Digitale ondertekening是de toekomst van online zakendoen, of we het nu hebben over het enenvoudige ondertekenen van documenten, code en e-mail of meer geavanceerde cryptografische implementatie zoals we tegenwoordig zien in cryptocurrencies in blockchain。 BOB直播官网appDigital Logic Ltd.是一家专业从事rfid识别技术的制造商。 我们在外面的系统里,我们在外面的系统里,我们在外面的系统里,我们在外面。
μFR Signer-software ondersteunt zowel RSA- als ECDSA-cryptografische算法。 软件是bedoeld voor gebruik met onze μFR-serie NFC-apparaten:纳米,经典,经典的计算机科学在推进. μFR Signer werkt met alle kaarten die RSA en ECDSA ondersteunen。在onze演示视频gebruikten我们JCOP-kaart J3D081。
ECDSA-asymmetrische cryptografische算法的DL Signer-kaarten bieden digitale ondertekening van gegeevens en documenten de kaarten zelmet behulp van RSA。pki - infrastructure word ondersteund en in de DL Signer-kaarten是het mogelijk om X.509-certificaten op te slaan die zijn gerelateerd aan paren cryptografische sleutels die de kaarten zjn gegenereerd。这是对x .509的描述,这是对x .509的描述,这是对x .509的描述。
De openbare sleutel die word gegenereerd in De DL Signer-kaarten word in De hoofdtekst van het verzoek geplatst tijdens het maken van De certificaatondertekeningsvereiste (hierna CSR)。这里是我的天堂,这里是我的天堂privésleutel这里是我的天堂,这里是我的天堂,这里是我的天堂。Verder word de CSR naar de证书安装手势操作基础daarvan het X.509-certificaat te maken en te ondertekenen。最终实体证书在DL签名者-kaart geplatst相遇andere certificate uit de vertrouwensketen en是klaar om gegeens en documenten digital te dertekenen。De gebruiker kan CSR sturen naar elke证书安装waarvan hij gebruik将使en van De diensten。数字逻辑重平衡机构测试系统测试终端实体认证。即使是在basiskenmerken van het certificaat van de eidentiteit是dat de personal lijke sleutel, die是gekoppeld aan de openbare sleutel die dergelijke certificaten bevatten, niet mag worden gebruikt om andere certificaten te ondertekenen。
De Windows-softwaretools die het genereren van cryptografische sleutelparen initiëren, CSR的genereren, De PIN- en PUK-codes van De DL sign -kaarten beheren, De inhoud van De X.509-certificaten manipuleren en gegeevens en bestanden dertekenen, worden gedistribueerals "ufr-signer"。
“签名验证器”甚至是windows - topass die digitale RSA- en ECDSA-handtekeningen valideert。
digital ondertekening en validatie van handtekeningen kan ook worden gedaan vanuit de adobeacrobatreader DC-applicatie met behulp van de ufl -pkcs11-module die we voor dit doel hebben ontwikkeld。Onze pkcs# 11-module kan ook worden gebruikt遇到了流行的Mozilla的电子邮件客户端网络浏览器,最终遇到了andere softwaretools die compatibel zijn遇到了pkcs# 11-specificatie。
我们使用webservices进行在线控制。509-certificaten en dertekende pdf。
uFR-ondertekenaar
“uFR签名者”甚至是软件工具die het genereren van cryptografische sleutelparen initieert, CSR-verzoeken genereert, dient om de PIN- en PUK-codes van de DL Signer-kaarten te beheren, de inhoud van de X.509-certificaten operpuleert en gegeevens en bestanden dertekent。
顶部是verschillende logische eenheden behulp van envisuelcomponent voor tabblbesturingselementen。De tabbladen zijn gelabeld遇见De namen van deze eenheden:
"RSA密钥" en "EC密钥" word gebruikt om RSA- of ECC-sleutelparen te maken en te opereren。
RSA (Rivest, Shamir, &Ampleman) en ECC(椭圆曲线密码学)vertegenwoordigen heendaagse asymmetrische cryptografische算法。DL Signer-kaarten ondersteunen het afzonderlijk opslaan van 3 RSA- en 3 ECC-sleutels。Elk van de cryptografische sleutels kan van verschillende lengtes en kenmerken zijn en word aangegeven door even cryptografisch algorithm en sleutelindex。
Het tabblad "PIN-codes" verwijst naar Het beheren loggen van de pincode van de gebruiker op de DL Signer-kaart in Het uFR-lezerveld。PINCODE甚至是“个人识别号码”。Naast pincode kunt u op dit tabblad eventueel geblokkeerde kaarten ontgrendelen遇到puk代码。PUK staat voor“PIN解锁密钥”。
