Digitalno potpisivanje budunonost je internetskog poslovanja, bilo da govorimo o jednostavnom potpisivanju dokumenta, koda i e- poste ili naprednijoj kriptografskoj implementaciji kakvu danas vidimo u kriptovalutama i blockchainima。 数字逻辑d.o.o. jedna je od prvih tvrtki na svijetu koja je implementirala rjeenja za digitalno potpisivanje beskontaktnim RFID karticama。 oiekujemo, da, e, star, sustavi, koji, joji, uvijek, koriste, kontaktne, kartice, uskoro, poststati, stvar, prostlosti。
Softver μFR Signer podrava kriptografske algorithm RSA i ECDSA za digitalno potpisivanje datoteka。 软je namijenjen za koritenje s naom μFR serijom NFC urezhaya:纳米,经典,经典的计算机科学我推进. μFR Signer radi sa svim karticama koje podrkavaju RSA i ECDSA。U naem demonstracijskom videu koristili smo JCOP karticu J3D081。
DL Potpisnice pruzhau digitalno potpisivanje podataka i dokumenata na samim karticama pomovu RSA ili ECDSA asimetrivnih kriptografskih算法。podricana je PKI infrastruktura, ana DL Signer karticama moguje pohraniti X.509 certiffikate koji se odnose na parve kriptografskih kljuveva generiranih u samim karticama。podrzano je spremanje svih X.509证书,koji, jine, lanac, pouzdanosti od, korijenskog,证书,做证书,krajnjeg, entiteta。
Javni ključ koji se generira u karticama potpisnika DL-a stavlja se u tijelo zahtjeva uz stvaranje zahtjeva za potpisivanje certifikata (u daljnjem tekstu CSR)。Zahtjev je potpisan u samoj kartici odgovarajujim privatnim kljujem koji nikada ne napusta samu karticu i ni na koji natsin se ne mooe provitati nakon generiranja kljuvnih parova。Nadalje, CSR se salje certifikacijskom tijelu da na temelju njega stvori potpix .509 certifikat。Ovaj certifikat krajnjeg entiteta nalazi se na kartici potpisnika DL-a s药物certifikatima iz lanca povjerenja i spreman je za digitalno potpisivanje podataka i dokumenata。Korisnik mooe poslati drusttveno odgovorno poslovanje bilo kojem certifikacijskom tijelu ije usluge eleli koristiti。数字逻辑pruiio je mehanizam za izdavanje certifikata krajnjeg entiteta za testiranje sustava。Jedna od osnovnih karakteristika certifikata krajnjeg entiteta jest da se privatni kljuje, koji je uparen s javnim kljueem koji takvi certifikati sadrse, ne smije koristiti za potpisivanje drugih certifikata。
Softverski alati sustava Windows koji popisuju generiranje parova kriptografskih kljuveva, generiraju CSR-ove, upravljaju PIN i PUK kodovima DL signer kartica, manipuliraju sadrajam X.509 certifikata i potpisuju podatke i datoteke, distribuiraju se kao "ufr-signer"。
"Verifikator potpisa" je Windows aplikacija koja potvrvuje RSA i ECDSA digitalne potpise。
Digitalno potpisivanje i potvrtsevanje potpisa moese obaviti i iz adobeacrobatreader DC aplikacije pomoou ufr-pkcs11 modula koji smo razvili u tu svrhu。Naš PKCS#11模块takoder se moezkoristiti s popularnim Mozillinim klijentom i web preglednikom e- poote, kaoi s drugim softverskim alatima koji su kompatibilni sa specifikacijom PKCS#11。
takoder smo pruhalali web usluge za online provjeru X.509 certificfikata i potpisanih pdf datoteka。
potpisnik uFR-a
"uFR签字人" je softverski alat koji pokreve generiranje parova kriptografskih kljueveva, generira CSR zahtjeve, sluki za upravljanje PIN-om i PUK kodovima DL potpisnika kartica, manipulira sadrajem X.509 certifikata i potpisuje podatke i datoteke。
Aplikacija je podijeljena u nekoliko logivkih jedinica pomou u vizualne komponente kontrole tabulatora。Kartice su oznaeene nazivima ovih jedinica:
"RSA kljuvevi " i" EC kljuvevi " koriste se za stvaranje i manipuliranje RSA ili ECC kljuvnim parovima。
