Download - Svetlin Nakov

More documents

Recommendations

Info

Тя започва от сертификата на крайния клиент (Thawte Freemail Member), който е подписан от сертификата на междинен сертификационен орган (Thawte Personal Freemail Issuing CA) и завършва с root-сертификата на сертификационен орган от първо ниво (Thawte Personal Freemail CA). Общовъзприетата практика е сертификационните органи от първо ниво да издават сертификати на междинните сертификационни органи, като отбелязват в тези сертификати, че могат да бъдат използвани за издаване на други сертификати. Междинните сертификационни органи издават сертификати на свои клиенти или на други междинни сертификационни органи. На сертификатите издавани на крайни клиенти се задават права, които не позволяват те да бъдат използвани за издаване на други сертификати, а на сертификатите, издавани на междинни сертификационни органи не се налага такова ограничение. Верификация на цифрови сертификати Има няколко подхода за проверка на валидността на цифрови сертификати. В зависимост от модела на доверие (модел с единствена доверена страна, йерархичен модел, модел Web of trust и т. н.) сертификатите могат да се проверяват по различни начини. Ние ще разгледаме два начина за проверка на цифрови сертификати – директна верификация и верификация на сертификационна верига. Директна верификация на сертификати При директната верификация се проверява срокът на валидност на сертификата и се проверява дали той е издаден директно от сертификационен орган, на който имаме доверие. Обикновено директната верификация се използва при модел на доверие с единствена доверена страна (локален сертификационен орган). Реализацията е много лесна – просто се проверява дали даденият сертификат е директно подписан от сертификат, на който имаме доверие. За целта системата, която извършва такава проверка, трябва да поддържа множество от доверени сертификати за директна проверка. Верификация на сертификационна верига При йерархичния модел на доверие, когато трябва да се верифицира даден сертификат, се проверява последователно доверието към сертификатите от цялата негова сертификационна верига. Ако сертификационната верига не е налична, тя трябва да се построи по някакъв начин. На един сертификат, който се намира в началото на дадена сертификационна верига може да се вярва само ако тази сертификационна верига бъде успешно верифицирана. В такъв случай се казва, че този сертификат е проверен сертификат (verified certificate). Верификацията на една сертификационна верига включва проверка дали всеки от сертификатите, които я съставят, е подписан от следващия сертификат във веригата, като за последния сертификат се проверява дали е в 30
списъка на Root-сертификатите, на които безусловно се вярва. За всеки от сертификатите се проверява допълнително срокът му на валидност и дали има право да подписва други сертификати [RFC 3280, раздел 6]. Доверени Root-сертификати Всеки софтуер за проверка на сертификационни вериги поддържа списък от доверени Root-сертификати (trusted root CA certificates), на които вярва безусловно. Това са най-често Root-сертификатите на утвърдените глобални (световни) сертификационни органи. Например уеб браузърът Microsoft Internet Explorer идва стандартно със списък от около 150 доверени Root-сертификата, а браузърът Mozilla при първоначална инсталация съдържа около 70 доверени сертификата. Процесът на верификация на сертификационна верига Проверката на една сертификационна верига включва не само проверка на това дали всеки сертификат е подписан от следващия и дали сертификатът в края на тази верига е в списъка на доверените Root-сертификати. Необходимо е още да се провери дали всеки от сертификатите във веригата не е с изтекъл срок на валидност, а също дали всеки от сертификатите без първия има право да бъде използван за подписване на други сертификати. Ако проверката на последното условие бъде пропусната, ще стане възможно краен клиент да издава сертификат на името на когото си поиска и верификацията на издадения сертификат да преминава успешно. При проверката на дадена сертификационна верига се проверява и дали някой от сертификатите, които я съставят, не е