Het tabblad 'Kaartobjecten' word gebruikt om CA-certificaten en certificaten van eidentiteiten te beheren die via hun indexen aan hun分别cryptografische sleutels zijn gekoppeld。证书在X.509版本3下生效。De referenties van De identientiteit moeten en open sleutel bevatten die oorspronkelijk是gegenereerd op De DL Signer-kaart in paren met De bijbehorende persononlijke sleutel。初级证书是通过PKCS#11模块获得的。De aanwezigheid van De X.509-certificaten是niet verplicht voor het gebruik van De DL签名者卡满足eigen topassingen。
Op het tabblad "Handtekening" zijn er opties voor het maken van digitale handtekeningen。Het是mogelijk om een array van bytes, een bestand te ondertekenen的een tekstinvoer。Deze handtekeningen kunnen worden geverifieerd met behulp van de topass“签名验证者”。
Om de prestatieproblemen efficiënt aan te pakken, zijn DL Signer Cards on worpen Om blokken met gegevens zo beknopt mogelijk te ondertekenen。Daarom是PKCS # 1 v1.5-schema的rsa - algorithm - zoals gedefinieerd门。在rfc6979中定义的ecdsa算法和程序。
De nieuwste版本van De uFRSigner-toepassing是1.5.3.0 en het is noodzakelijk from De ufcode -bibliotheekversie hoger的5.0.1 en De uFR-firmwareversie hoger te gebruiken的5.0.7。
PINCODES
PIN-code甚至是“个人识别号码”。De DL签名卡由2个verschillende pincode组成。Dit zijn SO(保安员)PIN en gebruikers PIN码。De zogenaamde“安全官员”甚至是gebruiker die beheerdersrechten heeft voor toegang tot beveiligingsobjecten op De DL签名员卡。Dus pin-code moet verschillen van de gebruiker pin-code。
“安全官员”moet ingelogd zijn om toegang te krijgen tot de kaart在gevallen waarin het nodig是om de PIN- en PUK-codes te wijzigen en de inhoud van de opslag voor de sleutels en certificaten te wijzigen。Inloggen met even pincode van even gebruiker是nodig om de digitale handtekening van een gehashte gegevensreeks te krijgen。
识别码和签名卡最小4个,最大8个。Hier, onder het teken, bevindt zich een alfanumeriek (hoofdlettergevoelig),甚至afdrukbaar teken。Afdrukbare tekens verwijzen vo装饰物,naar leestkens op de standaardtoetsenborden。Bij het wijzigen van pincodes word het gebruik van specifieke tekens die alleen op afzonderlijke gelokaliserde toetsenborden te vinden zijn, niet aanbevolen, maar alleen tekens die inde ascii - standard zijn en die voorkomen op standard american kaase Engelse toetsenborden。
在所有的DL签名卡中,输入的PIN码为“00000000”中的“0”(nul)。
其最大值为5。Als het aantal onjuiste opeenvolgende pogingen om de pincode in te voeren wordt overschreden, wordt die pincode geblokkeerd。Hoewel de pincode niet是geblokkeerd, word de onjuist ingeverde pincode desteller opnieuw ingesteld als u de juiste pincode invert。
De enige manier om uw pincode te deblokkeren,是门De juiste puk代码在te voeren。PUK是de afkorting van“PIN解锁钥匙”。SO PUK-code dient uitsluitend om SO PIN-code te delockkeren en gebruiker PUK om gebruikers PIN-code te delockkeren。在het geeval van 10 opeenvolgende onjuist ingoverde PUK-codes, word de PUK-code onbruikbaar en blijft de functionaliteit van de kaart waarop de geblokkeerde pincode betrekking heeft voor altijd geblokkeerd。
RSA-toetsen
"RSA-sleutels"的意思是"RSA-sleutels"Voordat u遇到RSA-sleutels werkt, moet de DL-ondertekenaarkaart zich in het uFR-lezerveld bevinden dat是verbonden遇到de computer waarop de ufr-signer- topass word uitgevoerd。Ook is SO(安全官)verplicht om ingelogd te zijn。
EC-toetsen
Op het tabblad "EC Keys" zijn er opties voor het maken en beheren van EC-sleutel。Voordat u met de EC-sleutels werkt, moet de DL-ondertekenaarkaart zich in het uFR-lezerveld bevinden dat是angesloten op de computer waarop de ufr-signer- topass word uitgevoerd。Ook is SO(安全官)verplicht om ingelogd te zijn。
在DN-naam的de gebruiker van Het证书上的andere基础信息下的记录。Op basis van de karakteristieke naam wordt het zogenaamde Subject (Subject field) gevormd in het uiteindelijke X.509 certificaat。Bovendien kunnen csr -记录扩展版,适用于x .509-标准模具认证机构(CA)。这是一个基本的标准,这是一个基本的标准。Al deze gegevens, verpakt inde vorm die是gedefinieerd door de PKCS #10- standard, worden uiteindelijk doorgegegeven door het juiste cryptografische samenvattingsalgoritme en hheet resultaat wordt op de kaart ondertekend遇见de juiste person like sleutel。De zo verkregen数字手tekening word甚至积分onderdeel van MVO。
