ProHoster > Blog > Идораи > Таҷрибаи истифодаи технологияи Rutoken барои бақайдгирӣ ва иҷозати корбарон дар система (қисми 1)

Таҷрибаи истифодаи технологияи Rutoken барои бақайдгирӣ ва иҷозати корбарон дар система (қисми 1)

Нимирӯзи ба хайр Ман мехоҳам таҷрибаи худро дар ин мавзӯъ мубодила кунам.

Rutoken як ҳалли сахтафзор ва нармафзор дар соҳаи аутентификатсия, амнияти иттилоотӣ ва имзои электронӣ мебошад. Аслан, ин як диски флешдорест, ки метавонад маълумоти аутентификатсияро нигоҳ дорад, ки корбар барои ворид шудан ба система истифода мебарад.

Дар ин мисол Rutoken EDS 2.0 истифода мешавад.

Барои кор бо ин Rutoken ба шумо лозим аст драйверро дар Windows насб кунед.

Барои Windows насб кардани танҳо як драйвер кафолат медиҳад, ки ҳама чизҳои лозима насб карда шаванд, то OS Rutoken-и шуморо бубинад ва бо он кор кунад.

Шумо метавонед бо Rutoken бо роҳҳои гуногун ҳамкорӣ кунед. Шумо метавонед онро аз ҷониби сервери барнома ё бевосита аз ҷониби муштарӣ дастрас кунед. Ин мисол ба ҳамкорӣ бо Rutoken аз ҷониби муштарии барнома назар мекунад.

Қисми муштарии барнома бо рутокен тавассути плагини rutoken ҳамкорӣ мекунад. Ин барномаест, ки дар ҳар як браузер алоҳида насб карда мешавад. Барои Windows шумо танҳо лозим аст, ки плагинро зеркашӣ ва насб кунед, дар ин пайванд ҷойгир аст.

Ин аст, ҳоло мо метавонем бо Rutoken аз ҷониби муштарии барнома ҳамкорӣ кунем.

Ин мисол идеяи татбиқи алгоритми иҷозати корбарро дар система бо истифода аз схемаи даъват ба ҷавоб муҳокима мекунад.

Мохияти идея чунин аст:

  1. Мизоҷ дархости иҷозатро ба сервер мефиристад.
  2. Сервер ба дархости муштарӣ тавассути фиристодани сатри тасодуфӣ ҷавоб медиҳад.
  3. Мизоҷ ин сатрро бо 32 битҳои тасодуфӣ ҷойгир мекунад.
  4. Мизоҷ ба сатри қабулшуда бо шаҳодатномаи худ имзо мегузорад.
  5. Мизоҷ паёми рамзгузоришударо ба сервер мефиристад.
  6. Сервер имзоро тавассути гирифтани паёми аслии рамзнашуда тасдиқ мекунад.
  7. Сервер 32 битҳои охиринро аз паёми рамзнашудае, ки гирифта шудааст, хориҷ мекунад.
  8. Сервер натиҷаи қабулшударо бо паёме, ки ҳангоми дархости иҷозат фиристода шудааст, муқоиса мекунад.
  9. Агар паёмҳо якхела бошанд, пас авторизатсия муваффақ ҳисобида мешавад.

Дар алгоритми боло чунин чизе ба монанди сертификат вуҷуд дорад. Барои ин мисол, шумо бояд баъзе назарияи криптографиро фаҳмед. Дар Хабре вуҷуд дорад мақолаи олӣ дар ин мавзӯъ.

Дар ин мисол, мо алгоритмҳои рамзгузории асимметриро истифода хоҳем бурд. Барои амалӣ намудани алгоритмҳои асимметрӣ, шумо бояд ҷуфти калид ва сертификат дошта бошед.

Ҷуфти калид аз ду қисм иборат аст: калиди хусусӣ ва калиди ҷамъиятӣ. Калиди хусусӣ, тавре ки аз номаш бармеояд, бояд махфӣ бошад. Мо онро барои рамзкушоӣ кардани маълумот истифода мебарем. Калиди оммавӣ метавонад ба ҳама тақсим карда шавад. Ин калид барои рамзгузории маълумот истифода мешавад. Ҳамин тариқ, ҳар корбар метавонад маълумотро бо истифода аз калиди умумӣ рамзгузорӣ кунад, аммо танҳо соҳиби калиди хусусӣ ин маълумотро рамзкушоӣ карда метавонад.

