Download - Svetlin Nakov

More documents

Recommendations

Info

Хранилищата са защитени с пароли Понеже съхраняваната в защитените хранилища информация е поверителна, от съображения за сигурност достъпът до нея се осъществява с пароли на две нива – парола за хранилището и отделни пароли за личните ключове, записани в него. Благодарение на тези пароли при евентуално осъществяване на неправомерен достъп до дадено защитено хранилище за ключове и сертификати, поверителната информация, записана в него, не може да бъде прочетена лесно. В практиката личните ключове, като особено важна и поверителна информация, никога не се държат извън хранилища за ключове и сертификати и винаги са защитени с пароли за достъп. Стандарти за защитени хранилища Има няколко разработени стандарта за защитени хранилищата за ключове и сертификати, например JKS (Java Key Store), PKCS#12 и смарт-карти (PKCS#11). Стандартът PKCS#12 Най-разпространен е стандартът PKCS#12, при който хранилището се съхранява във вид на файл със стандартното разширение .PFX (или по-рядко използваното разширение .P12). Едно PKCS#12 хранилище обикновено съдържа един сертификат, съответен на него личен ключ и сертификационна верига, удостоверяваща автентичността на сертификата [PKCS#12]. Наличието на сертификационна верига не е задължително и понякога в PFX файловете има само сертификат и личен ключ. В повечето случаи за улеснение на потребителя паролата за достъп до един PFX файл съвпада с паролата за достъп до личния ключ, записан в него. Поради тази причина при използване на PFX файлове най-често се изисква само една парола за достъп. Смарт карти Смарт картите (smart card) представляват магнитни или чип-карти, които съхраняват чувствителна информация (лични ключове, сертификати и др.) и защитават много по-сигурно информацията, отколкото файловете с PFX хранилища. Повечето съвременни смарт карти притежават криптопроцесор и защитена област за данни, която не може да бъде прекопирана. Всъщност достъп до защитената област от смарт картата има само нейният криптопроцесор, който може да криптира и подписва данни. Потребителите реално не извличат личните ключове от картата, а ползват услугите на вградения в нея криптопроцесор. Невъзможността за извличане на защитената информация от смарт карта я прави изключително надеждна, защото достъпът до личните ключове в нея е възможен, само ако тя е физически налична. Ако картата бъде открадната, собственикът й може да установи това и да сигнализира на издателя й да я анулира. 32
При използването на PKCS#12 хранилища, съхранявани във вид на файл, има риск някой да прекопира този файл и да подслуша по някакъв начин паролите за достъп до него, след което да извлече личните ключове без знанието на собственика на хранилището. При използването на смарт карта с криптопроцесор не е възможно личните ключове да бъдат извлечени и прекопирани поради хардуерни съображения. Остава възможността картата да бъде открадната физически, но рискът от това е много по-малък в сравнение с риска от прекопирване на файл. Стандарти за достъп до смарт карти Смарт картите имат собствен криптопроцесор, собствена операционна система, защитена памет и собствена файлова система. Достъпът до тях става на различни нива с различни протоколи. Стандартът ISO 7816 (http://www.maxking.com/iso78161.htm) описва основните компоненти на смарт картите и работата с тях на ниско ниво. На по-високо ниво за достъп до смарт карти се използва стандартът PKCS#11, който дефинира програмен интерфейс за взаимодействие с криптографски устройства (cryptographic tokens) – като смарт карти, хардуерни криптографски ускорители и други [PKCS#11]. Софтуерът, който се доставя заедно със смарт картите, обикновено съдържа имплементация на PKCS#11 за съответната карта и за съответния карточетец. PKCS#11 стандартът не позволява физически да се извличат личните ключове от смарт карта, но дава възможност за използване на тези ключове с цел шифриране, дешифриране или подписване на данни. Разбира се, за да се извърши подобна операция, е необходимо преди това потребителят да въведе своя PIN код, който защитава достъпа до картата. PKCS#11 стандартът предоставя интерфейс за достъп до защитени хранилища за ключове и сертификати, съхранявани върху смарт карта. По тази причина със смарт картите може да се работи по начин, много подобен на работата с PKCS#12 хранилища. Една PKCS#11 съвместима смарт карта, обаче, има много повече възможности от едно PKCS#12 хранилище. 