De CSR wordt verzonden naar De gewenste uitgever van het certificaat, die De zogenaamde Certificate Authority (CA) vertegenwoordigt。在标准认证中使用X.509-certificaat voor De eentiteit,这是在满足不同的人,如sleutel, die nu是gekoppeld aan De openbare sleutel在heet juiste tussenliggende的基础认证。Op deze manier word uw certificate at van de eidentiteit onderdeel van de vertrouwensketen die word gegarandderd door de certificeringsinstantie (CA)。
“证书签名请求(CSR)”甚至是aparte groep voor de invoer van“Distinguished Name (DN)”,“Extensions”en rechtsboven in de groepen keuzelijsten met invoervak, voor Het besturen van Het hash-algoritme en de defintie van de cryptografische sleutel。这是我的家乡,这是我的家乡,这是我的家乡。
甚至DN-naam, aangeduid als DN, bestaat uit Een RDN-groep(相对专有名称)die de kenmerkgroep vertegenwoordigt。Bij het definiëren van een DN是de volgorde van het RDN-veld erg belangrijk。它是belangrijk op te merken,而它的mogelijk是om een enkel RDN-veld meerdere keren binnen de DN te herhalen。Er moet aan worden de certificeringsinstantie (CA) niet verplicht是在CSR, maar, het zich kan vormen op basis van zijn eigen regels en gegeevens die zijn verkregen tijens de eerder geïmplementeerde verificatie van de identiteit van de gebruiker。
De vorming van De DN gebeurt door De juiste RDN in De keuzelijst meet invervak te selecteren en De gewenste waarde in het tekstvak te typen。“Put”te drukken, word de angegeven RDN op de lijst(列表框)geplatst die DN definieert。Als een van de RDN-velden in de lijst是geselecteerd, word de nieuwe RDN ingevogd tussen het geselecteerde en het vorige veld。Als er niets在de DN-lijst中是geselecteerd, word een nieuw RDN-veld ingevoegd aan het einde van de lijst。Om de selectie in de lijst te annuleren, drukt u op de knop“deelecteren”。Onjuiste RDN kan uit de lijst worden verwijderd door op Verwijderen te drukken。De volgorde van het RDN-veld kan worden gewijzigd met behulp van De knoppen "Omhoog" en" Omlaag verplaatsen" die van invude zijn op De冗余van De geselecteerde RDN in De lijst。
扩展是可选的,可选的,可选的。Het是mogelijk om meer attributen toe te wijzen en Het是wenselijk om een e-mailadres te definiëren binnen Het alternatieve onderwerp van Het onderwerp (alternatieve naam van Het onderwerp, afgekort subjectAltName) omdat dit de meest voorkomende certificeringsuitgever op de gebruikelijke platts voor dit doel is。Voor extensies是de volgorde van individuele kenmerken niet belangrijk。这是de bedoeling that Het gewenste doel van sleutels, Het uitgebreide doel van sleutels en verklaringen met betrekking tot gekwalificeerde certificaten nog steeds kunnen worden gedefinieerd。Nogmaals moet worden benadrukt dat uitgevers van het certificate扩展kunnen negeren dat slechts enkelle van hen zogenaamde gekwalificeerde elektronische certificate kunnen uitgeen。在geeval kan de gebruiker binnen de extensies de gewenste元素van het toekomstige certificaat aangeven, maar nogmaals, de uiteindelijke消除van het X.509-certificaat hangt uitsluitend af van hitgever en alle details volledig vertroud moeten zijn met hun beleid voordat het uitgifteccontract word gesloten。
De keuze van het哈希-算法词gedaan vanuit De keuzelijst met invervak die是gemarkeerd met het“签字人文摘-算法”。标准是SHA-256,它是sha2算法满足256位而不是32字节的复杂度。SHA1 wordt niet meer aanbevolen, en SHA2 met een hoger aantal bytes aan de uitgang (384 en 512), en SHA3-algoritme是gepland voor frequenter gebruik in de toekomst。
