Digital signing source code software for µFR Series NFC RFID contactless readers
Digitalno potpisivanje je budućnost online poslovanja, bilo da govorimo o jednostavnom potpisivanju dokumenta, koda i e-pošte ili naprednijoj kriptografskoj implementaciji kao što danas vidimo u kriptovalutama i blockchainu.
Digital Logic Ltd. je jedna od prvih kompanija na svetu koja je implementirala digitalna rešenja za potpisivanje sa beskontaktnim RFID karticama.
Očekujemo da će stari sistemi koji i dalje koriste kontaktne kartice uskoro postati stvar prošlosti.
μFR Signer softver podržava i RSA i ECDSA kriptografske algoritme za digitalno potpisivanje datoteka.
Softver je namenjen za upotrebu sa našom μFR serijom NFC uređaja: Nano, Classic, ClassicCS, i Advance.
μFR Signer radi sa svim karticama koje podržavaju RSA i ECDSA. U našem demonstracijskom videu, koristili smo JCOP karticu J3D081.
DL kartice omogućavaju digitalno potpisivanje podataka i dokumenata u samim karticama koristeći RSA ili ECDSA asimetrične kriptografske algoritme. PKI infrastruktura je podržana i u DL Signer karticama moguće je pohraniti X.509 certifikate koji se odnose na parove kriptografskih ključeva generiranih u samim karticama. Podržan je za pohranjivanje svih X.509 certifikata koji čine lanac povjerenja od korijenskog certifikata do certifikata krajnjeg entiteta.
Javni ključ koji se generiše u DL karticama potpisnika stavlja se u telo zahteva prilikom kreiranja zahteva za potpisivanje sertifikata (u daljem tekstu CSR). Zahtev se potpisuje u samoj kartici odgovarajućim privatnim ključem koji nikada ne napušta samu karticu i ni na koji način se ne može pročitati nakon generisanja parova ključeva. CSR se šalje sertifikacionom telu da kreira i potpiše X.509 sertifikat na osnovu njega. Ovaj sertifikat krajnjeg entiteta se stavlja u DL Signer karticu sa drugim sertifikatima iz lanca poverenja i spreman je da digitalno potpiše podatke i dokumente. Korisnik može poslati CSR bilo kojem certifikacijskom tijelu čije usluge želi koristiti. Digitalna logika je obezbedila mehanizam za izdavanje sertifikata krajnjih entiteta za testiranje sistema. Jedna od osnovnih karakteristika sertifikata krajnjeg entiteta je da se privatni ključ, koji je uparen sa javnim ključem koji takvi sertifikati sadrže, ne sme koristiti za potpisivanje drugih sertifikata.
Windows softverski alati koji iniciraju generiranje parova kriptografskih ključeva, generiraju CSR-ove, upravljaju PIN i PUK kodovima DL Signer kartica, manipuliraju sadržajem X.509 certifikata, te potpisuju podatke i datoteke, distribuiraju se kao "ufr-potpisnik".
"Signature-verifier" je Windows aplikacija koja potvrđuje RSA i ECDSA digitalne potpise.
Digitalno potpisivanje i validacija potpisa može se uraditi i iz aplikacije Adobe Acrobat Reader DC koristeći modul ufr-pkcs11 koji smo razvili u tu svrhu. Naš PKCS#11 modul se takođe može koristiti sa popularnim Mozilla e-mail klijentom i veb pregledačem, kao i sa drugim softverskim alatima koji su kompatibilni sa PKCS#11 specifikacijom.
Također smo pružali web usluge za online provjeru X.509 certifikata i potpisanih pdf datoteka.
uFR potpisnik
"uFR Signer" je softverski alat koji pokreće generisanje kriptografskih parova ključeva, generiše CSR zahteve, služi za upravljanje PIN i PUK kodovima DL kartica potpisnika, manipuliše sadržajem X.509 sertifikata i potpisuje podatke i datoteke.
Aplikacija je podijeljena u nekoliko logičkih jedinica pomoću vizualne komponente kontrole tabova. Kartice su označene imenima ovih jedinica:
"RSA ključevi" i "EC ključevi" se koriste za kreiranje i manipulaciju RSA ili ECC parovima ključeva.
