazione AloCrypt.exe
Verrà aperta l'applicazione direttamente sul tab "Gestione file"
Selezionare il bottone "Cripta"
Se il dispositivo è ancora bloccato verrà chiesto di inserire la password di sblocco
Il file verrà quindi criptato
Criptare direttamente dall'applicazione creando o salvando il file
La caratteristica principale di AloCrypt è proprio quella di poter gestire files criptati direttamente dall'applicazione. Nell'esempio seguente si ipotizzerà di voler creare un file utilizzando l'applicazione Microsoft Excel.
NOTA - Se non ancora fatto, creare una regola (cfr. il paragrafo "Regole di crittografia") relativa all'applicazione Excel: verrà creato sul desktop un collegamento che permetterà di lanciare Excel con l'estensione AloCrypt. Nella regola definire anche una cartella nella quale i files siano criptati in modo forzato; creare per esempio una cartella "File Criptati" ed aggiungerla alla lista delle "Cartelle con crittografia forzata dei files" : tutti i file creati o salvati con Excel in questa cartella saranno criptati.
Lanciare Excel utilizzando il collegamento (shortcut) creato sul desktop: Excel partirà con l'estenzione AloCrypt attiva.
A questo punto l'istanza di Excel lanciata potrà leggere e scrivere qualsiasi file, criptato o meno.
Salvando o creando qualsiasi file all'interno della cartella "Files Criptati" verrà sempre criptato.
NOTA - Aprendo un file già criptato (indipendentemente dalla sua posizione) verrà mantenuto criptato anche salvandolo in altre posizioni.
Decriptare un file
Il processo di decifratura di un file può essere effettuato in diversi modi:
utilizzando i menu contestuali
utilizzando l'applicazione AloCrypt.exe
direttamente dall'applicazione con la quale si è creato o aperto il file
Di seguito sono illustrate le diverse possibilità che AloCrypt riserva all'utente per eseguire tale operazione.
Decriptare utilizzando i menu contestuali
Selezionare il file che si vuole decriptare
Aprire il menu contestuale AloCrypt e selezionare "Decripta"
Se il dispositivo è ancora bloccato verrà chiesto di inserire la password di sblocco.
Il file verrà quindi decriptato.
Decriptare utilizzando l'applicazione AloCrypt.exe
Selezionare il file che si vuole decriptare
Aprire il menu contestuale AloCrypt e selezionare "Gestisci"
In alternativa aprire direttamente l'applicazione AloCrypt.exe
Verrà aperta l'applicazione direttamente sul tab "Gestione file"
Selezionare il bottone "Decripta"
Se il dispositivo è ancora bloccato verrà chiesto di inserire la password di sblocco
Il file verrà quindi decriptato.
Decriptare direttamente dall'applicazione
La caratteristica principale di AloCrypt è proprio quella di poter gestire files criptati direttamente dall'applicazione. Nell'esempio seguente si ipotizzerà di voler creare un file utilizzando l'applicazione Microsoft Excel.
NOTA - Se non ancora fatto, creare una regola (cfr. il paragrafo "Regole di crittografia") relativa all'applicazione Excel: verrà creato sul desktop un collegamento che permetterà di lanciare Excel con l'estensione AloCrypt. Nella regola definire anche una cartella nella quale i files siano criptati in modo forzato; creare per esempio una cartella "File Criptati" ed aggiungerla alla lista delle "Cartelle con crittografia forzata dei files" : tutti i file creati o salvati con Excel in questa cartella saranno criptati.
Lanciare Excel utilizzando il collegamento (shortcut) creato sul desktop: Excel partirà con l'estenzione AloCrypt attiva.
A questo punto l'istanza di Excel lanciata potrà leggere e scrivere qualsiasi file, criptato o meno con i seguenti risultati:
se il file si trova all'interno di una delle cartelle elencate in "Cartella con crittografia forzata dei files", basterà salvarlo in un'altra posizione esterna perché venga salvato non criptato;
se il file si trova in altra posizione, verrà salvato solo se "Mantieni i files criptati" e impostato su "No".
