デジタル署名は,単純なドキュメント,コード,電子メールの署名について話している場合でも,今日の暗号通貨やブロックチェーンで見られるようなより高度な暗号化の実装について話している場合でも,オンラインビジネスの未来です。
BOB直播官网app数字逻辑は,非接触RFIDカードを使用したデジタル署名ソリューションを実装した世界で最初の企業の1つです。
連絡先カ,ドを使用している古いシステムは,すぐに過去のものになると予想しています。
μFR署名者は,ファイルにデジタル署名するためのRSAとECDSAの両方の暗号化アルゴリズムをサポートしています。
ソフトウェアは,当社のμfrシリ,ズのnfcデバス(ナノ,クラシック,クラシックcs、アドバンス)での使用を目的としています。
μfr署名者は,rsaおよびecdsaをサポ,トするすべてのカ,ドで動作します。デモ動画では,jcopカ,ドj3d081を使用しました。
DL署名者カードは,RSAまたはECDSA非対称暗号アルゴリズムを使用して,カード自体のデータおよび文書のデジタル署名を提供します。PKIインフラストラクチャーがサポートされており,DL签名者カードでは,カード自体で生成された暗号鍵のペアに関連するx証明書を保管することができます。ルート証明書からエンドエンティティ証明書までの信頼チェーンを構成するすべてのx証明書を格納することがサポートされています。
DL署名者カードで生成された公開鍵は,証明書署名要件(以下CSR)を作成する際にリクエストの本文に配置されます。要求は,カード自体を離れることはなく,キーペアを生成した後に読み取ることができない適切な秘密鍵を使用してカード自体に署名されます。さらに,csrは認証機関に送信され,それに基づいてx.509証明書を作成して署名します。このエンドエンティティ証明書は,信頼チェーンからの他の証明書とともにDL签名者カードに配置され,データおよび文書にデジタル署名する準備ができています。ユ,ザ,は,サ,ビスの使用を希望する任意の認証機関にcsrを送信できます。数字逻辑は,システムをテストするためにエンドエンティティ証明書を発行するためのメカニズムを提供しています。エンドエンティティ証明書の基本的な特性の1つは,そのような証明書に含まれる公開キーとペアになっている秘密キーを他の証明書の署名に使用してはならないことです。
暗号化キーペアの生成を開始し,CSRを生成し,DL署名者カードの销および库尔迪斯爱国联盟コードを管理し,x .証明書の内容を操作し,データとファイルに署名するWindowsソフトウェアツールは,“这里署名者”として配布されます。
“署名検証者”は,RSAおよびECDSAデジタル署名を検証するWindowsアプリケ,ションです。
署名のデジタル署名と検証は,この目的のために開発したufr-pkcs11モジュールを使用して,Adobe Acrobat Reader直流アプリケーションから行うこともできます。当社のPKCS # 11モジュールは,一般的なMozillaの電子メールクライアントやウェブブラウザ,およびPKCS # 11仕様と互換性のある他のソフトウェアツールでも使用できます。
また,x .証明書と署名付きPDFファイルをオンラインでチェックするためのWebサービスも提供しました。
“在这里签名者”は,暗号鍵ペアの生成を開始し,CSR要求を生成し,DL署名者カードの销および库尔迪斯爱国联盟コードを管理し,x .証明書の内容を操作し,データとファイルに署名するソフトウェアツールです。
アプリケーションは,タブコントロールのビジュアルコンポーネントを使用して複数の論理単位に分割されます。タブには,次のユニットの名前でラベルが付けられています。
”“RSAキー”およびECキー”は,RSAまたはECCキーペアを作成および操作するために使用されます。
RSA(李维斯特,沙米尔&艾德曼)とECC(椭圆曲线密码学)は現代の非対称暗号アルゴリズムを表しています。DL署名者カードは3つのRSAキーと3つのECCキーの個別の保管をサポートします。各暗号鍵は,異なる長さと特性を持ことができ,暗号アルゴリズムと鍵索引によって示されます。
“销コード”タブは,这里リーダーフィールドにあるDL署名者カードにユーザー销コードを管理して記録することを指します。暗証番号は“個人識別番号”の略称です。このタブでは,销コードに加えて,库尔迪斯爱国联盟コードを使用して最終的にブロックされたカードのロックを解除することもできます。pukは" pinロック解除キ,"の略です。
[カードオブジェクト]タブは,インデックスを介してそれぞれの暗号化キーに関連付けられているCA証明書とエンドエンティティ証明書を管理するために使用されます。証明書はx.509バ,ジョン3の下にある必要があります。エンドエンティティ資格情報には,DL签名者カードで最初に生成された公開鍵と,関連付けられた秘密鍵が含まれている必要があります。証明書の主な目的は,pkcs #11モジュ,ルを介した署名の準備に使用することです。x証明書の存在は,独自のアプリケーションでDL署名者カードを使用するために必須ではありません。