RSA (Rivest, Shamir & Adleman) i ECC (Eliptična kriva kriptografija) predstavljaju savremene asimetrične kriptografske algoritme. DL Signer kartice podržavaju čuvanje 3 RSA i 3 ECC tastera odvojeno. Svaki od kriptografskih ključeva može biti različitih dužina i karakteristika i označen je kriptografskim algoritmom i indeksom ključeva.
Kartica "PIN kodovi" odnosi se na upravljanje i evidentiranje korisničkog PIN koda na DL Signer karticu koja se nalazi u polju čitača uFR. PIN je skraćenica od "Personal Identification Number". Pored PIN kodova, na ovoj kartici možete otključati i eventualno blokirane kartice koristeći PUK kodove. PUK je skraćenica od "PIN Unlock Key".
Kartica "Objekti kartice" koristi se za upravljanje CA certifikatima i certifikatima krajnjih entiteta koji su povezani s njihovim kriptografskim ključevima putem njihovih indeksa. Certifikat mora biti u verziji X.509 3. Akreditivi krajnjeg entiteta moraju sadržavati javni ključ izvorno generiran u kartici DL Signer u paru s pripadajućim privatnim ključem. Primarna svrha certifikata je za upotrebu uz pripremu za potpisivanje putem PKCS#11 modula. Prisustvo X.509 sertifikata nije obavezno za korišćenje DL kartice potpisnika sa vlasničkim aplikacijama.
Na kartici "Potpis" nalaze se opcije za kreiranje digitalnih potpisa. Moguće je potpisati niz bajtova, unos teksta ili datoteku. Ovi potpisi se mogu verifikovati pomoću aplikacije "signature-verifier."
Da bi se efikasno rešili problemi sa performansama, DL kartice su dizajnirane da potpišu blokove podataka što je moguće sažetije. Stoga je praksa digitalnog potpisivanja podataka pomoću RSA algoritma kako je definirano shemom PKCS#1 v1.5. Za ECDSA algoritam, digitalni postupak generisanja potpisa, mehanizmi podloge i poravnanja definisani su u RFC 6979.
Najnovija verzija uFRSigner aplikacije je 1.5.3.0 i potrebno je koristiti uFCoder library verziju 5.0.1 ili višu i uFR firmware verziju 5.0.7 ili višu.
PIN kodovi
PIN kod je skraćenica od "Personal Identification Number". DL kartica sadrži dva različita PIN koda. Ovo su SO (Security Officer) PIN i korisnički PIN kod. Takozvani "Službenik za bezbednost" je korisnik koji ima administrativne privilegije za pristup bezbednosnim objektima na DL kartici potpisnika. PIN kod treba da se razlikuje od PIN koda.
"Službenik za bezbednost" mora biti prijavljen da bi pristupio kartici u slučajevima kada je potrebno promeniti PIN i PUK kodove i promeniti sadržaj skladišta za ključeve i sertifikate. Prijavljivanje sa korisničkim PIN kodom je neophodno da bi se dobio digitalni potpis hashovanog niza podataka.
PIN kodovi na DL karticama potpisnika mogu imati najmanje 4 znaka i maksimalno 8 znakova. Ovde, pod karakterom, postoji bilo koji alfanumerički (osetljiv na slučaj) ili bilo koji karakter koji se može štampati. Znakovi koji se mogu štampati uglavnom se odnose na znakove interpunkcije na standardnim tastaturama. Prilikom promjene PIN kodova ne preporučuje se upotreba specifičnih znakova koji se mogu naći samo na pojedinačnim lokaliziranim tipkovnicama, već samo znakove koji su u ASCII standardu i koji postoje na standardnim američkim engleskim tastaturama.
U svim DL karticama potpisnika u početku su postavljeni zadani PIN i korisnički PIN kodovi, koji se sastoje od osam uzastopnih numeričkih znakova '0' (nula) ili "00000000".
Maksimalan broj unesenih netačnih uzastopnih PIN koda je 5. Ako je prekoračen broj netačnih uzastopnih pokušaja unosa PIN koda, taj PIN kod je blokiran. Dok PIN kod nije blokiran, unos ispravnog PIN koda resetuje pogrešno uneseni brojač PIN kodova.
