Download - Svetlin Nakov

More documents

Recommendations

Info

Глава 2. Цифрови подписи и сертификати в Java При реализацията на Java приложения, които работят с цифрови подписи, сертификати и смарт карти, се използват специфични Java библиотеки. Тези библиотеки ще са ни необходими при реализацията на нашата система за подписване на документи в уеб среда и затова сега ще ги разгледаме в детайли. 2.1. Java Cryptography Architecture и Java Cryptography Extension За целите на подписването на документи, проверката на цифрови подписи и управлението на цифрови сертификати в Java платформата се използва Java Cryptography Architecture (JCA). JCA представлява спецификация, която предоставя на програмистите достъп някои до криптографски услуги, работа с цифрови подписи и сертификати [JCA, 2004]. Наред с JCA за извършване на някои криптографски операции, като шифриране, дешифриране и генериране на ключове и др., се използва Java Cryptography Extension (JCE). JCE предоставя общ framework за имплементация и употреба на криптиращи алгоритми в Java [JCE, 2004]. От архитектурна гледна точка JCA и JCE са така проектирани, че да позволяват използването на различни имплементации на различни услуги от различни софтуерни доставчици. При работата с JCA и JCE програмистът избира имената на доставчиците на криптографски услуги (providers) и имената на алгоритмите, които иска да използва. Различните доставчици на криптографски услуги реализират различно множество от криптографски услуги и алгоритми, които са достъпни по име. Спецификациите JCA и JCE установяват стандарти за различните типове криптографски услуги и специфицират начините на използване на криптографските алгоритми. Реализацията на самите алгоритми е оставена на софтуерните доставчици. В Java 2 платформата стандартно са реализирани голям брой криптографски алгоритми и услуги, но JCA и JCE и позволяват добавяне и на допълнителни собствени имплементации. 2.1.1. Основни класове за работа с цифрови подписи и сертификати Архитектурата JCA предоставя класове и интерфейси за работа с публични и лични ключове, цифрови сертификати, подписване на съобщения, проверка на цифрови подписи и достъп до защитени хранилища за ключове и сертификати. Стандартната имплементация на JCA и JCE предоставя средства за работа с X.509 сертификати и сертификационни вериги, подписване с различни алгоритми (RSA, DSA, ECDSA и др.), достъп до PKCS#12 50
хранилища, алгоритми за проверка на цифрови подписи (напр. PKIX) и достъп до смарт карти (в Java 1.5 и по-високите версии). Най-важните класове и интерфейси за работа с цифрови подписи и сертификати се намират в пакетите java.security и java.security.cert. Ще дадем кратко описание на най-важните от тях, които са свързани с имплементацията на нашата система за цифрово подписване на документи в уеб среда. java.security.PublicKey Интерфейсът java.security.PublicKey представлява публичен ключ. Той може да бъде извлечен от даден цифров сертификат и да се използва при проверката на цифрови подписи. java.security.PrivateKey Интерфейсът java.security.PrivateKey представлява личен ключ. Той може да бъде извлечен от защитено хранилище (KeyStore) и да се използва за създаване на цифров подпис. PrivateKey инстанциите реално могат и да не съдържат ключа, а само да предоставят интерфейс за достъп до него. Например ако даден личен ключ е записан върху смарт карта, той не може да бъде извлечен от нея, но може да бъде използван за подписване или криптиране посредством този интерфейс. java.security.cert.Certificate Абстрактният клас java.security.cert.Certificate е базов за всички класове, които представляват цифрови сертификати. Съдържа в себе си публичен ключ и информация за лицето, което е негов собственик, както и информация за издателя на сертификата. За представяне на всеки конкретен