Il-waranofsinhar it-tajjeb Irrid naqsam l-esperjenza tiegħi dwar dan is-suġġett.
Rutoken huwa soluzzjonijiet ta 'ħardwer u softwer fil-qasam tal-awtentikazzjoni, is-sigurtà tal-informazzjoni u l-firma elettronika. Essenzjalment, dan huwa flash drive li jista 'jaħżen data ta' awtentikazzjoni li l-utent juża biex jidħol fis-sistema.
F'dan l-eżempju, jintuża Rutoken EDS 2.0.
Biex taħdem ma 'dan ir-Rutoken għandek bżonn
Għall-Windows, l-installazzjoni ta 'sewwieq wieħed biss tiżgura li dak kollu li huwa meħtieġ ikun installat sabiex l-OS jara r-Rutoken tiegħek u jkun jista' jaħdem miegħu.
Il-parti tal-klijent tal-applikazzjoni tinteraġixxi mar-rutoken permezz tal-plugin rutoken. Dan huwa programm li huwa installat separatament fuq kull browser. Għall-Windows għandek bżonn biss tniżżel u tinstalla l-plugin,
Dak hu, issa nistgħu jinteraġixxu ma 'Rutoken min-naħa tal-klijent tal-applikazzjoni.
Dan l-eżempju jiddiskuti l-idea li jiġi implimentat algoritmu ta’ awtorizzazzjoni tal-utent fis-sistema bl-użu tal-iskema ta’ sfida-rispons.
L-essenza tal-idea hija kif ġej:
- Il-klijent jibgħat talba ta 'awtorizzazzjoni lis-server.
- Is-server jirrispondi għal talba mill-klijent billi jibgħat string każwali.
- Il-klijent pads din is-sekwenza bi 32 bit każwali.
- Il-klijent jiffirma l-istring riċevut biċ-ċertifikat tiegħu.
- Il-klijent jibgħat il-messaġġ kriptat riċevut lis-server.
- Is-server jivverifika l-firma billi jirċievi l-messaġġ oriġinali mhux kriptat.
- Is-server ineħħi l-aħħar 32 bit mill-messaġġ mhux kriptat riċevut.
- Is-server iqabbel ir-riżultat riċevut mal-messaġġ li ntbagħat meta talbet l-awtorizzazzjoni.
- Jekk il-messaġġi huma l-istess, allura l-awtorizzazzjoni titqies bħala suċċess.
Fl-algoritmu ta 'hawn fuq hemm ħaġa bħal ċertifikat. Għal dan l-eżempju, trid tifhem xi teorija kriptografika. Fuq Habré hemm
F'dan l-eżempju, se nużaw algoritmi ta' encryption asimmetriċi. Biex timplimenta algoritmi asimmetriċi, irid ikollok par taċ-ċwievet u ċertifikat.
Par ta 'ċavetta jikkonsisti f'żewġ partijiet: ċavetta privata u ċavetta pubblika. Iċ-ċavetta privata, kif jissuġġerixxi isimha, għandha tkun sigrieta. Aħna nużawha biex niddeċifraw l-informazzjoni. Iċ-ċavetta pubblika tista' titqassam lil kulħadd. Din iċ-ċavetta tintuża biex tikkodifika d-dejta. Għalhekk, kull utent jista 'jikkripta d-data bl-użu taċ-ċavetta pubblika, iżda s-sid taċ-ċavetta privata biss jista' jiddekofra din l-informazzjoni.
Ċertifikat huwa dokument elettroniku li fih informazzjoni dwar l-utent li għandu ċ-ċertifikat, kif ukoll ċavetta pubblika. B'ċertifikat, l-utent jista 'jiffirma kwalunkwe data u jibgħatha lis-server, li jista' jivverifika l-firma u jiddeċifra d-data.
Sabiex tiffirma b'mod korrett messaġġ b'ċertifikat, għandek bżonn toħloq b'mod korrett. Biex tagħmel dan, l-ewwel jinħoloq par ta 'ċavetta fuq Rutoken, u mbagħad ċertifikat irid ikun marbut maċ-ċavetta pubblika ta' dan il-par ta 'ċwievet. Iċ-ċertifikat għandu jkollu eżattament iċ-ċavetta pubblika li tinsab fuq Rutoken, dan huwa importanti. Jekk sempliċiment noħolqu par ta 'ċavetta u ċertifikat immedjatament fuq in-naħa tal-klijent tal-applikazzjoni, allura kif jista' s-server imbagħad jiddekofra dan il-messaġġ kriptat? Wara kollox, ma jaf xejn dwar il-par taċ-ċwievet jew iċ-ċertifikat.
Jekk tgħaddas aktar fil-fond f'dan is-suġġett, tista' ssib informazzjoni interessanti fuq l-Internet. Hemm ċerti awtoritajiet taċ-ċertifikazzjoni li ovvjament nafdawhom. Dawn l-awtoritajiet taċ-ċertifikazzjoni jistgħu joħorġu ċertifikati lill-utenti; huma jinstallaw dawn iċ-ċertifikati fuq is-server tagħhom. Wara dan, meta l-klijent jaċċessa dan is-server, jara dan iċ-ċertifikat stess, u jara li nħareġ minn awtorità ta 'ċertifikazzjoni, li jfisser li dan is-server jista' jiġi fdat. Hemm ukoll ħafna informazzjoni fuq l-Internet dwar kif twaqqaf kollox b'mod korrett.
Jekk nerġgħu lura għall-problema tagħna, is-soluzzjoni tidher ovvja. Għandek bżonn b'xi mod toħloq iċ-ċentru ta 'ċertifikazzjoni tiegħek stess. Iżda qabel dan, għandek bżonn issib fuq liema bażi ċ-ċentru ta 'ċertifikazzjoni għandu joħroġ ċertifikat lill-utent, għaliex ma jaf xejn dwar dan. (Pereżempju, ismu, kunjom, eċċ.) Hemm ħaġa bħal din imsejħa talba għal ċertifikat. Aktar informazzjoni dwar dan l-istandard tista' tinstab, pereżempju, fuq il-Wikipedija
Se nużaw il-verżjoni 1.7 - PKCS#10.
Ejja niddeskrivu l-algoritmu għall-ġenerazzjoni ta' ċertifikat fuq Rutoken (sors oriġinali:
- Aħna noħolqu par ewlieni fuq il-klijent u nissejvjah fuq Rutoken. (l-iffrankar iseħħ awtomatikament)
- Aħna noħolqu talba għal ċertifikat fuq il-klijent.
- Mill-klijent aħna nibagħtu din it-talba lis-server.
- Meta nirċievu talba għal ċertifikat fuq is-server, noħorġu ċertifikat mill-awtorità taċ-ċertifikazzjoni tagħna.
- Aħna nibagħtu dan iċ-ċertifikat lill-klijent.
- Aħna niffrankaw iċ-ċertifikat Rutoken fuq il-klijent.
- Iċ-ċertifikat għandu jkun marbut mal-par taċ-ċwievet li nħoloq fl-ewwel pass.
Issa jidher ċar kif is-server se jkun jista 'jiddikripta l-firma tal-klijent, peress li huwa stess ħareġ iċ-ċertifikat lilu.
Fil-parti li jmiss, aħna ser nagħtu ħarsa aktar mill-qrib lejn kif twaqqaf l-awtorità taċ-ċertifikat tiegħek ibbażata fuq il-librerija kriptografika open-source openSSL sħiħa.
Sors: www.habr.com