Jedini način da deblokirate PIN je da unesete ispravan PUK kod. PUK je skraćenica od "PIN Unlock Key". SO PUK kod služi isključivo za deblokiranje SO PIN koda i korisničkog PUK-a za deblokiranje korisničkog PIN koda. U slučaju 10 uzastopnih pogrešno unesenih PUK kodova, PUK kod postaje neupotrebljiv, a funkcionalnost kartice na koju se odnosi blokirani PIN kod ostaje zauvijek blokirana.
RSA tipke
Na kartici "RSA Keys" nalaze se opcije za kreiranje i upravljanje RSA ključevima. Pre rada sa RSA ključevima, DL kartica potpisnika mora biti u polju uFR čitača koje je povezano sa računarom koji radi pod ufr-signer aplikacijom. Takođe, potrebno je da se prijavi i SO (bezbednosni službenik).
EC tipke
Na kartici "EC Keys" postoje opcije za kreiranje i upravljanje EC ključem. Pre rada sa EC ključevima, DL kartica potpisnika mora biti u polju uFR čitača koje je povezano sa računarom koji pokreće aplikaciju ufr-signer. Takođe, potrebno je da se prijavi i SO (bezbednosni službenik).
Generiranje zahtjeva za potpisivanje certifikata (CSR)
Definisan je standardom PKCS#10 i predstavlja standardizovani zapis koji, između ostalog, sadrži osnovne informacije o korisniku sertifikata u istaknutom imenu. Na osnovu karakterističnog imena, takozvani Subjekt (polje predmeta) se formira u konačnom X.509 sertifikatu. Pored toga, CSR zapisi takođe mogu da sadrže proširenja navedena standardom X.509 koje sertifikaciono telo (CA) može razmotriti ili odbaciti, u zavisnosti od njegove politike sertifikacije. Osnovni dio CSR-a svakako je javni ključ i njegovi parametri. Svi ovi podaci, upakovani u oblik definisan standardom PKCS#10, konačno prolaze kroz odgovarajući kriptografski digest algoritam i rezultat se potpisuje na kartici odgovarajućim privatnim ključem. Tako stečeni digitalni potpis postaje sastavni dio CSR-a.
CSR se šalje željenom izdavaocu sertifikata, koji predstavlja takozvano sertifikaciono telo (CA). Izdavalac sertifikata će generisati vaš X.509 sertifikat krajnjeg entiteta, koji je potpisan njihovim privatnim ključem, koji je sada povezan sa javnim ključem sadržanim u odgovarajućem srednjem ili root CA sertifikatu. Na ovaj način, sertifikat krajnjeg entiteta postaje deo lanca poverenja koji garantuje sertifikaciono telo (CA).
"Zahtjev za potpisivanje certifikata (CSR)" dijalog je zasebna grupa za unos "Distinguished Name (DN)", "Extensions" i na gornjoj desnoj strani grupa combo boxova, za kontrolu hash algoritma i definiciju kriptografskog ključa. Ispod desno je grupa dugmadi za odabir aktivnosti vezanih za generisanje CSR-a.
Istaknuto ime, koje se naziva DN, sastoji se od grupe Relative Distinguished Name (RDN) koja predstavlja grupu atributa. Prilikom definisanja DN, redosled RDN polja je veoma važan. Važno je napomenuti da je moguće ponoviti jedno RDN polje nekoliko puta unutar DN-a. Mora se imati na umu da sertifikaciono telo (CA) nije u obavezi da izdaje sertifikat sa istim DN kao što je definisano u CSR-u, ali DN može da se formira na osnovu sopstvenih pravila i podataka dobijenih tokom prethodno implementirane provere identiteta korisnika.
Formiranje DN-a vrši se odabirom odgovarajućeg RDN iz combo okvira i kucanjem željene vrijednosti u okvir za tekst. Pritiskom na dugme "Put" deklarisani RDN će biti postavljen na listu (Okvir za listu) koji definiše DN. Ako je jedno od RDN polja izabrano na listi, novi RDN će biti umetnut između izabranog i prethodnog polja. Ako ništa nije izabrano na DN listi, na kraju liste se ubacuje novo RDN polje. Da biste otkazali izbor na listi, pritisnite dugme "Deselect". Neispravan RDN se može ukloniti sa liste pritiskom na "Ukloni". Redoslijed RDN polja može se promijeniti pomoću dugmadi "Move Up" i "Move Down" koji utiču na suvišnost izabranog RDN-a na listi.