RSA (Rivest, Shamir i Adleman) i ECC (eliptizyka kriptografija krivulje) predstavljaju suvremene asimetrirne kriptografske算法。DL potpisnici podrzhaavaju spremanje 3 RSA i 3 ECC kljuveva zasebno。Svaki od kriptografskih kljuveva moze biti razliiitih duljina i karakteristka,一个oznaen je kriptografskim算法妈妈i kljujnim indeksom。
Kartica "PIN kodovi" odnosi se na upravljanje i zapisivanje korisnivkog PIN koda na karticu potpisnika DL-a koja se nalazi u polju ittava uFR-a。PIN je skrahenenica od "Osobni identifikacijski broj"。Osim PIN kodova, na ovoj kartici moeete otkljuvati i eventualno blokirane kartice pomoou PUK kodova。PUK je kratica za“PIN解锁钥匙”。
Kartica " kartivni objekti" koristi se za upravljanje CA certifikatima i certifikatima krajnjeg entiteta koji su povezani s njihovim kriptografskim kljuevima putem njihovih indeksa。Certifikati moraju biti pod X.509 verzijom 3。Vjerodajnice krajnjeg entiteta moraju sadravati javni kljuczizvorno generiran na kartici potpisnika l -a u paru s pridruenenim privatnim kljueem。priprimu za potpisivanje putem pkcs# 11模数。Prisutnost X.509证书nije obvezna za upotrebu DL potpisnice s vlasnizkim aplikacijama。
Na kartici " potpi " postoje opcije za stvaranje digitalnih potpisa。我很高兴见到你,我很高兴见到你。Ti se potpisi mogu provjeriti pomoou aplikacije "核实potpisa"
kartice potpisnika DL-a dizajnirane su za zto sajeetije potpisivanje blokova podataka。Stoga je praksa digitalno potpisivanje podataka RSA算法老妈kako je definirano PKCS#1 v1.5 shemom。我们的算法ECDSA-e postupak generiranja digitalnog potpisa, mehanizmi Za podstavu i poravnanje definirani su u RFC-u 6979。
Najnovija verzija aplikacije uFRSigner je 1.5.3.0 i potrebno je koristiti uFCoder biblioteku verzije 5.0.1 ili noviju i uFR verziju firmvera 5.0.7 ili noviju。
销kodovi
PIN kod je skrahenenica od "Osobni identifikacijski broj"。Kartica potpisnika DL-a sadrigi 2 razlivita PIN koda。To su SO(保安员)PIN i korisnivki PIN kôd。Takozvani " slusbenik za sigurnost" je korisnik koji ima administrativne ovlasti za pristup sigurnosnim objektima na kartici potpisnika DL-a。DAKLE, PIN kôd trebao bi se razlikovati od KORISNIČKOG PIN koda。
" sloubenik za sigurnost" mora biti prijavljen za pristup kartici u slujajevima kada je potrebno promijeniti PIN i PUK kodove te promijeniti sadrjaj prostora za pohranu kljuveva i certifikata。Prijava pomouu KORISNIČKOG PIN koda potrebna je za dobivanje digitalnog potpisa rasprenog podatkovnog niza。
PIN kodovi na karticama potpisnika DL-a mogu imati najmanje 4 znaka i najvice 8 znakova。Ovdje, ispod znaka, nalazi se bilo koji alfanumeriiki (osjetljiv na velika i mala slova) ili bilo koji ispisivi znak。Znakovi za ispis ugavnom se odnose na interpunkcijske znakove na standardnim tipkovnicama。Prilikom promjene PIN kodova ne preporuuje se uporaba odrenih znakova koji se mogu nadii samo na pojedinnanim lokaliziranim tipkovnicama, vec samo znakova koji su u ASCII standardu i koji postoje na standardnim amerivkim engleskim tipkovnicama。
Na svim karticama potpisnika DL-a u poveetku se postavljaju zadani PIN i korisnivki PIN kodovi koji se sastoje od osam uzastopnih numeriukkih znakova '0' (nula) ili "0000000000"。
Maksimalan broj unesenog netovogg uzastopnog PIN koda je 5。Ako se prekoraii broj neispravnih uzastopnih pokuhaja unosa PIN koda,泰姬se PIN kôd blokira。Iako PIN kôd nije blokiran, unosom ispravnog PIN koda ponovno se vraha neispravno uneseni brojač PIN kodova。