[署名]タブには,デジタル署名を作成するためのオプションがあります。バ▪▪ト配列,テキスト入力▪▪またはファ▪▪ルに署名することができます。これらの署名は,“署名検証”アプリケ,ションを使用して検証できます。
パフォーマンスの問題に効率的に対処するために,DL署名者カードは,データのブロックにできるだけ簡潔に署名するように設計されています。したがってPKCS # 1 v1.5スキームで定義されているRSAアルゴリズムを使用してデータにデジタル署名することをお勧めします。ECDSAアルゴリズムの場合,デジタル署名生成手順,パディング,および位置合わせメカニズムはRFC 6979で定義されています。
uFRSignerアプリケーションの最新バージョンは1.5.3.0であり,uFCoderライブラリバージョン5.0.1以降と这里ファームウェアバージョン5.0.7以降を使用する必要があります。
引脚コ,ドは"個人識別番号"の略です。dl署名者カ,ドには,2の異なるpinコ,ドが含まれています。これらはso(セキュリティオフィサ)のpinとユザpinコドです。いわゆる”セキュリティ担当者”は,DL署名者カード上のセキュリティオブジェクトにアクセスするための管理者権限を持つユーザーです。したがって,引脚コ,ドはユ,ザ,の引脚コ,ドとは異なる必要があります。
“セキュリティオフィサー”は,销コードと库尔迪斯爱国联盟コードを変更し,キーと証明書のストレージの内容を変更する必要がある場合,カードにアクセスするためにログインする必要があります。ハッシュされたデータ文字列のデジタル署名を取得するには,ユーザーの销コードを使用してログインする必要があります。
dl署名者カ,ドの引脚コ,ドは,最小4文字,最大8文字です。ここでは,文字の下に,英数字(大文字と小文字を区別)または印刷可能な文字があります。印刷可能な文字は,主に標準キ,ボ,ドの句読点を指します。销コードを変更する場合,個々のローカライズされたキーパッドでのみ検出できる特定の文字を使用することはお勧めしませんが,ASCII標準であり,標準の米国英語キーボードに存在する文字のみを使用することはお勧めしません。
すべてのDL署名者カードでは,デフォルトの销コードとユーザー销コードが最初に設定されており,8つの連続した数字“0”(ゼロ)または“00000000”で構成されています。
間違った連続引脚コ,ドの入力の最大数は5です。pinコ,ドの入力を連続して誤る回数を超えると,そのpinコ,ドはブロックされます。销コードはブロックされていませんが,正しい销コードを入力すると,誤って入力された销コードカウンターがリセットされます。
pinのブロックを解除する唯一の方法は,正しいpukコ,ドを入力することです。pukは" pinロック解除キ,"の略語です。所以库尔迪斯爱国联盟コードは所以销コードのブロックを解除し,ユーザー库尔迪斯爱国联盟はユーザー销コードのブロックを解除するためにのみ機能します。库尔迪斯爱国联盟コードが10回連続して誤って入力された場合,库尔迪斯爱国联盟コードは使用できなくなり,ブロックされた销コードが関連するカードの機能は永久にブロックされたままになります。
[rsaキ]タブには,rsaキを作成および管理するためのオプションがあります。RSAキーを使用する前に,DL署名者カードが,ufr-signerアプリケーションを実行しているコンピューターに接続されている这里リーダー・フィールドにある必要があります。また,那么(セキュリティオフィサ)はログンする必要があります。
“ecキ”タブには,ecキを作成および管理するためのオプションがあります。ECキーを処理する前に,DL署名者カードは,ufr-signerアプリケーションを実行しているコンピューターに接続されている这里リーダー・フィールドにある必要があります。また,那么(セキュリティオフィサ)はログンする必要があります。
Dl署名者カ,ドは,以下の標準ecc曲線をサポ,トしています。
dl署名者22:
SEP112R1, SECP112R2, SECP128R1, SEP128R2, SEP160K1, SEP160R1, SEP192K1, SEP192R1, SEP224K1, SEP224R1, SEP256K1, SETP256R1, SECP384R1, SECP521R1, SET113R1, SET113R2, SET131R1, SECT131R2, Sect163K1, Sect163R1, Sect163R2, Sect193R1, Sect233K1, Sect233R1, Sect283K1, Sect283R1, Sect409K1, Sect409R1。