анулиран (revoked). На процеса по анулиране на сертификати ще се спрем малко по-късно. Съвкупността от всички описани проверки има за цел да установи дали на един сертификат може да се вярва. Ако проверката на една сертификационна верига не е успешна, това не означава непременно, че има опит за фалшификация. Възможно е списъкът на доверените Root-сертификати, използван при верификацията, да не съдържа Root-сертификата, с който завършва веригата, въпреки че той е истински. В общия случай един сертификат не може да бъде верифициран по описания начин, ако не е налична цялата му сертификационна верига или ако Rootсертификатът, с който започва веригата му, не е в списъка на доверените сертификати. Сертификационната верига на един сертификат може да се построи и програмно, ако не е налична, но за целта трябва да са налични всички сертификати, които участват в нея. 1.2.3. Хранилища за сертификати В системите за електронно подписване на документи се използват защитени хранилища за ключове и сертификати (protected keystores). Едно такова хранилище може да съдържа три типа елементи – сертификати, сертификационни вериги и лични ключове. 31
Page 2 and 3: Java за цифрово подпи
Page 4 and 5: НАЦИОНАЛНА АКАДЕМИ
Page 6 and 7: Съдържание СЪДЪРЖА
Page 8 and 9: Увод Настоящата ра
Page 10 and 11: сървърът има довер
Page 14 and 15: обратното. Това пра
Page 16 and 17: Цифрово подписване
Page 18 and 19: Фигура 1-2. Верифика
Page 20 and 21: независима страна,
Page 22 and 23: (транзитивно). Техн
Page 24 and 25: това лице (име, орга
Page 26 and 27: В света на цифроват
Page 28 and 29: Саморъчно подписан
Page 32 and 33: Хранилищата са защ
Page 34 and 35: Издаване на сертиф
Page 36 and 37: По подразбиране пр
Page 38 and 39: Фигура 1-11. Списък с
Page 40 and 41: Закупуване на цифр
Page 42 and 43: .NET Windows Forms контрола
Page 44 and 45: Фигура 1-13. Подписан
Page 46 and 47: Предимство на тази
Page 48 and 49: Java аплетите и сигур
Page 50 and 51: Глава 2. Цифрови под
Page 52 and 53: java.security.KeyStore Класът
Page 54 and 55: certFactory.generateCertificate(str
Page 56 and 57: java.security.cert.TrustAnchor Кл
Page 58 and 59: Преди извикване на
Page 60 and 61: Използване на Sun PKCS#
Page 64 and 65: - DocumentSigningDemoWebApp - Java-
Page 66 and 67: Тази команда подпи
Page 68 and 69: Стандартно Java апле
Page 70 and 71: Процесът на подпис
Page 72 and 73: Директна верификац
Page 74 and 75: Глава 4. NakovDocumentSigner -
Page 76 and 77: * The applet asks the user to locat
Page 78 and 79: } "Unable to access the local file
Page 80 and 81:
private KeyStore loadKeyStoreFromPF
Page 82 and 83:
import java.awt.event.*; import jav
Page 84 and 85:
* Called when the browse button is
Page 86 and 87:
** * File filter class, intended to
Page 88 and 89:
Skip padding from the end of encode
Page 90 and 91:
след кодиране с Base64
Page 92 and 93:
Важно е да не из
Page 94 and 95:
Сертификати за тес
Page 96 and 97:
* All rights reserved. This code is
Page 98 and 99:
new PKCS11LibraryFileAndPINCodeDial
Page 100 and 101:
Provider pkcs11Provider = (Provider
Page 102 and 103:
import java.awt.*; import java.awt.
Page 104 and 105:
** * Called when the "Browse" butto
Page 106 and 107:
} } return mResult; /** * File filt
Page 108 and 109:
Резултатът от изпъ
Page 110 and 111:
Фигура 4-3. Java Plug-In 1.5
Page 112 and 113:
За директната пров
Page 114 and 115:
Document signing apple
Page 116 and 117:
scriptable="true" fileNameField="up
Page 118 and 119:
* * Copyright (c) 2003 by Svetlin N
Page 120 and 121:
displayFileInfo(mReceivedFile, mRec
Page 122 and 123:
* and displays the verification res
Page 124 and 125:
Read all X.509 certificate files on
Page 126 and 127:
Фигура 4-7. Резултат
Page 128 and 129:
InputStream aCertStream) throws Gen
Page 130 and 131:
Create a set of trust anchors from
Page 132 and 133:
web.xml action org.apache.strut
Page 134 and 135:

Page 136 and 137:
НАЦИОНАЛНА АКАДЕМИ
Page 138 and 139:
на удостоверителни
Page 140 and 141:
НАЦИОНАЛНА АКАДЕМИ
Page 142 and 143:
тите, инсталирани в
Page 144:
14. [MSDN WinForms] MSDN Library: D
show all

Download - Svetlin Nakov

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?