Jedini natsin za delokiranje PIN-a je unos ispravnog PUK koda。PUK je skranieica od“PIN解锁钥匙”。SO PUK kôd sluki iskljuivo za deblokiranje SO PIN koda i korisnivkog PUK-a za deblokiranje PIN koda korisnika。U slujau 10 uzastopnih pogresno unesenih PUK kodova, PUK kôd postaje neupotrebljiv, a funkcionalnost kartice na kojoj se odnosi blokirani PIN kôd ostaje zauvijek blokirana。
RSA ključ增强型植被指数
Na kartici "RSA kljuevi " postoje opcije za stvaranje i upravljanje RSA kljuevima。Prije rada的RSA kljuevima kartica potpisnika DL-a mora biti u polju vitava uFR-a koje je povezano的rauzalom koje pokrete aplikaciju potpisnika uFR-a。takoder, SO (slusbenik za sigurnost) mora biti prijavljen。
KLJUČ增强型植被指数埃克
Na kartici "EC kljuevi " postoje opcije za stvaranje i upravljanje EC kljueem。Prije rada s EZ kljuevima, kartica potpisnika DL-a mora biti u polju vitava UFR-a koje je povezano s raunalom na kojem se izvodi aplikacija za potpisnike UFR-a。takoder, SO (slusbenik za sigurnost) mora biti prijavljen。
定义iran je PKCS#10标准i predstavlja standarzazani zapis koji, izmeous ostalog, sadrri osnovne informacije o korisniku certifikata u izdvojenom nazivu。Na temelju karakteristivnog naziva, takozvani Predmet (predmetno polje) formira se u konanom certifikatu X.509。Nadalje,证据,druvtveno odgovornog poslovanja mooe sadravati i proirenja navedena u standardu X.509 koje tijelo za izdananje certificfikata (CA) mooe razmotriti ili odbaciti, ovisno o svojoj政治,certificiranja。Osnovni dio drustveno odgovornog poslovanja svakako je javni kljucoi njegovi partri。Svi ti podaci, pakirani u obliku definiranom PKCS#10标准,konano se prolaze kroz odgovarajudialgoritam kriptografskog saetka i rezultat je potpisan na kartici odgovarajuim privatnim kljueem。Tako steen digitalni potpis poststaje sastavni dio drustveno odgovornog poslovanja。
(CA)。Izdavatelj certiftifikata generirat je vavio certiftifikat krajnjeg entiteta X.509, koji je potpisan njihovim privatnim kljueem, koji je sada povezan的javnim kljueem sadranim u odgovarajujeem srednjem ili korijenskom CA certiftifikatu。Na taj najinin vasic certificate krajnjeg subjekta postaje dio lanca povjerenja za koji jamii ustanova za ovjeravanje (CA)。
"Zahtjev za potpisivanje certifikata (CSR)" dijalog je zasebna grupa za unos "Uglednog imena (DN)" proirenja " i na gornjoj desnoj strani grupa kombiniranih kutija, za kontrolu algoritma rasprisivanja i definicije kriptografskog kljuva。Ispod desno nalazi se grupa gumba za odabir aktivnosti povezanih s generiranjem drustveno odgovornog poslovanja。
Razlikovni naziv, koji se naziva DN, sastoji se od grupe relativno razlikovanog naziva (RDN) koja predstavlja grupu atributa。Prilikom definiranja DN-a vrlo je vaan redoslijed polja RDN。vanoo je napomenuti da je moguue ponoviti jedno polje RDN-a nekoliko puta unutar DN-a。Treba imati na umu da tijelo za izdavanje potvrda (CA) nije dudno izdavi potvrdu s istim DN-om kako je definirano u drustveno odgovornom poslovanju, ali DN se mose formirati na temelju vlastitih pravila i podataka dobivenih tijekom prethodno provedene provjere identiteta korisnika。
Formiranje DN-a vrci se odabirom odgovarajuheeg RDN-a iz kombiniranog okvira i upisivanjem eljene vrijednosti u tekstualni okvir。Pritiskom na gumb“Stavi”,deklarirani RDN bit vue smjestten na popis (Okvir popisa) koji definira DN。Ako je na popisu odabrano jedno od polja RDN-a, novi RDN umetnut de se izmezu odabranog i prethodnog polja。Ako na DN popisu nista nije odabrano, na kraj popisa umeve se novo polje RDN-a。Da biste poninitili odabir na popisu,原生甘胶" poniniti odabir"Neispravan RDN mooe se ukloniti s popisa pritiskom na“Ukloni”。Redoslijed polja RDN mooe se promijeniti pomoou gumba "Move Up" i "Move Down" koji utjeuu na redundanciju odabranog RDN-a na popisu。