1.2.4. Издаване и управление на цифрови сертификати Когато един сертификационен орган издаде цифров сертификат на свой клиент, клиентът в крайна сметка получава едно защитено хранилище за ключове и сертификати, което съдържа издадения му сертификат, свързаният с него личен ключ и цялата сертификационна верига, която удостоверява автентичността на сертификата. Защитеното хранилище се предоставя на клиента или във вид на PFX файл или върху смарт карта или се инсталира директно в неговия уеб браузър. След това то може да бъде експортирано в друг формат или да се използва директно за автентикация, за подписване на документи, за проверка на подпис, за шифриране и дешифриране на информация и т.н. 33
Page 2 and 3: Java за цифрово подпи
Page 4 and 5: НАЦИОНАЛНА АКАДЕМИ
Page 6 and 7: Съдържание СЪДЪРЖА
Page 8 and 9: Увод Настоящата ра
Page 10 and 11: сървърът има довер
Page 14 and 15: обратното. Това пра
Page 16 and 17: Цифрово подписване
Page 18 and 19: Фигура 1-2. Верифика
Page 20 and 21: независима страна,
Page 22 and 23: (транзитивно). Техн
Page 24 and 25: това лице (име, орга
Page 26 and 27: В света на цифроват
Page 28 and 29: Саморъчно подписан
Page 30 and 31: Тя започва от серти
Page 34 and 35: Издаване на сертиф
Page 36 and 37: По подразбиране пр
Page 38 and 39: Фигура 1-11. Списък с
Page 40 and 41: Закупуване на цифр
Page 42 and 43: .NET Windows Forms контрола
Page 44 and 45: Фигура 1-13. Подписан
Page 46 and 47: Предимство на тази
Page 48 and 49: Java аплетите и сигур
Page 50 and 51: Глава 2. Цифрови под
Page 52 and 53: java.security.KeyStore Класът
Page 54 and 55: certFactory.generateCertificate(str
Page 56 and 57: java.security.cert.TrustAnchor Кл
Page 58 and 59: Преди извикване на
Page 60 and 61: Използване на Sun PKCS#
Page 64 and 65: - DocumentSigningDemoWebApp - Java-
Page 66 and 67: Тази команда подпи
Page 68 and 69: Стандартно Java апле
Page 70 and 71: Процесът на подпис
Page 72 and 73: Директна верификац
Page 74 and 75: Глава 4. NakovDocumentSigner -
Page 76 and 77: * The applet asks the user to locat
Page 78 and 79: } "Unable to access the local file
Page 80 and 81: private KeyStore loadKeyStoreFromPF
Page 82 and 83:
import java.awt.event.*; import jav
Page 84 and 85:
* Called when the browse button is
Page 86 and 87:
** * File filter class, intended to
Page 88 and 89:
Skip padding from the end of encode
Page 90 and 91:
след кодиране с Base64
Page 92 and 93:
Важно е да не из
Page 94 and 95:
Сертификати за тес
Page 96 and 97:
* All rights reserved. This code is
Page 98 and 99:
new PKCS11LibraryFileAndPINCodeDial
Page 100 and 101:
Provider pkcs11Provider = (Provider
Page 102 and 103:
import java.awt.*; import java.awt.
Page 104 and 105:
** * Called when the "Browse" butto
Page 106 and 107:
} } return mResult; /** * File filt
Page 108 and 109:
Резултатът от изпъ
Page 110 and 111:
Фигура 4-3. Java Plug-In 1.5
Page 112 and 113:
За директната пров
Page 114 and 115:
Document signing apple
Page 116 and 117:
scriptable="true" fileNameField="up
Page 118 and 119:
* * Copyright (c) 2003 by Svetlin N
Page 120 and 121:
displayFileInfo(mReceivedFile, mRec
Page 122 and 123:
* and displays the verification res
Page 124 and 125:
Read all X.509 certificate files on
Page 126 and 127:
Фигура 4-7. Резултат
Page 128 and 129:
InputStream aCertStream) throws Gen
Page 130 and 131:
Create a set of trust anchors from
Page 132 and 133:
web.xml action org.apache.strut
Page 134 and 135:

Page 136 and 137:
НАЦИОНАЛНА АКАДЕМИ
Page 138 and 139:
на удостоверителни
Page 140 and 141:
НАЦИОНАЛНА АКАДЕМИ
Page 142 and 143:
тите, инсталирани в
Page 144:
14. [MSDN WinForms] MSDN Library: D
show all

Download - Svetlin Nakov

Create successful ePaper yourself

Delete template?

Save as template?