In alternativa (procedura più comoda) utilizzare il menu contestuale per decriptare il file
Aprire un file criptato direttamente da un'applicazione
Creando le regole di crittografia (cfr. Regole specifiche di un'applicazione) viene creato sul desktop anche un collegamento (uno shortcut) che permette di lanciare l'applicazione in questione con l'estensione AloCrypt attiva.
L'applicazione così avviata sarà in grado di aprire, gestire e salvare i file criptati senza che l'utente debba fare altre operazioni.
Shortcut all'applicazione
Il collegamento creato sul desktop per l'applicazione si basa sul collegamento dell'applicazione originale che viene però lanciata in modo diverso.
Considerando ad esempio il programma Excel, possiamo di seguito vedere la differenza sostanziale tra il link contenuto nello shortcut originale e quello modificato da AloCrypt.
C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE
"C:\Program Files\OxySec\AloCrypt\AlocryptRun.exe" "C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE"
Si può notare che nel secondo caso è AloCrypt che lancia il programma Excel: questa modalità di avvio permette ad Excel di utilizzare i files criptati e files in chiaro indifferentemente.
Lanciare l'applicazione utilizzando lo il collegamento creato da AloCrypt sul Desktop: tali shortcuts avranno l'aspetto di quelli riportati di seguito, con il piccolo logo sovraimpresso e la scritta "Alo...".
Lanciando ad es. Excel sarà poi possibile aprire direttamente i file criptati:
Aprire un file con AloCrypt.exe
Nel caso si utilizzi la versione portable di AloCrypt, non saranno presenti i menu contestuali in esplora risorse e quindi l'apertura dei file non potrà essere eseguita tramite questi ultimi.
È però possibile utilizzare l'applicazione AloCrypt.exe che è in grado di proporre nel suo menu contestuale interno le stesse applicazioni visualizzate da esplora risorse di windows.
Aprire l'aplicazione AloCrypt.exe
cliccare su "FILE" per scegliere il file da aprire o trascinare il file nell'applicazione AloCrypt (drag-and-drop)
cliccare su "ApriCon..." a lato del nome del file: verrà proposto un menu con le applicazioni in grado di aprire il file
Credenziali per la condivisione e la firma
Sia la condivisione dei file con altri utenti che la firma dei files criptati richiedono le credenziali pubbliche che sono generate e custodite all'interno dei dispositivi AloCore.
Nei paragrafi successivi viene illustrato come esportare le proprie credenziali pubbliche per permettere ad altri utenti di condividere file con il vostro dispositivo e come importare le credenziali di altri utenti per condividere i files criptati con i loro dispositivi.
Esportare le proprie credenziali
Fare riferimento al successivo paragrafo "Esportazione delle proprie credenziali" nel capitolo "Gestione del dipositivo".
Importare le credenziali di altri utenti
L'importazione delle credenziali pubbliche di altri utenti permette sia di condividere files con tali utenti sia di verificare l'eventuale firma apposta da un utente ad un file.
Aprire il programma AloCrypt.exe.
Nel tab "Gestione file" cliccare sul pulsante "Gestisci credenziali di altri utenti". Apparirà la finestra mostrata di seguito.
Cliccare sul pulsante "Importa credenziali" per importare le credenziali di altri utenti.
È possibile gestire le credenziali già importante tramite il menu contestuale che permette di editare, esportare o cancellare le credenziali già presenti.
NOTA - La condivisione di un file con uno specifico utente è possibile solo se l'utente in questione ci ha prima inviato le sue credenziali pubbliche: una volta importate sarà possibile condividere con lui qualsiasi file criptato.
NOTA - Un file firmato sarà sempre riconoscibile ma se non si possiedono le credenziali pubbliche del firmatario non sarà possibile sapere chi l'ha firmato.