Шаҳодатнома ҳуҷҷати электронӣ мебошад, ки дорои маълумот дар бораи корбаре, ки соҳиби сертификат мебошад, инчунин калиди оммавӣ мебошад. Бо шаҳодатнома, корбар метавонад ҳама гуна маълумотро имзо кунад ва онро ба сервер фиристад, ки метавонад имзоро тафтиш кунад ва рамзро рамзкушоӣ кунад.

Барои дуруст имзо кардани паём бо сертификат, шумо бояд онро дуруст эҷод кунед. Барои ин, аввал дар Rutoken ҷуфти калид эҷод карда мешавад ва сипас сертификат бояд ба калиди умумии ин ҷуфти калид пайваст карда шавад. Шаҳодатнома бояд маҳз калиди ҷамъиятӣ дошта бошад, ки дар Rutoken ҷойгир аст, ин муҳим аст. Агар мо танҳо як ҷуфт калид ва сертификатро фавран дар тарафи муштарии барнома эҷод кунем, пас чӣ гуна сервер метавонад ин паёми рамзгузоришударо рамзкушоӣ кунад? Охир, вай дар бораи чуфти калид ва ё шаходатнома умуман чизе намедонад.

Агар шумо ба ин мавзӯъ амиқтар ғарқ шавед, шумо метавонед дар Интернет маълумоти ҷолиб пайдо кунед. Баъзе мақомоти сертификатсия вуҷуд доранд, ки мо бешубҳа эътимод дорем. Ин мақомоти сертификатсия метавонанд ба корбарон сертификатҳо диҳанд; онҳо ин сертификатҳоро дар сервери худ насб мекунанд. Пас аз ин, вақте ки муштарӣ ба ин сервер дастрасӣ пайдо мекунад, ӯ ин сертификатро мебинад ва мебинад, ки он аз ҷониби мақомоти сертификатсия дода шудааст, яъне ба ин сервер бовар кардан мумкин аст. Инчунин дар Интернет маълумоти зиёде мавҷуданд, ки чӣ гуна ҳама чизро дуруст танзим кардан мумкин аст. Масалан, шумо метавонед бо ин оғоз кунед.

Агар ба мушкили худ баргардем, роҳи ҳал маълум мешавад. Ба шумо лозим аст, ки бо ягон роҳ маркази сертификатсияи худро эҷод кунед. Аммо пеш аз ин, шумо бояд бифаҳмед, ки маркази сертификатсия дар кадом асос бояд ба корбар сертификат диҳад, зеро ӯ дар ин бора чизе намедонад. (Масалан, ном, насаб ва ғ.) Чунин чизе ҳаст, ки дархости шаҳодатнома номида мешавад. Маълумоти бештарро дар бораи ин стандарт, масалан, дар Википедиа пайдо кардан мумкин аст ru.wikipedia.org/wiki/PKCS
Мо версияи 1.7 - PKCS # 10 -ро истифода хоҳем бурд.

Биёед алгоритми тавлиди сертификатро дар Rutoken тавсиф кунем (манбаи аслӣ: ҳуҷҷатҳо):

  1. Мо дар муштарӣ як ҷуфт калид эҷод мекунем ва онро дар Rutoken захира мекунем. (сарфа ба таври худкор сурат мегирад)
  2. Мо дар бораи муштарӣ дархости сертификат эҷод мекунем.
  3. Аз муштарӣ мо ин дархостро ба сервер мефиристем.
  4. Вақте ки мо дархост барои сертификат дар сервер мегирем, мо аз мақомоти сертификатсияи худ шаҳодатнома медиҳем.
  5. Мо ин сертификатро ба муштарӣ мефиристем.
  6. Мо сертификати Rutokenро дар муштарӣ захира мекунем.
  7. Шаҳодатнома бояд ба ҷуфти калидие, ки дар қадами аввал сохта шудааст, пайваст карда шавад.

Ҳоло маълум мешавад, ки чӣ гуна сервер метавонад имзои муштариро рамзкушоӣ кунад, зеро худи он ба ӯ шаҳодатнома додааст.

Дар қисми навбатӣ, мо ба таври муфассал дида мебароем, ки чӣ гуна мақомоти сертификатсияи худро дар асоси китобхонаи пурраи кушодаи криптографии openSSL таъсис медиҳем.

Манбаъ: will.com

Илова Эзоҳ