Download - Svetlin Nakov

More documents

Recommendations

Info

Сертификати за тестови цели За да използва аплета, се очаква потребителят да притежава цифров сертификат и съответен на него личен ключ, записани в PFX файл (PKCS#12 хранилище), като паролата за достъп до този файл трябва да съвпада с паролата за достъп до личния ключ към сертификата. Такъв PFX файл може да се придобие при закупуването на сертификат от някой сертификационен орган или да се генерира с инструмента keytool. За тестови цели могат да бъдат използвани демонстрационни цифрови сертификати, които могат да бъдат получени от уеб сайтовете на някои сертификационни органи като Thawte, VeriSign и GlobalSign. Тези сертификационни органи издават сертификатите си през Интернет и в резултат потребителите ги получават инсталирани директно в техните уеб браузъри. За да бъдат използвани такива сертификати за подписване на документи с DigitalSignerApplet, те първо трябва да бъдат експортирани заедно с личния им ключ в .PFX или .P12 файл. 4.3. Java аплет за подписване със смарт карта В предната част видяхме как можем да реализираме аплет, който подписва документи със сертификат, намиращ се в PKCS#12 хранилище (PFX файл). Нека сега разгледаме имплементацията на аплета SmartCardSignerApplet за подписване на документи със смарт карта. Системни изисквания за Java аплета за подписване със смарт карта Java аплетът за подписване със смарт карта изисква инсталиран Java Plug-In версия 1.5 или по-нова на машината на клиента. Това е необходимо, защото аплетът използва Sun PKCS#11 Provider, който се появява стандартно в Java от версия 1.5 нататък. Имплементация на аплета за подписване със смарт карта Подписването със смарт карта не се различава много от подписването с PFX файл. Всъщност, разликата е само в начина на инстанциране на хранилището за ключове и сертификати. При работа с PKCS#12 хранилището се зарежда от PFX файл, а при работа със смарт карта, хранилището се зарежда от картата чрез интерфейса PKCS#11. Другата разлика е, че вместо парола за достъп се изисква PIN кода за картата. Всичко останало е еднакво – от зареждането на сертификата, до подписването на файла. Да разгледаме сорс кода на аплета. Класът SmartCardSignerApplet реализира основната му функционалност: import java.applet.Applet; import java.awt.*; import java.awt.event.ActionEvent; import java.awt.event.ActionListener; import javax.swing.*; SmartCardSignerApplet.java 94
import java.io.File; import java.io.FileInputStream; import java.io.IOException; import java.io.ByteArrayInputStream; import java.util.Arrays; import java.util.Enumeration; import java.util.List; import java.security.*; import java.security.cert.CertPath; import java.security.cert.Certificate; import java.security.cert.CertificateException; import java.security.cert.CertificateFactory; import java.lang.reflect.Constructor; import netscape.javascript.JSException; import netscape.javascript.JSObject; /** * Applet for digital signing documents with a smart card. The applet is intended to * be placed in a HTML document containing a single HTML form that is used for applet * input/output. The applet accepts several parameters - the name of the field in the * HTML form that contains the file name to be signed and the names of the fields in * the HTML form, where the certification chain and signature should be stored. * * If the signing process is sucecssfull, the signature and certification chain * fields in the HTML form are filled. Otherwise an error message explaining the * failure reason is shown. * * The applet asks the user to locate in his local file system the PKCS#11 * implementation library that is part of software that come with the smart card * and the smart card reader. Usually this is a Windows .DLL file located in Windows * system32 directory or .so library (e.g. C:\windows\system32\pkcs201n.dll). * * The applet also asks the user to enter his PIN code for accessing the smart card. * If the smart card contains a certificate and a corresponding private key, the * signature of the file is calculated and is placed in the HTML form. In addition * to the calculated signature the certificate with its full certification chain is * extracted from the smart card and is placed in the HTML form too. The digital * signature is placed as Base64-encoded sequence of bytes. The certification chain * is placed as ASN.1 