Condividere un file con altri utenti
Il processo di condivisione permette di condividere un file con uno o più utenti dei quali si conoscono le credenziali pubbliche. AloCrypt permette di condividere un file con 8 specifiche persone utilizzando le loro credenziali pubbliche o, a livello aziendale, a gruppi definiti dall'Administrator (cfr. paragrafo "Condividere un file con gruppi aziendali" più avanti)
Aprire l'applicazione AloCrypt.exe e selezionare il tab "Gestione file" ;
cliccare su "FILE" per selezionare il file che si vuole condividere o trascinarlo sull'applicazione AloCrypt
selezionare quindi "Condivisione" : apparirà la finestra mostrata di seguito.
Se non ancora fatto, importare le credenziali degli utenti con i quali si vuole condividere il file:
cliccare su "Importa credenziali" e scegliere il file contenente le credenziali di ciascun utente;
utilizzare le frecce per spostare nella finestra di destra gli utenti con i quali si vuole condividere il file;
cliccare su "Condividi" per terminare l'operazione.
A questo punto il file risulta condiviso con le persone scelte (e solo con loro): tali utenti potranno utilizzare il loro dispositivo per accedere al file criptato.
Condividere un file con gruppi aziendali
Un dispositivo gestito da un'organizzazione ed inizializzato dall'azienda (vedi paragrafo Configurazione Aziendale) per la parte di competenza, visualizzerà anche i nomi dei gruppi definiti dall'Administrator ai quali il dispositivo può appartenere o meno.
Cliccando sul check "Mostra gruppi", nella lista delle credenziali conosciute verranno mostrati i gruppi aziendali con i quali si possono condividere i files.
A questo punto procedere come illustrato nel paragrafo precedente "Condividere un file con altri utenti" selezionando, oltre ad eventuali utenti singoli, anche i gruppi con i quali si vuol condividere il file.
Una volta condiviso con un gruppo, il file potrà essere utilizzato da tutti i dispositivi appartenenti a quel gruppo.
Firmare un file
AloCrypt permette di firmare con le proprie credenziali private contenute nel dispositivo un file criptato. La firma apposta su tale file potrà poi essere verificata da chiunque sia in possesso delle vostre credenziali pubbliche e la presenza della firma potrà garantire l'integrità del file.
La firma di un file
Il processo di firma di un file prevede una serie di operazioni che permetterà a chiunque di verificare che, effettivamente, il file sia stato creato da chi l'ha effettivamente firmato e che non vi è stata alcuna modifica apposta dopo il processo di firma.
Il processo avviene tramite l'utilizzo di chiavi asimmetriche:
chiave RSA privata: segreto custodito all'interno del dispositivo AloCore e mai esportato;
chiave RSA pubblica: chiave da rendere pubblica e da consegnare a chiunque si voglia per permettergi di verificare la validità della firma apposta.
Il processo di firma avviene, schematicamente, nel modo seguente:
il proprietario utilizza la sua chiave RSA privata, contenuta all'interno del dispositivo AloCore, e cripta l'hash (una sorta di impronta digitale) del file stesso.
il risultato di questa operazione (hash criptato) viene immerso nel file
Il processo di verifica della firma apposta ad un file prevede i seguenti passi
l'hash criptato viene decriptato utilizzando la chiave RSA pubblica
viene calcolato l'hash del file e si verifica che corrisponda a quello appena decriptato
se i due valori di hash corrispondono la firma è ritenuta valida
Aprire l'applicazione AloCrypt.exe e selezionare il tab "Gestione file"
Cliccare su "FILE" per selezionare il file che si vuole firmare o trascinarlo all'interno dell'applicazione AloCrypt;
cliccare sul pulsante "Firma con le tue credenziali" : al termine dell'operazione il file sarà firmato.
Criteri di mantenimento della firma
La firma viene apposta dal dispositivo al file nel suo insieme utilizzando l'algoritmo RSA con chiave privata a 2048 bits (chiave gestita internamente da AloCore). Ogni successiva modifica al file invalida la firma apposta ed il file risulterà firmato ma con firma invalidata o non firmato a seconda dell'operazione eseguita.