proiirenja su neobavezni dio preporuke i ustanova za ovjeravanje (CA) ih mooe razmotriti ili odbiti, ovisno o njihovoj政治证书。moguie je dodijeliti viste atributa,一个poeljno je definirati i adresu e poote unutar alternativnog predmeta subjekta (alternativni naziv predmeta, skraieno subjectAltName) jer je to najievi izdavatelj certifikata na uobiajjenom mjestu u tu svrhu。Za proirenja redoslijed pojedinnavnih atributa nije vajan。predvionio je da se još uvijek moze definirati eljena svrha kljuieva, prosirena svrha kljuieva i izjave vezane uz kvalificirane certifikate。Još jednom treba naglasiti da izdavatelji certifikata mogu zanemariti proirenja,一个samo neki od njih mogu izdati takozvane kvalificirane elektroniikke cerfikate。U svakom sluvaju, unutar prosirenja korisnik mooe naznaiiti zeljene elemente buduieg certifikata, ali, još jednom, konano uklanjanje X.509 certifikata ovisi iskljuvivo o njihovom izdavatelju i da sve detalje treba U potpunsti upoznati s njihovim pravilima prije sklapanja ugovora o izdavanju。
Izbor algoritma raspriivanja vri se iz kombinirane kutije oznaeene“algoritmom za probavu potpisnika”。Zadani izbor je SHA-256, koji se odnosi na SHA2 algoritam koji ima 256 bita na izlazu ili 32 bajta i to se preporuuje za upotrebu za CSR。SHA1 se vice ne preporuuje,一个SHA2 s veim brojem bajtova na izlazu (384 i 512),一个SHA3算法planiran je za eveve koristenje u budunosti。
Tipke i njihovi partri ("algoritam siifre potpisnika" i "indeks kljuva potpisnika (kartica)") ovje se ne mogu mijenjati i veic postoje definirani na kartici s koje ste otvorili ovaj dijalog ("RSA密钥" ili "EC密钥")i njihova je svrha ovdje samo informativna。Ako su "RSA kljuvevi " ili "EC kljuvevi " iz kojih ste otvorili CSR dijalog, na naljepnici koja oznavava veliiniu RSA kljuva nije bilo odgovarajuhieg javnog kljuva, prethodno protiitanog s kartice, krivulja ECDSA bit ve oznavevena kao "Javni kljucze nije postavljen"。Kada javni kljutsin nije postavljen, nije moguie izvrititi " potpizi spremi CSR", ali je moguie uvitati DN i proirenja iz postojeveeg CSR- i takozvanog TBS CSR-a。
TBS CSR je naš interni格式zapisa, takozvani“Biti potpisan”zahtjev koji moese posluiiti kao predlozhak za stvaranje zahtjeva za drustveno odgovorno poslovanje s vive uobiajenih znaujajki。TBS CSR ne sadrzi kriptografske kljuveve, veic pohranjuje samo DN i proirenja。
Pritiskom na gumb " ojisti unnose " uklanjaju se sve stavke u DN-u i proilirenju tako da se dijalooski okvir pripremi za novi unos。
Pritiskom na tipku " potpizi spremi CSR" vrisi se potpisivanje CSR-a na kartici i spremanje u odabranu datoteku。Ako kartica nije u polju povezanog ittaava UFR-a ili je unijela pogrean KORISNIČKI PIN kôd, priit veete poruku o pogrehci s odgovarajuhim opisom。
Posljednje zto trebate ujiniiti nakon generiranja preporuke je poslati ga izdavatelju certifikata kako bi dobio X.509 certiftifikat。mojete odabrati bilo kojeg od komercijalnih ili nekomercijalnih izdavatelja certifikata ili pritiskom na gumb "Nabavite certifikat online" mojete poslati DOP na nau web uslugu kako biste dobili demonstracijski, testni certifikat koji izdaje "Digitalna logika d.o.o "Testni certifikati。Demonstracija, potvrda o ispitivanju namijenjena je samo za uporabu testa, rok valjanosti je 3 mjeseca。prateee korijenske i srednje CA certiffikate mojete preuzeti shttp://ca.d-logic.com.