DER-encoded sequence of bytes, additionally encoded in Base64. * In case the smart card contains only one certificate without its full * certification chain, a chain consisting of this single certificate is extracted * and stored in the HTML form instead of a full certification chain. * * Digital singature algorithm used is SHA1withRSA. The length of the calculated * singature depends on the length of the private key on the smart card. * * The applet should be able to access the local machine's file system for reading * and writing. Reading the local file system is required for the applet to access * the file that should be signed. Writing the local file system is required for * the applet to save its settings in the user's home directory. Accessing the local * file system is not possible by default, but if the applet is digitally signed * (with jarsigner), it runs with no security restrictions and can do anything. * This applet should be signed in order to run. * * Java Plug-In version 1.5 or hihger is required for accessing the PKCS#11 smart * card functionality, so the applet will not run in any other Java runtime * environment. * * This file is part of NakovDocumentSigner digital document * signing framework for Java-based Web applications: * http://www.nakov.com/documents-signing/ * * Copyright (c) 2005 by Svetlin Nakov - http://www.nakov.com 95
Page 2 and 3:
Java за цифрово подпи
Page 4 and 5:
НАЦИОНАЛНА АКАДЕМИ
Page 6 and 7:
Съдържание СЪДЪРЖА
Page 8 and 9:
Увод Настоящата ра
Page 10 and 11:
сървърът има довер
Page 12 and 13:
НАЦИОНАЛНА АКАДЕМИ
Page 14 and 15:
обратното. Това пра
Page 16 and 17:
Цифрово подписване
Page 18 and 19:
Фигура 1-2. Верифика
Page 20 and 21:
независима страна,
Page 22 and 23:
(транзитивно). Техн
Page 24 and 25:
това лице (име, орга
Page 26 and 27:
В света на цифроват
Page 28 and 29:
Саморъчно подписан
Page 30 and 31:
Тя започва от серти
Page 32 and 33:
Хранилищата са защ
Page 34 and 35:
Издаване на сертиф
Page 36 and 37:
По подразбиране пр
Page 38 and 39:
Фигура 1-11. Списък с
Page 40 and 41:
Закупуване на цифр
Page 42 and 43:
.NET Windows Forms контрола
Page 44 and 45: Фигура 1-13. Подписан
Page 46 and 47: Предимство на тази
Page 48 and 49: Java аплетите и сигур
Page 50 and 51: Глава 2. Цифрови под
Page 52 and 53: java.security.KeyStore Класът
Page 54 and 55: certFactory.generateCertificate(str
Page 56 and 57: java.security.cert.TrustAnchor Кл
Page 58 and 59: Преди извикване на
Page 60 and 61: Използване на Sun PKCS#
Page 62 and 63: НАЦИОНАЛНА АКАДЕМИ
Page 64 and 65: - DocumentSigningDemoWebApp - Java-
Page 66 and 67: Тази команда подпи
Page 68 and 69: Стандартно Java апле
Page 70 and 71: Процесът на подпис
Page 72 and 73: Директна верификац
Page 74 and 75: Глава 4. NakovDocumentSigner -
Page 76 and 77: * The applet asks the user to locat
Page 78 and 79: } "Unable to access the local file
Page 80 and 81: private KeyStore loadKeyStoreFromPF
Page 82 and 83: import java.awt.event.*; import jav
Page 84 and 85: * Called when the browse button is
Page 86 and 87: ** * File filter class, intended to
Page 88 and 89: Skip padding from the end of encode
Page 90 and 91: след кодиране с Base64
Page 92 and 93: Важно е да не из
Page 96 and 97: * All rights reserved. This code is
Page 98 and 99: new PKCS11LibraryFileAndPINCodeDial
Page 100 and 101: Provider pkcs11Provider = (Provider
Page 102 and 103: import java.awt.*; import java.awt.
Page 104 and 105: ** * Called when the "Browse" butto
Page 106 and 107: } } return mResult; /** * File filt
Page 108 and 109: Резултатът от изпъ
Page 110 and 111: Фигура 4-3. Java Plug-In 1.5
Page 112 and 113: За директната пров
Page 114 and 115: Document signing apple
Page 116 and 117: scriptable="true" fileNameField="up
Page 118 and 119: * * Copyright (c) 2003 by Svetlin N
Page 120 and 121: displayFileInfo(mReceivedFile, mRec
Page 122 and 123: * and displays the verification res
Page 124 and 125: Read all X.509 certificate files on
Page 126 and 127: Фигура 4-7. Резултат
Page 128 and 129: InputStream aCertStream) throws Gen
Page 130 and 131: Create a set of trust anchors from
Page 132 and 133: web.xml action org.apache.strut
Page 134 and 135:
Page 138 and 139: на удостоверителни
Page 142 and 143: тите, инсталирани в
Page 144:
14. [MSDN WinForms] MSDN Library: D
show all

Download - Svetlin Nakov

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?