Di seguito viene illustrata la gestione della firma utilizzando le seguenti icone:
File firmato
firma valida
File firmato
firma non valida
File non firmato
Condividi con
altri utenti
La condivisione con altro utente invalida la firma in quanto il file viene crittato di nuovo e vengono aggiunti i dati relativi alle credenziali degli utenti con i quali si vuole condividere il file stesso; il file risulterà non firmato.
Volendo condividere un file firmato sarà necessario applicare prima la condivisione e firmare il file come ultima operazione.
Condividi con
gruppi aziendali
La condivisione con un gruppo aziendale invalida la firma in quanto il file viene crittato di nuovo e vengono aggiunti i dati relativi ai gruppi con i quali si vuole condividere il file stesso; il file risulterà non firmato.
Volendo condividere un file firmato sarà necessario applicare prima la condivisione e firmare il file come ultima operazione.
Salva ...
Aggiorna ...
Aprire un file firmato e poi salvarlo invalida la firma in quanto il file originale viene modificato; il file risulterà firmato ma con firma invalida.
Salva con nome...
Salva come...
Eseguire il comando "Salva con nome..." o "Salva come..." equivale a creare un nuovo file che, quindi, risulterà non firmato.
NOTA - Un file firmato da un dispositivo AloCore risulterà firmato dal medesimo dispositivo anche da tutti i cloni del dispositivo stesso.
Gestione del dispositivo
Inizializzazione
Prima di poter essere utilizzato il dispositivo AloCore dovrà essere inizializzato. Tale processo consente al dispositivo stesso di generare le chiavi univoche che utilizzerà internamente e che non saranno mai esportate in chiaro.
Inserire il dispositivo AloCore in una porta USB.
Aprire l'applicazione AloCrypt.exe e selezionare il tab "Dispositivo" :
Se l'unico pulsante attivo è "Aggiorna licenza dispositivo", cliccare su di esso: se il dispositivo attivato secondo le impostazioni e le features richieste ed impostate da OxySec.
Cliccare sul pulsante "Inizializza dispositivo" : si aprirà la finestra riportata di seguito:
Assegnare un nome al dispositivo ed una password che servirà per sbloccarlo e attivare le funzionalità di AloCrypt.
NOTA - Sia il nome che la password potranno essere modificate in qualsiasi momento previo sblocco del dispositivo stesso.
Cliccare su "OK" ed attendere che la procedura termini.
NOTA BENE - L'inizializzazione del dispositivo include la generazione interna della chiave RSA a 2048 bits, procedura che può richiedere anche oltre 60 secondi.
Al termine dell'inizializzazione un dialogo comunicherà l'esito del processo.
Backup e ripristino del dispositivo
Backup del dispositivo
Il dispositivo AloCore, una volta inizializzato, conterrà le chiavi univoche utilizzate per la crittografia e la firma dei files. Perdere il dispositivo ed il suo contenuto significherebbe perdere per sempre i files criptati e firmati utilizzando tale device.
Per questo motivo è stata prevista la possibilità di estrarre questi dati fondamentali e salvarli a loro volta criptati in un file che permetterà di creare un dispositivo "clone" dell'originale. Sarà di vitale importanza conservare con cura ed al sicuro il file di backup in quanto costituisce l'ancora di salvezza nel caso di smarrimento o di rottura del dispositivo AloCrypt.
Nel tab "Dispositivo" di AloCrypt.exe cliccare sul pulsante "Backup dispositivo": apparirà la finestra riportata di seguito:
Cliccare sul pulsante "Nome file" e selezionare il nome e la posizione del file nel quale salvare le informazioni. Si noti che il programma propone di default il nome del file "AloCryptDeviceBackup.txt".
Inserire una password che sarà utilizzata per la cifratura di questo file di backup.
NOTA - La password è fondamentale per impedire che qualcuno di non autorizzato possa generare dispositivi cloni dell'originale. Dimenticare tale password non permetterà il ripristino o la clonazione del dispositivo AloCore originale.
Cliccare quindi su "OK" per terminare l'esportazione.
