Download - Svetlin Nakov

More documents

Recommendations

Info

Процесът на подписване на документ Самият процес на подписване, който започва при натискане на бутона от аплета за подписване, може да се извърши по следния начин: 1. Подканва се потребителят да избере от локалната си файлова система защитено хранилище (PFX файл), съдържащо цифровия му сертификат и съответните на него личен ключ и сертификационна верига. Изисква се от потребителя да въведе паролата си за достъп до информацията в избраното защитено хранилище. Ако се използва смарт карта, се подканва потребителят да посочи библиотеката-имплементация на PKCS#11 и PIN кодът за достъп до смарт картата. 2. Зарежда се избраният PFX файл и от него се изваждат сертификата на потребителя, съответният му личен ключ и цялата сертификационна верига, свързана с този сертификат. При работа със смарт карта случаят е аналогичен – от картата се зареждат сертификатът, сертификационната му верига (ако е налична) и личният ключ. 3. Взема се името на файла за подписване от HTML формата, файлът се зарежда в паметта и се извършва подписването му с личния ключ на потребителя. 4. Резултатът от подписването на файла и сертификата на потребителя заедно с цялата му сертификационна верига се записват в определени полета от HTML формата в текстов вид за да бъдат изпратени към сървъра заедно в уеб формата. Може да се използва стандартният формат BASE64 за записване на бинарни данни в текстов вид. Сървърът, който посреща подписания файл, има грижата да провери дали файлът е коректно подписан с личния ключ, съответстващ на изпратения сертификат. Освен това сървърът трябва на даден етап да проверява дали използваният сертификат е валиден. Това може да става веднага при получаването на файла или на по-късен етап, ако е необходимо да се установи от кого е подписан даден документ. 3.3. Уеб приложение за верификация на цифровия подпис и използвания сертификат Освен аплетът, който подписва изпращаните от потребителя файлове, нашата уеб-базирана информационна система трябва да реализира и функционалност за посрещане на тези подписани файлове заедно с проверка на получената сигнатура. Необходимо е още получените клиентски сертификати и сертификационни вериги също да бъдат проверявани, за да е ясно кой всъщност подписва получените файлове. Да разгледаме проблемите, свързани с тези проверки. 3.3.1. Система за верификация на цифровия подпис Проверката на цифровия подпис има за цел да установи дали изпратената сигнатура съответства на изпратения файл и на изпратения сертификат, т.е. дали тя е истинска. Тази проверка се осъществява по стандартния начин за 70
верификация на сигнатури – от сертификата на изпращача се извлича публичният му ключ и се проверява дали сигнатурата на получения документ е направена със съответния му личен ключ. 3.3.2. Система за верификация на сертификати Проверката на получения сертификат има за цел да установи дали публичният ключ, записан в него, е наистина собственост на лицето, на което сертификатът е издаден, т. е. дали потребителят е наистина този, за когото се представя при подписването. Тази проверка е по-сложна и изисква предварителна подготовка. Верификация на цифрови сертификати Има няколко механизма за верификация на цифрови сертификати. Ние ще разгледаме два от тях. При PKI инфраструктурата класическият механизъм за проверка на сертификат изисква да се провери сертификационната му верига. За да се провери една сертификационна верига, всички сертификати, които я изграждат трябва да са налични. В противен случай проверката не може да се извърши. Другият вариант е да се провери директно сертификатът дали е подписан от друг сертификат, на който имаме доверие. В нашата система потребителят използва при подписването стандартни защитени хранилища за ключове и сертификати, записани в PFX файлове. Както знаем, тези файлове обикновено съдържат сертификат и съответстващ му личен ключ. В повечето случаи сертификатът е придружен от пълната му сертификационна верига, но понякога такава верига не е налична. Например, когато потребителят