De sleutels en hun parameters(“签名者密码算法”en“签名者密钥索引(卡)”)kunnen hier niet worden gewijzigd en er zijn al gedefinieerd op het tabblad van waaruit u dit dialoogvenster hebt geopend(“EC密钥”中的“RSA密钥”)en hun doel hier是alleen informatief。Als de“RSA密钥”中的“EC密钥”van waaruit u het CSR-dialoogvenster hebt geopend, er geen overeenkomstige openbare sleutel, eerder gelezen van de kaart, op het label stond dat de grootte van de RSA-sleutel aangeeft, word de ECDSA-curve aangegeven Als“openbare sleutel niet ingesteld”。Wanneer een publieke sleutel niet是ingesteld,是het niet mogelijk from“Sign and Save CSR”uit te voeren, maar是het wel mogelijk from DN en extensies te laden vanuit een bestaande CSR from zogenaamde TBS CSR。
TBS CSR是“待签署”的内部记录格式-verzoek dat kan dienen als een jabloon voor het maken van CSR-verzoeken met meerdere gemeenschappelijke功能。TBS CSR bevat geen cryptografische sleutels, maar slat alleen DN en extensies op。
"Vermeldingen wissen" drukt,在" de DN en de extensie verwijderd "中," zoodat het dialoogvenster "是" voorbereid " op de nieuwe vermelding "。
门op de toets“签署和拯救CSR”te drukken, word de CSR op de kaart ondertekend en opgeslagen in het geselecteerde bestand。Als de kaart zich niet在het veld van de aangesloten uFR-lezer bevindt of de verkeerde pincode van de gebruiker heeft ingeverd, ontvangt u een foutbericht met de juiste beschrijving。
这是什么?这是什么?这是什么?U kunt een van de commerciële of niet-commerciële certificaatuitgevers kiezen of door op de knop“在线获取证书”te drukken, kunt U de CSR naar onze webservice sturen om een demonstratiecertificaat te verkrijgen dat是uitgegeven door“数字逻辑有限公司”。BOB直播官网app测试certificaten。示范,甚至测试证明是alleen bedoeld voor测试bruik en geldigheidsduur是3 maanden。Bijbehorende root- en中级ca证书die u kunt downloaden vanhttp://ca.d-logic.com.
Als u op de knop“Certificaat online ophalen”klikt, wordt u gevraagd om een eerder opgeslagen CSR-bestand met een”。-extensie die naar de HTTP-server word verzonden. pem”。即使是服务器操作https://certificates.d-logic.com是geslaagd en het X.509-certificaat是uitgegeven, word u gevraagd de bestandsnam op geven om het certificaat op te slaan。安德斯·特万特·你已经通过了弗特伯利希特。
x Objecten
Dit tabblad是bedoeld voor het beheren van de X.509-objecten met betkking tot de certificaten op DL签名卡。Om X.509-objecten van een kaart te lezen,是het niet nodig Om ingelogd te zijn meet een van de pincodes。Om de inhoud van de opslag voor de X.509-objecten op de kaart te wijzigen, moet u zijn ingelogd遇见de SO-pincode op de pagina“PINCODES”。
“X.509-objecten”在德国中部地区的应用是在德国的草原上。在het veld staat, verschijnt er een foutmelding, zoals weergegeven in derderstaande afbeelding:
Als de opslag van X.509-objecten met succes van de kaart is gelezen, worden de certificaatweergavelijsten gevuld met die inhoud。U kunt deze listen op elk gewenst moment vernieuwen door de gewenste kaart在het lezersveld te platsen en op de knop“Objecten van de kaart vernieuwen”te drukken。
De selective van het x .509- certificate ' s best word word uitgeverd door op De sleutel certificate ' s best openen te drukken。Het是ook mogelijk om certificaten te lezen van bestanden in pem - format (Base64 gecodeerd), die meestal de extensie”。在asn .1- standard (DER-gecodeerd),模具扩展。crt”、“。"。der" kunnen hebben的Cer "。是geselecteerd,是systememdialoogvenster weergegeeven met de inhoud van het geselecteerde x .509- certificate。Na het controller van de certificatems, volstaat het om dit te bevestien door op de knop "OK" te drukken。
Als u het geselecteerde certificaen kaart wilt opslaan, moet u de gewenste object-id (willekeurige alfanumerieke tekenreeks) inveren die uniek moet zijn voor andere certificaten die op de kaart zijn opgeslagen。对象ID字ingeverd在het tekstvak遇到了标签“对象ID:”。Het voorstel是证书满足RSA-openbare sleutels moeten worden gemarkeerd满足eeid van bijvoorbeeld。"0001" tot "0003" en degenen die ECDSA openbare sleutels bevatten, worden gemarkeerd met een ID van bijvoorbeeld "1001" tot "1003"。CA-certificaten moeten ook een eeke id tag op de kaart hebben, dus het is een estie om ze te taggen met bijvoorbeeld“5001”tot“5012”。它是nog steeds nodig om een sleuteltype te selecteren。Voor rsa- en ecdsa-typen是一种与人一致的方法。Voor de CA-certificeringsinstantie是de volgorde van de index niet相关,maar vanwege de透明门aanbeveling moeten ze在volgorde worden ingeverd, de een na de ander在paren, bijvoorbeeld van root tot中间。在PKCS#11模块上,在x .509-证书上,在打开的门上,在打开的门上,在打开的门上。Uiteindelijk moet u op de knop drukken met een beschrijvende naam“Certificaat uit een bestand op de kaart plaatsen met een aangewezen ID, objecttype en index”。