Ripristino o clone del dispositivo
La funzionalità di ripristino o clonazione del dispositivo permette di creare un dispositivo che contiene le stesse chiavi di crittografia e di firma del dispositivo originale. Tale procedura può essere utilizzata sia per ripristinare la configurazione di un dispositivo rotto o smarrito, sia per creare un clone del dispositivo originale qualora, per es., si intenda usufrutire delle stesse chivi da più postazioni (ufficio/casa).
Inserire un dispositivo AloCore nuovo in una porta USB.
Nel tab "Dispositivo" di AloCrypt.exe cliccare sul pulsante "Ripristina da backup" : apparirà la finestra mostrata di seguito:
Cliccare il tasto "Selezione file" e selezionare il file di backup precedentemente creato che contiene i dati del dispositivo che si vuole ripristinare o clonare.
Inserire nei campi successivi le informazioni richieste:
Password del file di backup - La password utilizzata per salvare (e criptare) il file di backup
Nome del dispositivo - Nome che sarà assegnato al nuovo dispositivo (potrà sempre essere modificato)
Nuova password del dispositivo / Conferma password dispositivo - Creare una password per il nuovo dispositivo AloCore (potrà sempre essere modificata a posteriori)
Cliccare infine sul bottone "Ripristina" ed attendere l'esito dell'operazione.
Modifica del nome o della password del dispositivo
Modifica del nome del dispositivo
Inserire un dispositivo AloCore nuovo in una porta USB.
Nel tab "Dispositivo" di AloCrypt.exe cliccare sul pulsante "Cambia nome" : apparirà la finestra riportata di seguito:
Inserire il nuovo nome e cliccare su "OK" : verrà richiesta la password del dispositivo per poter procedere alla modifica.
Inserire la password del dispositivo, cliccare su "OK" ed attendere l'esito dell'operazione.
Modifica della password del dispositivo
Inserire un dispositivo AloCore nuovo in una porta USB.
Nel tab "Dispositivo" di AloCrypt.exe cliccare sul pulsante "Cambia password" : apparirà la finestra riportata di seguito:
Inserire i dati richiesti e cliccare su "OK".
Verrà chiesta di nuovo l'attuale password per motivi si sicurezza:
Digitarle l'attuale password, scegliere "OK" ed attendere l'esito dell'operazione.
Esportazione delle proprie credenziali
Ogni dispositivo, una volta inizializzato, è diverso da tutti gli altri e contiene le chiavi univoche utilizzate per la crittografia dei dati, per la firma dei files e per la condivisione.
L'operazione di esportazione delle credenziali del dispositivo serve ad estrarre la chiave RSA pubblica che verrà poi utilizzata dagli altri utenti, ovvero dagli altri dispositivi, per condividere i file con il tuo dispositivo o per verificare se un file è stato firmato proprio con il tuo dispositivo.
Inserire il dispositivo AloCore nuovo in una porta USB.
Nel tab "Dispositivo" di AloCrypt.exe cliccare sul pulsante "Esporta credenziali" : apparirà la finestra riportata di seguito:
Inserire i campi richiesti e cliccare sul pulsante "Esporta" per salvare le informazioni in un file.
Il file così generato conterrà la chiave RSA pubblica che potrete dare a chiunque voglia condividere con voi dei files o a chi voglia verificare che il file sia stato effettivamente firmato da voi.
Configurazione aziendale
NOTA - La configurazione aziendale può essere effettuata sia su un dispositivo vergine che su un dispositivo già inizializzato dall'utente finale senza comprometterne le normali funzionalità.
La configurazione aziendale su un dispositivo vergine lascerà comunque il dispositivo nello stato "non inizializzato" in modo che l'utente finale possa procedere normalmente nella configurazione iniziale del proprio device.
La configurazione aziendale dei dispositivi permette di condividere contemporaneamente uno stesso file a un gruppo di più persone, raggruppando il loro rispettivi dispositivi AloCore all'interno di Gruppi aziendali che l'utente Administrator può definire e modificare.