Ako kliknete na gumb "Preuzmi certifikat na mreki ", od vas e se zatraititi prethodno spremljena CSR datoteka s nastavkom "。pem" koja e biti poslana na HTTP posluitelj。乌维兹的问题https://certificates.d-logic.comje uspjetian i izdaje se X.509证书,od vas e e zatraititi naziv datoteke za spremanje证书。U suprotnom eete dobiti odgovarajuu poruku o pogrehci。
x Objekti
Ova karticama namijenjena je upravljanju X.509 objektima koji se odnose na certififikate na karticama potpisnika DL-a。Da biste provititali X.509 objekte s kartice, nije potrebno prijavljivati se ni s jednim PIN kodom。Da biste promijenili sadraji pohrane za X.509 objekte na kartici, morate biti prijavljeni SO PIN kodom na stranici“PIN kodovi”。
Na kartici "X.509 Objekti" aplikacija odmah pokuivava provitati karticu koja je prisutna u podruuju ittava uFR-a。Ako u polju nema kartice potpisnika DL-a, pojavit e se poruka o pogreczi, kao zto je prikazano na donjoj slici:
Ako se pohrana objekata X.509 uspjeno provita s kartice, popisi za prikaz certiffikata popunit e e se tim sadrajem。Te popise moete osvjekiti u bilo kojem trenutku postavljanjem eljene kartice u polje titava i pritiskom na gumb“osvjeki objekte s kartice”。
Odabir datoteke证书X.509 vrsi se pritiskom na tipku“otvori datoteku证书”。《kodirano Base64》,《koje obivno imaju prosiirenje》。pem“ili iz binarnih datoteka napisanih u ASN.1 standardu (DER-kodiran), koji mogu imati proirenja”。crt”、“。Cer ", ili ".der "。Ako je odabrana valjana datoteka, prikazat de e se dijaloskki okvir sustava koji prikazuje sadraji odabranog X.509证书。Nakon provjere stavki certifikata, dovoljno je to potvrditi pritiskom na gumb "U redu"。
Da biste odabrani certifikat pohranili na kartici, morate unijeti zeljeni ID objekta (proizvoljni alfanumeriiki znakovni niz) koji mora biti jedinstven u odnosu na druge certifikate pohranjene na kartici。ID objekta unosi se u tekstni okvir s natpisom“ID objekata:”。Prijedlog je da certifikati koji sadrse RSA javne kljuveve budu oznaeneni osobnom iskaznicom npr。"0001" do "0003" i oni koji sadrse javne kljuveve ECDSA-e bit vue oznaveeni osobnom iskaznicom npr。“1001”做“1003”。CA certifikati takofer moraju imati jedinstvenu identifikacijsku oznaku na kartici, pa je prijedlog da ih oznaiite npr。“5001”做“5012”。Još uvijek je potrebno odabrati vrstu kljuva。Za vrstu RSA i ECDSA indeks privatnog kljuva na kartici obvezan je na taj certifikat iti indeksi moraju biti dosljedni。我知道,我知道,我知道,我知道,我知道,我知道,我知道,我知道,我知道,我知道。 Aplikacije koje podržavaju modul PKCS#11 i koriste X.509 certifikate, rade čitanjem svih javnih objekata s kartice, a zatim provjerom lanca povjerenja na temelju sadržaja samih certifikata. Na kraju morate pritisnuti gumb s opisnim nazivom "Stavite certifikat iz datoteke na karticu s određenim ID-om, vrstom objekta i indeksom".
