Download - Svetlin Nakov

More documents

Recommendations

Info

на удостоверителните услуги от „Информационно обслужване” АД (StampIT). Изказаното мнение беше като цяло позитивно. Критиките бяха свързани основно с необходимостта от доверие към подписания Java аплет, което може да притесни потребителя, както и да наруши сигурността на локалната му машина. Части от системата бяха успешно използвани и внедрени в комерсиален проект, свързан с управлението на документи в държавната администрация, изпълнен от екип специалисти от фирма Технологика. 5.3. Недостатъци и проблеми Ще разгледаме най-важните проблеми и недостатъци на системата <strong>Nakov</strong>DocumentSigner: - Аплетите за подписване изискват наличие на Java Plug-In, който не е стандартна част от уеб браузърите, а се инсталира към тях допълнително. Изтеглянето и инсталирането на Java Plug-In може да създаде трудности, например ако потребителят няма права да инсталира софтуер върху работната станция. - Аплетите за подписване не използват стандартните хранилища за сертификати на уеб браузърите. Това създава неудобство на потребителя, като го отделя от унифицирания достъп до сертификатите, с който вероятно е свикнал. Допълнително неизползването на вградените в браузърите хранилища за сертификати може да създаде рискове за сигурността – например PIN кодът на смарт картата или паролата за достъп до PKCS#12 хранилището биха могли да бъдат подслушани полесно, а файловете със сертификати могат да бъдат копирани с помалко усилия. - При изпълнение под Java Plug-In 1.4 потребителят не може да укаже, че вярва перманентно на даден подписан аплет, а трябва да потвърждава доверието си в него при всяко негово стартиране. Този проблем е решен при Java Plug-In 1.5. - Системата подписва само файлове, но не може да подписва уеб форми. При някои сценарии това може да се окаже неудобно. - Подписването на файл се осъществява отделно от изпращането на HTML формата. Това позволява формата да бъде изпратена без подпис или подписът да бъде променен преди изпращането на формата. И в двата случая сървърната част ще регистрира проблем със сигнатурата, но това може да създаде неудобства. - Подписаният файл се доставя отделно от неговия цифров подпис и от сертификата. Не е използван стандартът PKCS#7 (ftp://ftp.rsasecurity. com/pub/pkcs/doc/pkcs-7.doc), който позволява да се запишат в структура SignedData като едно цяло подписаният файл, неговата сигнатура и използваният при подписването сертификат (заедно с пълната му сертификационна верига). 138
- Системата за верификация на сертификати не поддържа CRL списъци от анулирани сертификати и не ползва OSCP протокола за проверка на сертификати в реално време. - Системата позволява работа само с X.509 сертификати. Не се поддържат широкоразпространените PGP сертификати. 5.4. Бъдещо развитие и усъвършенстване Системата <strong>Nakov</strong>DocumentSigner има добри перспективи да се разшири и подобри в бъдещите си версии. Ето някои от посоките за подобрение: - Може да се имплементира възможност за подписване на уеб форми – да се подписва не само даден файл, а всички полета от дадена HTML форма, заедно с прикачените към нея файлове. Това ще разшири приложението на системата и ще позволи тя да се ползва в много повече уеб базирани системи. - Може да се имплементира възможност за подписване на уеб форма и съхранение на резултата като „подписан XML” по стандарта XMLDSIG (http://www.w3.org/TR/xmldsig-core/). Това ще отвори системата за полесно използване в хетерогенна среда. - Може да се реализира съхраняване като едно цяло в PKCS#7 SignedData обект на подписания файл, неговата сигнатура и използвания сертификат (заедно с пълната му сертификационна верига). Това ще улесни сървърните приложения, които проверяват цифровия подпис и използвания