dl署名者30:
Secp192k1, secp192r1, secp256k1, secp256r1, secp384r1。
dl署名者145:
Secp160k1, secp160r1, secp160r2, secp192k1, secp192r1, secp224k1, secp224r1, secp256k1, secp256r1, secp384r1, secp521r1。
これはPKCS # 10標準によって定義され,特に識別名に証明書のユーザーに関する基本情報を含む標準化されたレコードを表します。特性名に基づいて,いわゆるサブジェクト(サブジェクトフィールド)が最終的なx証明書に形成されます。さらに,CSRレコードには,認証局(CA)が認証ポリシーに応じて検討または破棄できるx標準で指定された拡張子が含まれている場合もあります。csrの基本的な部分は確かに公開鍵とそのパラメ,タです。PKCS # 10標準で定義された形式でパッケージ化されたこれらのデータはすべて,最終的に適切な暗号化ダイジェストアルゴリズムに渡され,結果は適切な秘密キーを使用してカードに署名されます。このようにして取得したデジタル署名は,csrの不可欠な部分になります。
csrは,いわゆる認証局(ca)を表す証明書の目的の発行者に送信されます。証明書発行者は,それぞれの秘密キーによって署名されたxエンドエンティティ証明書を生成し,適切な中間CA証明書またはルートCA証明書に含まれる公開キーに関連付けます。このようにして,エンドエンティティ証明書は,証明機関(CA)によって保証された信頼チェーンの一部になります。
“証明書署名要求(CSR)“ダイアログは,“識別名(DN)”,“拡張子”の入力のための別のグループであり,コンボボックスのグループの右上にあり,ハッシュアルゴリズムと暗号化キーの定義を制御します。右下には,csrの生成に関連するアクティビティを選択するためのボタンのグル,プがあります。
Dnと呼ばれる識別名は,属性グル,プを表す相対識別名(rdn)グル,プで構成されます。Dnを定義する場合,rdnフィ,ルドの順序は非常に重要です。Dn内で1のRDNフィルドを複数回繰り返すことができることに注意してください。認証局(CA)は,CSRで定義されているのと同じDNで証明書を発行する義務はありませんが,DNは,以前に実装されたユーザーのIDの検証中に取得した独自のルールとデータに基づいて形成できることに注意してください。
DNの形成は,コンボボックスから適切なRDNを選択し,テキストボックスに目的の値を入力することによって行われます。“把”ボタンを押すと,宣言されたRDNがDNを定義するリスト(リストボックス)に配置されます。リストでRDNフィールドの1つが選択されている場合,選択したフィールドと前のフィールドの間に新しRDNいが挿入されます。DNリストで何も選択されていない場合は,新しいRDNフィールドがリストの最後に挿入されます。リストの選択を解除するには,“選択解除”ボタンを押します。正しくないrdnは,“削除”を押すとリストから削除できます。RDNフィールドの順序は,リストで選択したRDNの冗長性に影響を与える[上へ移動]ボタンと[下へ移動]ボタンを使用して変更できます。
拡張機能はCSRのオプション部分であり,証明機関(CA)は証明ポリシーに応じて,拡張機能を検討または拒否できます。より多くの属性を割り当てることが可能であり,サブジェクトの代替サブジェクト(サブジェクトの別名,省略されたsubjectAltName)内に電子メールアドレスを定義することが望ましいのは,この目的の通常の場所で最も一般的な証明書発行者であるためです。拡張機能の場合,個々の属性の順序は重要ではありません。鍵の望ましい目的,鍵の拡張された目的,および修飾証明書に関連するステートメントを引き続き定義できることが想定されています。繰り返しになりますが,証明書の発行者は拡張機能を無視でき,いわゆる適格電子証明書を発行できるのは一部の人だけであることを強調する必要があります。いずれにせよ,拡張機能内で,ユーザーは将来の証明書の望ましい要素を示すことができますが,繰り返しになりますが,x .証明書の最終的な削除は発行者にのみ依存し,すべての詳細は発行契約の締結前にポリシーに完全に精通している必要があります。
ハッシュアルゴリズムの選択は,“署名者ダイジェストアルゴリズム”でマークされたコンボボックスから行われます。デフォルトの選択はsha - 256で出力に256ビットまたは32バイト用户のSHA2アルゴリズムに関連しており,CSRに使用することをお勧めします。SHA1は推奨されなくなり,出力のバイト数が多用户いSHA2(384および512)とSHA3アルゴリズムは,将来より頻繁に使用される予定です。