използва за подписване на документи саморъчно-подписан сертификат, този сертификат няма сертификационна верига. Следователно е възможно при получаването на подписан файл на сървъра да се получи сертификатът на потребителя заедно с пълната му сертификационна верига, но е възможно също да се получи само сертификата без никаква сертификационна верига. Проверка на сертификационната верига Ако е налична сертификационната верига на използвания при подписването сертификат, тази верига може да се провери по класическия начин – чрез проверка на всеки от сертификатите, които я изграждат, проверка на валидността на връзките между тях и проверка на Root-сертификата, от който започва веригата. За целта може да се използват средствата на Java Certification Path API и алгоритъмът PKIX, който е реализиран стандартно в JDK 1.4. Необходимо е единствено приложението да поддържа множество от Root-сертификати на сертификационни органи от първо ниво, на които безусловно вярва (trusted CA root certificates). 71
Page 2 and 3:
Java за цифрово подпи
Page 4 and 5:
НАЦИОНАЛНА АКАДЕМИ
Page 6 and 7:
Съдържание СЪДЪРЖА
Page 8 and 9:
Увод Настоящата ра
Page 10 and 11:
сървърът има довер
Page 12 and 13:
Page 14 and 15:
обратното. Това пра
Page 16 and 17:
Цифрово подписване
Page 18 and 19:
Фигура 1-2. Верифика
Page 20 and 21: независима страна,
Page 22 and 23: (транзитивно). Техн
Page 24 and 25: това лице (име, орга
Page 26 and 27: В света на цифроват
Page 28 and 29: Саморъчно подписан
Page 30 and 31: Тя започва от серти
Page 32 and 33: Хранилищата са защ
Page 34 and 35: Издаване на сертиф
Page 36 and 37: По подразбиране пр
Page 38 and 39: Фигура 1-11. Списък с
Page 40 and 41: Закупуване на цифр
Page 42 and 43: .NET Windows Forms контрола
Page 44 and 45: Фигура 1-13. Подписан
Page 46 and 47: Предимство на тази
Page 48 and 49: Java аплетите и сигур
Page 50 and 51: Глава 2. Цифрови под
Page 52 and 53: java.security.KeyStore Класът
Page 54 and 55: certFactory.generateCertificate(str
Page 56 and 57: java.security.cert.TrustAnchor Кл
Page 58 and 59: Преди извикване на
Page 60 and 61: Използване на Sun PKCS#
Page 62 and 63: НАЦИОНАЛНА АКАДЕМИ
Page 64 and 65: - DocumentSigningDemoWebApp - Java-
Page 66 and 67: Тази команда подпи
Page 68 and 69: Стандартно Java апле
Page 72 and 73: Директна верификац
Page 74 and 75: Глава 4. NakovDocumentSigner -
Page 76 and 77: * The applet asks the user to locat
Page 78 and 79: } "Unable to access the local file
Page 80 and 81: private KeyStore loadKeyStoreFromPF
Page 82 and 83: import java.awt.event.*; import jav
Page 84 and 85: * Called when the browse button is
Page 86 and 87: ** * File filter class, intended to
Page 88 and 89: Skip padding from the end of encode
Page 90 and 91: след кодиране с Base64
Page 92 and 93: Важно е да не из
Page 94 and 95: Сертификати за тес
Page 96 and 97: * All rights reserved. This code is
Page 98 and 99: new PKCS11LibraryFileAndPINCodeDial
Page 100 and 101: Provider pkcs11Provider = (Provider
Page 102 and 103: import java.awt.*; import java.awt.
Page 104 and 105: ** * Called when the "Browse" butto
Page 106 and 107: } } return mResult; /** * File filt
Page 108 and 109: Резултатът от изпъ
Page 110 and 111: Фигура 4-3. Java Plug-In 1.5
Page 112 and 113: За директната пров
Page 114 and 115: Document signing apple
Page 116 and 117: scriptable="true" fileNameField="up
Page 118 and 119: * * Copyright (c) 2003 by Svetlin N
Page 120 and 121:
displayFileInfo(mReceivedFile, mRec
Page 122 and 123:
* and displays the verification res
Page 124 and 125:
Read all X.509 certificate files on
Page 126 and 127:
Фигура 4-7. Резултат
Page 128 and 129:
InputStream aCertStream) throws Gen
Page 130 and 131:
Create a set of trust anchors from
Page 132 and 133:
web.xml action org.apache.strut
Page 134 and 135:

Page 136 and 137:
Page 138 and 139:
на удостоверителни
Page 140 and 141:
Page 142 and 143:
тите, инсталирани в
Page 144:
14. [MSDN WinForms] MSDN Library: D
show all

Download - Svetlin Nakov

Create successful ePaper yourself

Delete template?

Save as template?