Download - Svetlin Nakov

More documents

Recommendations

Info

Фигура 1-11. Списък с анулирани сертификати Повече информация за CRL списъците може да се намери в тяхната официална спецификация – [RFC 3280, раздел 5]. Проверка на сертификати по OSCP OCSP (Online Certificate Status Protocol) е протокол за проверка на валидността на сертификат в реално време. Чрез него може да се отправи заявка към сертификационния орган, издал даден сертификат, и да се провери дали в настоящия момент този сертификат е валиден. Проверката на статуса се осъществява чрез използване на OCSP клиент (OCSP Requestor) и OCSP сървър (OCSP Responder). OCSP клиентът се обръща към OCSP сървъра на сертификационния орган, който дава отговор за статуса на сертификата. Този отговор е електронно подписан със сертификата на OCSP сървъра и съдържа както информация за проверявания сертификат, така и времето на обработка, което служи като доказателство за валидност. OCSP протоколът е описан в [RFC 2560]. 1.3. Технологии за цифрово подписване в уеб среда Да си представим, че разработваме някаква информационна система с уеббазиран потребителски интерфейс, която е достъпна от Интернет. Потребителите на тази система трябва да могат да изпращат на сървъра различни 38
документи. Документите могат да бъдат файлове с най-разнообразни формати – MS Word .DOC файлове, Adobe Acrobat .PDF файлове, MS Excel .XLS файлове, JPEG и GIF изображения, текстови файлове и др. За да се следи самоличността на изпращачите и за да се гарантира, че никой не може да промени документите след тяхното изпращане, е необходимо системата да дава възможност на потребителите да подписват с цифров подпис изпращаните файлове. Да разгледаме проблемите, които стоят пред реализацията на такава система. 1.3.1. Общи съображения при подписването в уеб среда За целите на цифровия подпис системата може да използва криптография, базирана на публични ключове, а за удостоверяване на самоличността на потребителите, които подписват документи, е най-удобно да бъдат използвани цифрови сертификати. Сертификатите могат да бъдат или саморъчно-подписани (self-signed) или да бъдат издадени от някой сертификационен орган. Кой издава сертификатите Ако потребителите саморъчно си издават сертификати и подписват с тях изпращаните документи, няма гаранция че някой злонамерен потребител няма да си издаде сертификат с чуждо име и да подпише някакви документи от името на друг потребител. Използване на локален сертификационен орган За да се избегне горният проблем, е възможен друг вариант – лицето, което поддържа системата (системният администратор) да издава цифрови сертификати на потребителите. Той може да осъществи това като създаде локален сертификационен орган или като директно генерира и раздава публичните и личните ключове на потребителите. На практика това е моделът на директно доверие, при който всички потребители се доверяват на една независима трета страна. Този модел работи добре в малки организации, но не е приложим в глобална среда, каквато е Интернет. Използване на утвърден (глобален) сертификационен орган Другият подход е да се използват услугите на утвърдените сертификационни органи. Всеки потребител на системата закупува сертификат от някой сертификационен орган и този орган гарантира, че издаденият сертификат е наистина на лицето, което е записано в сертификата. Личният ключ, съответстващ на този сертификат, остава достъпен единствено за неговия собственик и за никой друг (като за по-голяма сигурност може да се съхранява върху смарт карта). Благодарение на това когато даден потребител подпише даден документ със сертификата, издаден му от някой сертификационен орган, има гаранция, че подписът е положен наистина от него. Фалшификация е възможна само, ако злонамерени лица се сдобият с личния ключ на някой потребител, за което отговорност носи самият този потребител. 39
Page 2 and 3: Java за цифрово подпи
Page 4 and 5: НАЦИОНАЛНА АКАДЕМИ
Page 6 and 7: Съдържание СЪДЪРЖА
Page 8 and 9: Увод Настоящата ра
Page 10 and 11: сървърът има довер
Page 14 and 15: обратното. Това пра
Page 16 and 17: Цифрово подписване
Page 18 and 19: Фигура 1-2. Верифика
Page 20 and 21: независима страна,
Page 22 and 23: (транзитивно). Техн
Page 24 and 25: това лице (име, орга
Page 26 and 27: В света на цифроват
Page 28 and 29: Саморъчно подписан
Page 30 and 31: Тя започва от серти
Page 32 and 33: Хранилищата са защ
Page 34 and 35: Издаване на сертиф
Page 36 and 37: По подразбиране пр
Page 40 and 41: Закупуване на цифр
Page 42 and 43: .NET Windows Forms контрола
Page 44 and 45: Фигура 1-13. Подписан
Page 46 and 47: Предимство на тази
Page 48 and 49: Java аплетите и сигур
Page 50 and 51: Глава 2. Цифрови под
Page 52 and 53: java.security.KeyStore Класът
Page 54 and 55: certFactory.generateCertificate(str
Page 56 and 57: java.security.cert.TrustAnchor Кл
Page 58 and 59: Преди извикване на
Page 60 and 61: Използване на Sun PKCS#
Page 64 and 65: - DocumentSigningDemoWebApp - Java-
Page 66 and 67: Тази команда подпи
Page 68 and 69: Стандартно Java апле
Page 70 and 71: Процесът на подпис
Page 72 and 73: Директна верификац
Page 74 and 75: Глава 4. NakovDocumentSigner -
Page 76 and 77: * The applet asks the user to locat
Page 78 and 79: } "Unable to access the local file
Page 80 and 81: private KeyStore loadKeyStoreFromPF
Page 82 and 83: import java.awt.event.*; import jav
Page 84 and 85: * Called when the browse button is
Page 86 and 87: ** * File filter class, intended to
Page 88 and 89:
Skip padding from the end of encode
Page 90 and 91:
след кодиране с Base64
Page 92 and 93:
Важно е да не из
Page 94 and 95:
Сертификати за тес
Page 96 and 97:
* All rights reserved. This code is
Page 98 and 99:
new PKCS11LibraryFileAndPINCodeDial
Page 100 and 101:
Provider pkcs11Provider = (Provider
Page 102 and 103:
import java.awt.*; import java.awt.
Page 104 and 105:
** * Called when the "Browse" butto
Page 106 and 107:
} } return mResult; /** * File filt
Page 108 and 109:
Резултатът от изпъ
Page 110 and 111:
Фигура 4-3. Java Plug-In 1.5
Page 112 and 113:
За директната пров
Page 114 and 115:
Document signing apple
Page 116 and 117:
scriptable="true" fileNameField="up
Page 118 and 119:
* * Copyright (c) 2003 by Svetlin N
Page 120 and 121:
displayFileInfo(mReceivedFile, mRec
Page 122 and 123:
* and displays the verification res
Page 124 and 125:
Read all X.509 certificate files on
Page 126 and 127:
Фигура 4-7. Резултат
Page 128 and 129:
InputStream aCertStream) throws Gen
Page 130 and 131:
Create a set of trust anchors from
Page 132 and 133:
web.xml action org.apache.strut
Page 134 and 135:

Page 136 and 137:
НАЦИОНАЛНА АКАДЕМИ
Page 138 and 139:
на удостоверителни
Page 140 and 141:
НАЦИОНАЛНА АКАДЕМИ
Page 142 and 143:
тите, инсталирани в
Page 144:
14. [MSDN WinForms] MSDN Library: D
show all

Download - Svetlin Nakov

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?