тип сертификати (например X.509, PGP и т. н.) се използва съответен наследник на този клас. java.security.cert.X509Certificate Класът java.security.cert.X509Certificate представлява X.509 v.3 сертификат. Той предлага методи за достъп до отделните му атрибути – собственик (Subject), издател (Issuer), публичен ключ на собственика, срок на валидност, версия, сериен номер, алгоритъм, използван за цифровата сигнатура, цифрова сигнатура, допълнителни разширения и др. Данните за един X509Certificate са достъпни само за четене. Стандартно е реализиран и метод verify(), който проверява дали сертификатът е подписан от даден публичен ключ. Тази възможност може да се използва за проверка дали даден сертификат е подписан от даден друг сертификат (т. е. дали вторият е издател на първия). 51
Page 2 and 3: Java за цифрово подпи
Page 4 and 5: НАЦИОНАЛНА АКАДЕМИ
Page 6 and 7: Съдържание СЪДЪРЖА
Page 8 and 9: Увод Настоящата ра
Page 10 and 11: сървърът има довер
Page 14 and 15: обратното. Това пра
Page 16 and 17: Цифрово подписване
Page 18 and 19: Фигура 1-2. Верифика
Page 20 and 21: независима страна,
Page 22 and 23: (транзитивно). Техн
Page 24 and 25: това лице (име, орга
Page 26 and 27: В света на цифроват
Page 28 and 29: Саморъчно подписан
Page 30 and 31: Тя започва от серти
Page 32 and 33: Хранилищата са защ
Page 34 and 35: Издаване на сертиф
Page 36 and 37: По подразбиране пр
Page 38 and 39: Фигура 1-11. Списък с
Page 40 and 41: Закупуване на цифр
Page 42 and 43: .NET Windows Forms контрола
Page 44 and 45: Фигура 1-13. Подписан
Page 46 and 47: Предимство на тази
Page 48 and 49: Java аплетите и сигур
Page 52 and 53: java.security.KeyStore Класът
Page 54 and 55: certFactory.generateCertificate(str
Page 56 and 57: java.security.cert.TrustAnchor Кл
Page 58 and 59: Преди извикване на
Page 60 and 61: Използване на Sun PKCS#
Page 64 and 65: - DocumentSigningDemoWebApp - Java-
Page 66 and 67: Тази команда подпи
Page 68 and 69: Стандартно Java апле
Page 70 and 71: Процесът на подпис
Page 72 and 73: Директна верификац
Page 74 and 75: Глава 4. NakovDocumentSigner -
Page 76 and 77: * The applet asks the user to locat
Page 78 and 79: } "Unable to access the local file
Page 80 and 81: private KeyStore loadKeyStoreFromPF
Page 82 and 83: import java.awt.event.*; import jav
Page 84 and 85: * Called when the browse button is
Page 86 and 87: ** * File filter class, intended to
Page 88 and 89: Skip padding from the end of encode
Page 90 and 91: след кодиране с Base64
Page 92 and 93: Важно е да не из
Page 94 and 95: Сертификати за тес
Page 96 and 97: * All rights reserved. This code is
Page 98 and 99: new PKCS11LibraryFileAndPINCodeDial
Page 100 and 101:
Provider pkcs11Provider = (Provider
Page 102 and 103:
import java.awt.*; import java.awt.
Page 104 and 105:
** * Called when the "Browse" butto
Page 106 and 107:
} } return mResult; /** * File filt
Page 108 and 109:
Резултатът от изпъ
Page 110 and 111:
Фигура 4-3. Java Plug-In 1.5
Page 112 and 113:
За директната пров
Page 114 and 115:
Document signing apple
Page 116 and 117:
scriptable="true" fileNameField="up
Page 118 and 119:
* * Copyright (c) 2003 by Svetlin N
Page 120 and 121:
displayFileInfo(mReceivedFile, mRec
Page 122 and 123:
* and displays the verification res
Page 124 and 125:
Read all X.509 certificate files on
Page 126 and 127:
Фигура 4-7. Резултат
Page 128 and 129:
InputStream aCertStream) throws Gen
Page 130 and 131:
Create a set of trust anchors from
Page 132 and 133:
web.xml action org.apache.strut
Page 134 and 135:

Page 136 and 137:
НАЦИОНАЛНА АКАДЕМИ
Page 138 and 139:
на удостоверителни
Page 140 and 141:
НАЦИОНАЛНА АКАДЕМИ
Page 142 and 143:
тите, инсталирани в
Page 144:
14. [MSDN WinForms] MSDN Library: D
show all

Download - Svetlin Nakov

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?