L'utente Administrator potrà decidere che un determinato dispositivo (e quindi il suo proprietario) appartenga ad uno o più gruppi definiti precedentemente: ogni file condiviso con tale gruppo sarà quindi accessibile da tutti i dispositivi che vi appartengono.
NOTA BENE - L'utente Administrator ha un accesso molto limitato al dispositivo: per accedere al device ha una sua password, non può utilizzarlo per criptare o decriptare i files e non può utilizzarlo per condividere o firmare files. Può solo configurare le chiavi AES aziendali, creare o modificare i nomi dei Gruppi aziendali e l'appartenenza o meno a ciascuno di essi.
Aprire il programma AloCore e scegliere il tab "Dispositivo".
Cliccare sul bottone "Configurazione Aziendale" in basso a destra; apparirà il dialogo mostrato di seguito. Da questo dialogo sarà possibile creare, salvare o caricare una configurazione aziendale in modo da poterla applicare a più dispositivi.
Inserire il nome dell'azienda per la quale si stanno configurando i gruppi
Creare una password amministratore: tale password sarà necessario per poter modificare in un secondo tempo la configurazione di un dispositivo già configurato
Generare una chiave AES cliccando sul bottone "Genera chiave"
NOTA BENE - La chiave AES 256 generata e salvata nel file di configurazione costituisce il segreto che permette ai dispositivi aziendali di accedere alle informazioni contenute nei file criptati e, quindi, di decriptarli. Per questo motivo è molto importante proteggere il file di configurazione salvato e conservarlo in luogo sicuro.
Nel riquadro "Gruppi aziendali" sarà possibile inserire il nome dei vari gruppi aziendali; nell'immagine seguente si può notare che sono stati creati 5 gruppi
Salvare il file cliccando su "Salva configurazione" ; sarà sempre possibile apportare modifiche in seguito.
Inserendo un dispositivo AloCore sarà ora possibile applicare la configurazione impostata.
Scegliere a quale gruppo aziendale (o a quali gruppi) il dispositivo AloCore apparterrà e cliccare su "Configura dispositivo"
Nell'immagine seguente, per es, il dispositivo sarà assegnato al solo gruppo "Commerciale"
Cliccare sul bottone "Configura dispositivo"
Se il dispositivo è già stato configurato dall'utente utilizzatore, verrà chiesta la sua password in quanto dovrà autorizzare la configurazione aziendale confermando la sua appartenenza al gruppo scelto
Una volta configurato il dispositivo, il dialogo mostrerà la configurazione specifica dello stesso visualizzando in alto a destra la scritta "Device data"
Estraendo il dispositivo dalla porta USB il dialogo continuerà a mostrate i dati di configurazione impostati e letti dal file e la scritta "Device data" sparirà, ricomparendo all'inserimento di un device già configurato
NOTA - Se il bottone "Aggiorna dispositivo" non è attivo nonostante il dispositivo sia inserito nella porta USB, verificare che tale dispositivo sia di tipo "Enterpise". Qualora infatti sia "Standard" o "Professional" non sarà possibile impostare le funzionalità aziendali (cfr. il paragrafo successivo: "Aggiornamento delle licenza del dispositivo" ).
Reset del dispositivo
ATTENZIONE
Il reset del dispositivo cancella completamente tutti i dati interni relativi alla configurazione attuale, comprese le chiavi di crittografia generate ed utilizzate per gestire i file.
Eventuali file criptati con questo dispositivo non potranno più essere utilizzati se non con un clone generato da un file di backup precedentemente creato.
Inserire il dispositivo AloCore che si vuole resettare.
Lanciare il programma AloCrypt.exe e selezionare il tab "Dispositivo"
Cliccare sul pulsante "Reset dispositivo".
Apparirà l'avvertimento riportato di seguito nel quale viene ribadita la pericolosità e l'irreversibilità dell'operazione.
Per continuare cliccare di nuovo sul pulsante "Reset dispositivo"
Apparirà un nuovo dialogo nel quale viene chiesto di digitare una serie di caratteri alfanumerici (generati casualmente).