キーとそのパラメータ(“署名者暗号アルゴリズム”および署”名者キーインデックス(カード)”)はここでは変更できず,このダイアログを開いたタブ(“RSAキー”または”ECキー”)ですでに定義されており,ここでの目的は情報提供のみを目的としています。CSRダイアログを開いた“RSA鍵またはEC鍵が,RSA鍵のサイズを示すラベル上に,カードから以前に読み取られた対応する公開鍵がなかった場合,ECDSA曲線は“公開鍵が設定されていない”と示される。公開鍵が設定されていない場合,“署名して保存CSR“を実行することはできませんが,既存のCSR,いわゆるTBS CSRかやらDN内線を読み込むことは可能です。
TBS CSRは,複数の共通機能を持つCSRリクエストを作成するためのテンプレートとして機能する,いわゆる“署名される”リクエストと呼ばれる内部レコードフォーマットです。TBS CSRには暗号化キ,は含まれず,dnと内線番号のみが保存されます。
”“エントリのクリアボタンを押すと,DNと拡張子のすべての項目が削除され,ダイアログが新しいエントリ用に準備されます。
“署名してcsrを保存”キを押すと,カド内のcsrに署名し,選択したファルに保存します。カードが接続された这里リーダーのフィールドにない場合,または間違ったユーザー销コードを入力した場合は,適切な説明を含むエラーメッセージが表示されます。
CSRを生成した後の最後の作業は,CSRを発行者に送信してx証明書を受信することです。商用または非商用の証明書発行者を選択するか,[証明書をオンラインで取得]ボタンを押すことで,CSRをWebサービスに送信して,“BOB直播官网app数字逻辑有限公司”が発行するデモンストレーションのテスト証明書を取得できます。テスト証明書。デモンストレーションでは,テスト証明書はテストでの使用のみを目的としており,その有効期間は3か月です。付属のル,トca証明書と中間ca証明書は, http://ca.d-logic.comからダウンロ,ドできます。
[証明書をオンラインで取得]ボタンをクリックすると,以前に保存した“.pem拡張子のCSRファイルを入力するよう求められ,HTTPサーバーに送信されます。https://certificates.d-logic.com上のサーバーへの接続に成功し,x .証明書が発行されると,証明書を保存するためのファイル名の入力を求められます。それ以外の場合は,適切なエラ,メッセ,ジが表示されます。
このタブは,DL署名者カードの証明書に関連するxオブジェクトを管理することを目的としています。カードからxオブジェクトを読み取るために,销コードを使用してログインする必要はありません。カド上のx .;509年オブジェクトのストレージの内容を変更するには,“销コード”ページで所以销コードを使用してログインする必要があります。
[X。509年オブジェクト]タブで,アプリケーションはすぐに这里リーダーのフィールドに存在するカードを読み取ろうとします。フィルドにdl署名者カドがない場合は,次の図に示すようにエラメッセジが表示されます。
xオブジェクト・ストレージがカードから正常に読み取られると,証明書表示リストにその内容が取り込まれます。これらのリストは,目的のカードをリーダーフィールドに配置し,[カードからオブジェクトを更新する]ボタンを押すことで,いつでも更新できます。
x.509証明書ファルの選択は,“証明書ファルを開く”キを押すことによって行われます。拡張子が“.pemのPEM形式(Base64エンコード)のファイル,または拡張子が“.crt”、“c”,“.derを持つasn . 1標準(DERエンコード)で記述されたバイナリファイルから証明書を読み取ることもできます。有効なファイルを選択すると,選択したx証明書の内容を示すシステムダイアログが表示されます。証明書項目を確認後,“ok”ボタンを押して確認すれば十分です。
選択した証明書をカードに保存するには,カードに保存されている他の証明書に関して一意である必要がある目的のオブジェクトID(任意の英数字文字列)を入力する必要があります。オブジェクトIDは”オブジェクトID:“というラベルの付いたテキストボックスに入力されます。提案は,rsa公開鍵を含む証明書は,例えばのidでマ,クされるべきであるということです。“0001”から“0003”およびECDSA公開鍵を含むものは,例えばのIDでマークされます。1001から1003まで。CA証明書にはカードに固有のIDタグも必要であるため,たとえば“5001”から“5012”のタグを付けることをお勧めします。キ,の種類を選択する必要があります。RSAおよびECDSAタイプの場合,カード内の秘密キーインデックスはその証明書にバインドされ,これらのインデックスは一貫している必要があります。CA認証局の場合,インデックスの順序は関係ありませんが,推奨事項による透明性のため,ルートから中間など,順番にペアで入力する必要があります。Pkcs #11モジュ,ルをサポ,トし,x。509年証明書を使用するアプリケーションは,カードからすべての公開オブジェクトを読み取り,証明書自体の内容に基づいて信頼チェーンをチェックすることによって機能します。 最後に、「指定されたID、オブジェクトタイプ、およびインデックスを使用して、ファイルから証明書をカードに入れる」というわかりやすい名前のボタンを押す必要があります。