Spomenuli smo korijenske i srednje parve CA certififikata i mokda e biti potrebno to dodatno pojasniti。ovje smo prepostavili da se certifikat krajnjeg entiteta u lancu povjerenja uspostavlja posrednim do korijenskim CA certiffikatom。到je uobijajeni najin formiranja lanca povjerenja od strane slubbenih izdavatelja certifikata。metim, to nije strogo pravilo i druge konfigacije moguje su mijenjati CA certifikate koji jine lanac povjerenja。varnoje naglasiti da uvijek postoje dva konavina certifikata, na poveetku lanca, takozvani korijenski (korijenski) CA certifikat i na kraju certifikata krajnjeg entiteta lanca (certifikat lista)
Potpis
Na kartici "Potpis" nalaze se naredbe za dobivanje digitalnih potpisa s kartice。mooe se potpisati skup podataka iz ulaznog retka s oznakom“M:”(poruka) ili datoteke iji se put mooe postaviti klikom na izborni gumb“Postavi datoteku za potpisivanje”。Podaci se mogu unijeti u heksadecimalnom (HEX)格式,Base64 kodiranom ili ASCII izgledu koda。
Heksadecimalni (HEX)格式ukljujuje parve heksadecimalnih znamenki koje se mogu odvojiti razmacima。格式:Base64 sansto se koristi u kriptografiji i PEM zapisima X.509证书。Ovdje se neveemo detaljno baviti formatom Base64。Izgled ASCII koda uobijajeni je standard za snimanje tekstualnih skupova podataka koji ukljujuju sve alfanumeriikke znakove standardne interpunkcije。U principu, sve vto se mooe unijeti putem standardne ameriikke engleske tipkovnice pokriveno je ASCII izgledom koda。Ako se kojim slujajem unesu znakovi koji nisu dio izgleda ASCII koda,一个odabrana je ova mogunost, ti ste se znakovi interno zamijeniti znakom '?'。Znakovi koji nisu dio izgleda ASCII koda mogu se unijeti putem nekih lokaliziranih tipkovnica ili odabirom opcije "zalijepi" iz kontekstnog izbornika tekstnog okvira "M:"。
Kada se neki podaci unesu u ulazni redak, prevorba u drugu vrstu zapisa vrci se jednostavnim odabirom zeljenog formata zapisa (hex / Base64 / ASCII opcije), osim Kada postoji ulazna pogreska。
Klikom na izborni gumb "Postavi datoteku za potpisivanje" otvara se dijaloiki okvir za odabir datoteka koji je standardan za operacijski sustav窗口。Kada je datoteka odabrana, njezin se put postavlja na tekstni okvir“M”。
Pritiskom na gumb "Spremi poruku u binaru datoteku" omogueneno je spremanje niza bajtova unesenih u tekstni okvir "M:" u binaru datoteku。
Odabirom "Dohvati potpis", za potpisivanje podaci prolaze kroz odabrani algoritam rasprivanja(消息摘要算法)iji se rezultat alje na karticu。Kartica zatim generira potpis na temelju odabranog kriptografskog algoritma iz kombiniranog okvira“密码算法”(RSA ili ECDSA) i kljuvogg indeksa u kombiniranom okviru kartice(“卡片中的密钥索引”)。Da biste potpisali karticu, potrebno je prethodno biti prijavljen s KORISNIČKIM PIN kodom。
Nakon uspjenog potpisivanja, vrijednost digitalnog potpisa prikazuje se u tekstnom okviru "Potpis" u HEX ili Base64格式,ovisno o odabranoj opciji。Promjenom HEX / Base64 odabira mogulie je prevoriti zaslon potpisa。"我爱你" "我爱你,我爱你"
Provedeno je i neobavezno izraunavanje vrijednosti rasprivanja digitalnog potpisa。Izbor algoritama raspriivanja u tu svrhu ukljujuje i zastarjeli MD5 algoritam iz povijesnih razloga, jer neki stari kriptografski sustavi još uvijek ovise o ovom mehanizmu。Vrijednost rasprivanja digitalnog potpisa mooe se pohraniti u binaru datoteku pritiskom na gumb "Spremi rasprivanje u datoteku"。