我们在这里生根生根,用ca认证,用het kan nodig zijn om dit verder te verduidelijken。Hier zijn we ervan uitgegaan dat het eidentiteitsctificaat de vertrouwensketen tot stand komt via het tussenliggende naar het base - ca -certificaat。它是de gebruikelijke manier om een vertrouwensketen te vormen door de officiële uitgevers van het certificate。它是由ca - certification te wijzigen die甚至vertrouwensketen vormen颁发的。Het is belangrijk om te benadrukken dat er altijd twee definitieve certificaten zijn, aan Het begin van de keten, Het zogenaamde root(根)CA-certificaat en aan Het einde van Het chain end-entity certificate(叶证书)
Handtekening
Op het tabblad "Handtekening" zijn er opdrachten voor het verkrijgen van digitale handtekeningen van de kaart。即使设置gegevens van de invoerregel遇到了标签“M:”(bericht)的Een bestand waarvan het pad kan worden ingesteld door op het keuzerondje“bestand instellen om te ondertekenen”te klikken, kan worden ondertekend。十六进制(HEX)格式,Base64码的ASCII码布局。
十六进制(十六进制)嵌套十六进制门空间。base64 - indedelword vaak gebruikt在cryptografie en PEM-records van de x .509-certificate。Hier zullen我们详细讨论了base64格式。ascii码延迟是标准的,标准的,标准的,标准的。在原则中,所有的原则都是通过标准的美国英语来实现的,在ascii编码的基础上。Als er toevallig tekens worden ingeverd die geen deel uitmaken van de ascii -code -out en deze optie是geselecteerd, worden deze tekens intern vervangen door het teken '?'。Tekens die geen deel uitmaken van de ASCII-code-indeling kunnen worden ingeverd via sommige gelokaliseerde toetsenborden of door de optie "plakken" te selecteren in het contextmenu van het tekstvak "M:"。
“Bestand instellen om te ondertekenen”klikt, word甚至dialoogvenster voor bestandd选择的标准是voor het windows - bestingssystem。Wanneer het bestand是geselecteerd, word het pad ingesteld op het tekstvak 'M:'。
门上的“Bericht opslaan in binair bestand”te drukken,单词het mogelijk gemaakt om een array van bytes op te slaan die zijn ingeverd in het tekstvak“M:”in het binaire bestand。
Door de“Get signature”te selecteren, passen de te ondertekenen gegevens het geselecteerde hash-algoritme(消息摘要算法)waarvan het resultaat naar de kaart wordt verzonden。De kaart genereert vervolgens een handtekening op basis van het geselecteerde cryptografische algoritme uit De keuzelijst met invoervak“密码算法”(ECDSA的RSA) en De sleutelindex op De kaart(“sleutelindex op kaart”keuzelijst met invoervak)。Om de kaart te ondertekenen,是het noodle zakelijk Om vooraf ingelogd te zijn met de pincode van de gebruiker。
Na succesvolle ondertekening wordt de waarde van de digitale handtekening weergegeven in het tekstvak“handtekening”in HEX- of base64 indeling, afhankelijk van de geselecteerde optie。Door de HEX / Base64-selectie te wijzigen,是het mogelijk om de handtekeningweergave te converteren。De handtekening kan worden opgeslagen in het binaire bestand door op De knop " handtekening opslaan in binair bestand" te drukken。
可选berekening van de hashwaarde van de digitale handtekening是ook geïmplementeerd。De keuze van hash-algoritmen voor dit doel omvat ook het verouderde MD5-algoritme om historische redenen, omdat sommige oude cryptografische system nog steeds afhankelijk zijn van dit mechanism。De hashwaarde van een digitale handtekening kan worden opgeslagen in een binair bestand door op De knop "Hash opslaan in bestand" te drukken。
