ProHoster > Blog > Administrasyon an > Eksperyans nan itilize teknoloji Rutoken pou anrejistre ak otorize itilizatè yo nan sistèm nan (pati 1)

Eksperyans nan itilize teknoloji Rutoken pou anrejistre ak otorize itilizatè yo nan sistèm nan (pati 1)

Bon apremidi Mwen vle pataje eksperyans mwen sou sijè sa a.

Rutoken se solisyon pyès ki nan konpitè ak lojisyèl nan domèn otantifikasyon, sekirite enfòmasyon ak siyati elektwonik. Esansyèlman, sa a se yon kondwi flash ki ka estoke done otantifikasyon ke itilizatè a itilize pou konekte nan sistèm lan.

Nan egzanp sa a, yo itilize Rutoken EDS 2.0.

Pou travay ak Rutoken sa a ou bezwen enstale chofè sou fenèt yo.

Pou Windows, enstale yon sèl chofè asire ke tout bagay ki nesesè yo enstale pou ke eksplwatasyon an wè Rutoken ou epi li ka travay avèk li.

Ou ka kominike avèk Rutoken nan plizyè fason. Ou ka jwenn aksè nan li nan bò sèvè aplikasyon an, oswa dirèkteman nan bò kliyan an. Egzanp sa a pral gade nan entèraksyon ak Rutoken soti nan bò kliyan nan aplikasyon an.

Pati nan kliyan nan aplikasyon an reyaji ak rutoken nan grefon nan rutoken. Sa a se yon pwogram ki enstale separeman sou chak navigatè. Pou Windows ou jis bezwen telechaje ak enstale Plugin la, ki sitiye nan lyen sa a.

Sa a se li, kounye a nou ka kominike avèk Rutoken soti nan bò kliyan nan aplikasyon an.

Egzanp sa a diskite lide pou aplike yon algorithm otorizasyon itilizatè nan sistèm nan lè l sèvi avèk konplo defi-repons la.

Sans nan lide a se jan sa a:

  1. Kliyan an voye yon demann otorizasyon bay sèvè a.
  2. Sèvè a reponn a yon demann nan men kliyan an pa voye yon fisèl o aza.
  3. Kliyan an pad fisèl sa a ak 32 bits o aza.
  4. Kliyan an siyen fisèl resevwa a ak sètifika li yo.
  5. Kliyan an voye mesaj kode resevwa a nan sèvè a.
  6. Sèvè a verifye siyati a lè li resevwa mesaj orijinal la ki pa kode.
  7. Sèvè a retire 32 bit ki sot pase yo nan mesaj ki pa kode resevwa a.
  8. Sèvè a konpare rezilta a resevwa ak mesaj ki te voye lè li te mande otorizasyon.
  9. Si mesaj yo se menm bagay la, Lè sa a, otorizasyon konsidere kòm siksè.

Nan algorithm ki anwo a gen yon bagay tankou yon sètifika. Pou egzanp sa a, ou bezwen konprann kèk teyori kriptografik. Sou Habré genyen gwo atik sou sijè sa a.

Nan egzanp sa a, nou pral sèvi ak algorithm chifreman asimetri. Pou aplike algorithm asimetri, ou dwe gen yon pè kle ak yon sètifika.

Yon pè kle konsiste de de pati: yon kle prive ak yon kle piblik. Kle prive a, jan non li sijere, dwe sekrè. Nou itilize li pou dechifre enfòmasyon. Kle piblik la ka distribye bay nenpòt moun. Kle sa a itilize pou ankripte done yo. Kidonk, nenpòt itilizatè ka ankripte done lè l sèvi avèk kle piblik la, men se sèlman pwopriyetè kle prive a ki ka dechifre enfòmasyon sa a.

Yon sètifika se yon dokiman elektwonik ki gen enfòmasyon sou itilizatè a ki posede sètifika a, ansanm ak yon kle piblik. Avèk yon sètifika, itilizatè a ka siyen nenpòt done epi voye li nan sèvè a, ki ka verifye siyati a ak dechifre done yo.

Pou siyen yon mesaj kòrèkteman ak yon sètifika, ou bezwen kreye li kòrèkteman. Pou fè sa, yo premye kreye yon pè kle sou Rutoken, ak Lè sa a, yon sètifika dwe lye ak kle piblik la nan pè kle sa a. Sètifika a dwe gen egzakteman kle piblik ki sitiye sou Rutoken, sa a enpòtan. Si nou tou senpleman kreye yon pè kle ak yon sètifika imedyatman sou bò kliyan aplikasyon an, Lè sa a, ki jan sèvè a ka dekripte mesaj sa a chiffres? Apre yo tout, li pa konnen anyen ditou sou swa pè kle a oswa sètifika a.

Si ou plonje pi fon nan sijè sa a, ou ka jwenn enfòmasyon enteresan sou entènèt la. Gen sèten otorite sètifikasyon ke nou evidamman fè konfyans. Otorite sètifikasyon sa yo ka bay itilizatè yo sètifika; yo enstale sètifika sa yo sou sèvè yo. Apre sa, lè kliyan an jwenn aksè nan sèvè sa a, li wè sètifika sa a anpil, epi li wè ke li te emèt pa yon otorite sètifikasyon, ki vle di sèvè sa a ka fè konfyans. Genyen tou anpil enfòmasyon sou entènèt la sou kòman yo mete tout bagay kòrèkteman. Pou egzanp, ou ka kòmanse ak sa a.

Si nou retounen nan pwoblèm nou an, solisyon an sanble evidan. Ou bezwen yon jan kanmenm kreye pwòp sant sètifikasyon ou. Men, anvan sa, ou bezwen konnen sou ki baz sant sètifikasyon an ta dwe bay itilizatè a yon sètifika, paske li pa konnen anyen sou li. (Pa egzanp, non li, siyati, elatriye) Gen yon bagay konsa yo rele yon demann sètifika. Ou ka jwenn plis enfòmasyon sou estanda sa a, pou egzanp, sou Wikipedya ru.wikipedia.org/wiki/PKCS
Nou pral itilize vèsyon 1.7 - PKCS#10.

Ann dekri algorithm pou jenere yon sètifika sou Rutoken (sous orijinal la: dokiman an):

  1. Nou kreye yon pè kle sou kliyan an epi sove li sou Rutoken. (ekonomize rive otomatikman)
  2. Nou kreye yon demann sètifika sou kliyan an.
  3. Soti nan kliyan an nou voye demann sa a nan sèvè a.
  4. Lè nou resevwa yon demann pou yon sètifika sou sèvè a, nou bay yon sètifika nan men otorite sètifikasyon nou an.
  5. Nou voye sètifika sa a bay kliyan an.
  6. Nou sove sètifika Rutoken sou kliyan an.
  7. Sètifika a dwe mare ak pè kle ki te kreye nan premye etap la.

Koulye a, li vin klè ki jan sèvè a pral kapab dechifre siyati kliyan an, depi li menm li te bay sètifika a ba li.

Nan pwochen pati a, nou pral pran yon gade pi pre sou ki jan yo mete kanpe otorite sètifika ou a ki baze sou bibliyotèk kriptografik open-source openSSL konplè.

Sous: www.habr.com

Add nouvo kòmantè