CA証明書のルートと中間のペアについて説明しましたが,これをさらに明確にする必要があるかもしれません。ここでは,信頼チェーン内のエンドエンティティ証明書が,ルートCA証明書の中間を通じて確立されることを前提としています。これは,証明書の公式発行者による信頼チェ,ンを形成する通常の方法です。ただし,これは厳密なルールではなく,信頼チェーンを形成するCA証明書を変更する他の構成も可能です。チェーンの先頭,いわゆるルート(ルート)CA証明書とチェーンエンドエンティティ証明書(リーフ証明書)の最後に,常に2つの最終証明書があることを強調することが重要です。
[署名]タブには,カ.ドからデジタル署名を取得するためのコマンドがあります。”男:“(メッセージ)というラベルの付いた入力行からのデータのセット,または“署名するファイルを設定“ラジオボタンをクリックしてパスを設定できるファイルに署名できます。データは16進数(十六进制)形式,Base64エンコード,またはASCIIコードレイアウトで入力できます。
16進数(十六进制)形式には,スペ,スで区切ることができる16進数のペアが含まれます。Base64形式は,X.509証明書の暗号化およびPEMレコ,ドでよく使用されます。ここでは,Base64形式にいては詳しく説明しません。ASCIIコードレイアウトは,すべての英数字とすべての標準句読点を含むテキストデータセットを記録するために一般的に使用される標準です。原則として,標準の米国英語キーボードから入力できるものはすべてASCIIコードレイアウトでカバーされています。万が一、ASCIIコードレイアウトの一部ではない文字が入力され,このオプションが選択されている場合,これらの文字は内部的に文字”?“に置き換えられます。ASCIIコードレイアウトの一部ではない文字は,一部のローカライズされたキーボードを使用するか,”男:“テキストボックスのコンテキストメニューから”貼り付け”オプションを選択して入力できます。
入力行に何らかのデータが入力された場合,入力エラーの場合を除き,目的のレコードフォーマット(十六进制/ Base64 / ASCIIオプション)を選択するだけで,別の種類のレコードに変換されます。
“署名するファイルを設定“ラジオボタンをクリックすると,Windowsオペレーティングシステムの標準であるファイル選択ダイアログが開きます。ファesc escルを選択すると,そのパスは“m:”テキストボックスに設定されます。
“メッセージをバイナリファイルに保存“ボタンを押すと,”男:“テキストボックスに入力されたバイト配列をバイナリファイルに格納することができます。
“署名を取得“を選択すると,署名されるデータは選択されたハッシュアルゴリズム(メッセージダイジェストアルゴリズム)を通過し,その結果がカードに送信されます。次に,カードは”,暗号アルゴリズム”コンボボックス(RSAまたはECDSA)から選択された暗号化アルゴリズムとカード内のキーインデックス(“カード内のキーインデックス”コンボボックス)に基づいて署名を生成します。カドに署名するには,事前にユザpinコドでログンする必要があります。
署名が成功すると,選択したオプションに応じて,デジタル署名の値が十六进制またはBase64形式の[署名]テキストボックスに表示されます。HEX/Base64の選択を変更することで,署名表示を変換することができます。署名は,“署名をバ▪▪ナリファ▪▪ルに保存”ボタンを押すとバ▪▪ナリファ▪▪ルに保存できます。
デジタル署名のハッシュ値を計算するオプションも実装されています。この目的のためのハッシュアルゴリズムの選択には,一部の古い暗号化システムがまだこのメカニズムに依存しているため,歴史的な理由から廃止されたMD5アルゴリズムも含まれています。デジタル署名のハッシュ値は,“ハッシュをファイルに保存“ボタンを押すことでバイナリファイルに保存できます。
ソフトウェア開発キット(sdk)は,当社のソフトウェアリポジトリからダウンロ,ドできます。
μFRシリ,ズnfcリ,ダ,ファムウェアバジョン3.9.53以上,μfrラブラリバジョン4.3.3以上
他のソフトウェア例を閲覧またはダウンロ,ドするには,Gitlabソフトウェアリポジトリにアクセスしてください。
デバ化学键スの購入に化学键いては,公式オンラ@ @ンストアにアクセスしてください。
ソフトウェアの例にいてご不明な点がございましたら,テクニカルサポ,トまでお気軽にお問い合わせください。
