Download - Svetlin Nakov
Download - Svetlin Nakov
Download - Svetlin Nakov
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
При използването на PKCS#12 хранилища, съхранявани във вид на файл,<br />
има риск някой да прекопира този файл и да подслуша по някакъв начин<br />
паролите за достъп до него, след което да извлече личните ключове без<br />
знанието на собственика на хранилището. При използването на смарт карта<br />
с криптопроцесор не е възможно личните ключове да бъдат извлечени и<br />
прекопирани поради хардуерни съображения. Остава възможността картата<br />
да бъде открадната физически, но рискът от това е много по-малък в<br />
сравнение с риска от прекопирване на файл.<br />
Стандарти за достъп до смарт карти<br />
Смарт картите имат собствен криптопроцесор, собствена операционна<br />
система, защитена памет и собствена файлова система. Достъпът до тях<br />
става на различни нива с различни протоколи. Стандартът ISO 7816<br />
(http://www.maxking.com/iso78161.htm) описва основните компоненти на<br />
смарт картите и работата с тях на ниско ниво.<br />
На по-високо ниво за достъп до смарт карти се използва стандартът<br />
PKCS#11, който дефинира програмен интерфейс за взаимодействие с<br />
криптографски устройства (cryptographic tokens) – като смарт карти, хардуерни<br />
криптографски ускорители и други [PKCS#11].<br />
Софтуерът, който се доставя заедно със смарт картите, обикновено съдържа<br />
имплементация на PKCS#11 за съответната карта и за съответния<br />
карточетец.<br />
PKCS#11 стандартът не позволява физически да се извличат личните<br />
ключове от смарт карта, но дава възможност за използване на тези ключове<br />
с цел шифриране, дешифриране или подписване на данни. Разбира се, за да<br />
се извърши подобна операция, е необходимо преди това потребителят да<br />
въведе своя PIN код, който защитава достъпа до картата.<br />
PKCS#11 стандартът предоставя интерфейс за достъп до защитени хранилища<br />
за ключове и сертификати, съхранявани върху смарт карта. По тази<br />
причина със смарт картите може да се работи по начин, много подобен на<br />
работата с PKCS#12 хранилища. Една PKCS#11 съвместима смарт карта,<br />
обаче, има много повече възможности от едно PKCS#12 хранилище.<br />
1.2.4. Издаване и управление на цифрови сертификати<br />
Когато един сертификационен орган издаде цифров сертификат на свой<br />
клиент, клиентът в крайна сметка получава едно защитено хранилище за<br />
ключове и сертификати, което съдържа издадения му сертификат, свързаният<br />
с него личен ключ и цялата сертификационна верига, която удостоверява<br />
автентичността на сертификата.<br />
Защитеното хранилище се предоставя на клиента или във вид на PFX файл<br />
или върху смарт карта или се инсталира директно в неговия уеб браузър.<br />
След това то може да бъде експортирано в друг формат или да се използва<br />
директно за автентикация, за подписване на документи, за проверка на<br />
подпис, за шифриране и дешифриране на информация и т.н.<br />
33