Inserire i caratteri visualizzati: se inseriti correttamente il bottone "Reset dispositivo" verrà abilitato.
Cliccare su "Reset dispositivo" per resettare il dispositivo.
Verrà chiesta la password del dispositivo e, una volta inserita, il dispositivo verrà resettato.
A questo punto il dispositivo AloCore si troverà nello stato non inizializzato e per poterlo utilizzare di nuovo sarà necessario eseguire l'inizializzazione o il restore da un file di backup.
NOTA - Il reset del dispositivo non cancella la configurazione aziendale eventualmente presente sul dispositivo stesso. La procedura di dissociazione dall'azienda deve essere effettuata da un utente Admin che invaliderà le chiavi di crittografia aziendali.
Aggiornamento della licenza del dispositivo
AloCrypt viene commercializzato in tre diverse configurazioni che sono gestite internamente dal dispositivo (cfr. Versioni):
Standard
Professional
Enterprise
La versione del programma che si sta eseguendo viene mostrata nel tab "Dispositivo" di AloCrypt.exe nel campo "Configurazione AloCore", come mostrato nella finestra seguente.
È sempre possibile richiedere ad OxySec un upgrade per poter sfruttare le features della versione più performante (per es. da "Standard" a "Professional") e, dopo aver seguite le istruzioni di OxySec, premete il pulsante "Aggiorna licenza dispositivo" : il tipo di licenza cambierà in funzione della richiesta.
NOTA - Nel tab "Dispositivo" è anche presente un campo denominato "Scadenza del dispositivo". Tale valore sarà in genere impostato ad una certa data nel caso di dispositivi demo, consegnati da OxySec per poter testare tutte le funzionalità.
Al raggiungimento della data indicata il dispositivo smetterà di funzionare e per ripristinarlo sarà necessario chiedere ad OxySec di estendere il periodo di validità. Basterà quindi premere sul pulsante "Aggiorna licenza dispositivo" per riattivarne il funzionamento.
Regole di crittografia
AloCrypt utilizza un insieme di regole di crittografia di default ma permette di creare regole specifiche per ogni applicazione affinché si possa ottimizzare il processo di cifratura dei files.
Regole di default
Lanciare il programma AloCrypt.exe e selezionare il tab "Regole di crittografia".
Cliccare sul pulsante "Regole di default" : si aprirà la finestra riportata di seguito.
Nella finestra sono elencati alcuni parametri illustrati di seguito:
Dimensione del SuperBlocco - Questa è la dimensione in blocchi da 512 bytes del pacchetto base gestito dal processo di crittografia. Il valore di default è normalmente adeguato per qualsiasi applicazione.
Blocchi criptati dal dispositivo - Questo valore indica quanti blocchi del SuperBlocco sono criptati direttamente dal dispositivo AloCore e quanti (i restanti) saranno criptati dal coprocessore del PC.
Cartelle con crittografia forzata dei files - Elenco di cartelle nelle quali i file salvati dalle applicazioni lanciate tramite AloCrypt saranno sempre criptati.
Estensioni escluse - I file con queste estensioni non verranno mai criptati indipendentemente dalla loro posizione nel disco.
Mantieni i file criptati - È possibile decidere che un file criptato resti criptato anche dopo averlo aperto e salvato con la relativa applicazione anche se non si trova nella cartella con crittografia forzata.
NOTA BENE - La dimensione dei SuperBlocco ed il bilanciamento con la crittografia eseguita dal dispositivo sono informazioni che vengono memorizzate nel file. Ogni file quindi potrà essere criptato con parametri adeguati alla propria dimensione ed all'uso che se ne intende fare.
I blocchi nel processo di crittografia
Il processo di crittografia viene eseguito con AES in modalità CBC su blocchi di 512 bytes. Viene però definito ed utilizzato da AloCrypt il SuperBlocco, che rappresenta l'unità base di crittografia di tutto il processo.
Il SuperBlocco è definito come numero di blocchi da 512 byte: un SupreBlocco di 64 equivale ad una lunghezza di 32.768 bytes, ovvero 32KB. Ogni file verrà interpretato come sequenza di SuperBlocchi ai quali sarà quindi applicato il processo di cifratura.