сертификат. - Системата за верификация на сертификати може да се разшири да поддържа CRL списъци от анулирани сертификати и OSCP протокола за проверка на сертификат в реално време. Това е все по-често изискване при изграждане на критични за сигурността информационни системи. - Би било добре системата да не използва Java Plug-In, защото това създава нужда от инсталиране на допълнителен софтуер и не позволява да бъде използвано хранилището за сертификати на уеб браузъра. Този въпрос може да се реши в бъдеще, когато напреднат уеб стандартите за работа с цифрови подписи и сертификати. - Може да се реализира поддръжка и на PGP сертификати, макар и те да нямат толкова голямо приложение при извършването на електронни транзакции. 139
Page 2 and 3:
Java за цифрово подпи
Page 4 and 5:
НАЦИОНАЛНА АКАДЕМИ
Page 6 and 7:
Съдържание СЪДЪРЖА
Page 8 and 9:
Увод Настоящата ра
Page 10 and 11:
сървърът има довер
Page 12 and 13:
Page 14 and 15:
обратното. Това пра
Page 16 and 17:
Цифрово подписване
Page 18 and 19:
Фигура 1-2. Верифика
Page 20 and 21:
независима страна,
Page 22 and 23:
(транзитивно). Техн
Page 24 and 25:
това лице (име, орга
Page 26 and 27:
В света на цифроват
Page 28 and 29:
Саморъчно подписан
Page 30 and 31:
Тя започва от серти
Page 32 and 33:
Хранилищата са защ
Page 34 and 35:
Издаване на сертиф
Page 36 and 37:
По подразбиране пр
Page 38 and 39:
Фигура 1-11. Списък с
Page 40 and 41:
Закупуване на цифр
Page 42 and 43:
.NET Windows Forms контрола
Page 44 and 45:
Фигура 1-13. Подписан
Page 46 and 47:
Предимство на тази
Page 48 and 49:
Java аплетите и сигур
Page 50 and 51:
Глава 2. Цифрови под
Page 52 and 53:
java.security.KeyStore Класът
Page 54 and 55:
certFactory.generateCertificate(str
Page 56 and 57:
java.security.cert.TrustAnchor Кл
Page 58 and 59:
Преди извикване на
Page 60 and 61:
Използване на Sun PKCS#
Page 62 and 63:
Page 64 and 65:
- DocumentSigningDemoWebApp - Java-
Page 66 and 67:
Тази команда подпи
Page 68 and 69:
Стандартно Java апле
Page 70 and 71:
Процесът на подпис
Page 72 and 73:
Директна верификац
Page 74 and 75:
Глава 4. NakovDocumentSigner -
Page 76 and 77:
* The applet asks the user to locat
Page 78 and 79:
} "Unable to access the local file
Page 80 and 81:
private KeyStore loadKeyStoreFromPF
Page 82 and 83:
import java.awt.event.*; import jav
Page 84 and 85:
* Called when the browse button is
Page 86 and 87:
** * File filter class, intended to
Page 88 and 89: Skip padding from the end of encode
Page 90 and 91: след кодиране с Base64
Page 92 and 93: Важно е да не из
Page 94 and 95: Сертификати за тес
Page 96 and 97: * All rights reserved. This code is
Page 98 and 99: new PKCS11LibraryFileAndPINCodeDial
Page 100 and 101: Provider pkcs11Provider = (Provider
Page 102 and 103: import java.awt.*; import java.awt.
Page 104 and 105: ** * Called when the "Browse" butto
Page 106 and 107: } } return mResult; /** * File filt
Page 108 and 109: Резултатът от изпъ
Page 110 and 111: Фигура 4-3. Java Plug-In 1.5
Page 112 and 113: За директната пров
Page 114 and 115: Document signing apple
Page 116 and 117: scriptable="true" fileNameField="up
Page 118 and 119: * * Copyright (c) 2003 by Svetlin N
Page 120 and 121: displayFileInfo(mReceivedFile, mRec
Page 122 and 123: * and displays the verification res
Page 124 and 125: Read all X.509 certificate files on
Page 126 and 127: Фигура 4-7. Резултат
Page 128 and 129: InputStream aCertStream) throws Gen
Page 130 and 131: Create a set of trust anchors from
Page 132 and 133: web.xml action org.apache.strut
Page 134 and 135:
Page 136 and 137: НАЦИОНАЛНА АКАДЕМИ
Page 140 and 141: НАЦИОНАЛНА АКАДЕМИ
Page 142 and 143: тите, инсталирани в
Page 144: 14. [MSDN WinForms] MSDN Library: D
show all

Download - Svetlin Nakov

Create successful ePaper yourself

Delete template?

Save as template?