Viene poi definita la quantità di blocchi appartenenti al SuperBlocco che verranno criptati dal dispositivo, permettendo quindi di calibrare adeguatamente il carico di lavoro in funzione delle dimensioni del file.
Nell'immagine è riportata, come esempio, la struttura di un file di dimensione tale da comprendere poco più di 4 SuperBlocchi. La parte iniziale di ciascun SuperBlocco viene criptata dal dispositivo (HW enc) mentre il resto è criptato dal PC. Ovviamente il bilanciamento tra le due parti può essere scelto a piacimento.
Regole specifiche di un'applicazione
Per ciascuna applicazione è possibile definire regole specifiche che permetteno di gestire i files associati in maniera diversa e più congrua alle proprie esigenze.
Per creare una nuova regola cliccare con il tasto destro del mouse nella finestra di AloCrypt.exe nel tab "Regole di crittografia" e dal menu contestuale selezionare "Crea collegamento e regole".
Verrà chiesto di selezionare un programma o uno shortcut al programma: nella finestra seguente, per es, viene selezionato lo schortcut relativo al programma Excel.
Scegliere "Apri". A questo punto si aprirà la finestra relativa alle impostazioni delle regole specifiche per questo programma.
NOTA - In alternativa è possibile trascinare nell'applicazione AloCrypt il collegamento o l'eseguibile del programma per il quale si vuole creare la regola (drag-and-drop).
Nella finestra sono elencati i parametri illustrati di seguito:
Nome dell'applicazione - Viene proposto il nome dell'applicazione che si può cambiare a piacimento.
Percorso dell'eseguibile - Riporta il path completo per il lancio dell'applicazione
Dimensione del SuperBlocco - Questa è la dimensione in blocchi da 512 bytes del pacchetto base gestito dal processo di crittografia. Il valore di default è normalmente adeguato per qualsiasi applicazione.
Blocchi criptati dal dispositivo - Questo valore indica quanti blocchi del SuperBlocco sono criptati direttamente dal dispositivo AloCore e quanti (i restanti) saranno criptati dal coprocessore del PC.
Cartelle con crittografia forzata dei files - Elenco di cartelle nelle quali i file salvati dalle applicazioni lanciate tramite AloCrypt saranno sempre criptati.
Estensioni escluse - I file con queste estensioni non verranno mai criptati indipendentemente dalla loro posizione nel disco.
Mantieni i file criptati - È possibile decidere che un file criptato resti criptato anche dopo averlo aperto e salvato con la relativa applicazione anche se non si trova nella cartella con crittografia forzata
Applica anche le regole di default - Vengono applicate anche le regole di default (se applicabili)
Selezionando "OK" la regola verrà creata e la finestra chiusa.
Verrà anche creato sul Desktop un nuovo shortcut relativo alll'applicazione gestita dalla regola; nell'esempio specifico verrà creato uno shortcut di nome "Alo Excel", che aprirà il programma Excel già inclusivo dell'estensione AloCrypt. Di seguito alcuni esempi degli shortcuts creati dall'applicazione AloCrypt.exe.
NOTA BENE - Lanciando le applicazioni con questi shortcuts sarà possibile aprire e salvare file criptati e non criptati indifferentemente.
Selezionando una delle regole già esistenti sarà inoltre possibile cancellarla, editarla per modificarla o rigenerare lo shortcut associato.
Per utenti avanzati: associazione estensione dei files
Ogni file (ogni estensione di file per l'esattezza) è associata ad un'applicazione che viene aperta direttamente quando si fa doppo click sul file stesso.
È possibile modificare questa associazione e fare in modo che un doppio click su un file lo apra con l'applicazione lanciata dall'architettura "Alo" ovvero dall'applicazione con l'estensione Alo attiva.
In questo modo sarà possibile leggere e scrivere files criptati o meno semplicemente facendo doppio click sui files stessi senza preoccuparsi del fatto che siamo o no criptati.