Proširenja su opcioni deo CSR-a i sertifikaciono telo (CA) ih može razmotriti ili odbiti, u zavisnosti od njihove politike sertifikacije. Moguće je dodijeliti više atributa, a poželjno je definirati e-mail adresu unutar alternativnog subjekta (alternativni naziv predmeta, skraćeno predmetAltName) jer je ovo najčešći izdavatelj certifikata na uobičajenom mjestu u tu svrhu. Za proširenja, redoslijed pojedinačnih atributa nije važan. Predviđeno je da se i dalje može definisati željena svrha ključeva, proširena namena ključeva i izjave vezane za kvalifikovane sertifikate. Još jednom treba naglasiti da izdavaoci sertifikata mogu da ignorišu proširenja, a samo neki od njih mogu da izdaju takozvane kvalifikovane elektronske sertifikate. U svakom slučaju, u okviru proširenja, korisnik može navesti željene elemente budućeg sertifikata, ali, još jednom, konačno ukidanje X.509 sertifikata zavisi isključivo od njegovog izdavaoca i da sve detalje treba u potpunosti upoznati sa njihovim politikama pre zaključenja ugovora o izdavanju.
Izbor hash algoritma vrši se iz combo boxa označenog "signer digest algoritmom". Podrazumevani izbor je SHA-256, koji se odnosi na SHA2 algoritam koji ima 256 bita na izlazu ili 32 bajta i to se preporučuje za upotrebu za CSR. SHA1 se više ne preporučuje, a SHA2 sa većim brojem bajtova na izlazu (384 i 512), a SHA3 algoritam je planiran za češću upotrebu u budućnosti.
Ključevi i njihovi parametri ("algoritam šifre potpisnika" i "indeks ključeva potpisnika (kartica)") ovde se ne mogu menjati i već postoje definisani na kartici sa koje ste otvorili ovaj dijalog ("RSA ključevi" ili "EC ključevi") i njihova svrha ovde je samo informativna. Ako "RSA ključevi" ili "EC ključevi" iz kojih ste otvorili CSR dijalog, nije bilo odgovarajućeg javnog ključa, prethodno pročitanog sa kartice, na etiketi koja ukazuje na veličinu RSA ključa, kriva ECDSA će biti označena kao "Javni ključ nije postavljen". Kada javni ključ nije podešen, nije moguće izvršiti "Sign and Save CSR", ali je moguće učitati DN i ekstenzije iz postojećeg CSR ili tzv.
TBS CSR je naš interni format zapisa takozvani "To Be Signed" zahtev koji može da posluži kao predložak za kreiranje CSR zahteva sa više zajedničkih karakteristika. TBS CSR ne sadrži kriptografske ključeve, već samo pohranjuje DN i proširenja.
Pritiskom na dugme "Clear Entries" uklanja se sve stavke u DN i ekstenziji tako da je dijalog pripremljen za novi unos.
Pritiskom na tipku "Sign and Save CSR" završava se potpisivanje CSR-a na kartici i pohranjivanje u odabranu datoteku. Ako kartica nije u polju povezanog uFR čitača ili unesena pogrešan korisnički PIN kod, dobićete poruku o grešci sa odgovarajućim opisom.
Poslednja stvar koju treba uraditi nakon generisanja CSR-a je slanje izdajniku sertifikata da primi X.509 sertifikat. Možete da izaberete bilo koji od komercijalnih ili nekomercijalnih izdavalaca sertifikata ili pritiskom na dugme "Get Certificate Online" možete poslati CSR na našu veb uslugu da biste dobili demonstraciju, test sertifikat izdat od strane "Digital Logic Ltd." Sertifikati za testiranje. Testni certifikat namijenjen je samo za upotrebu u testu, a rok valjanosti je 3 mjeseca. Prateće root i srednje CA sertifikate možete preuzeti sa http://ca.d-logic.com.
Ako kliknete na dugme "Get Certificate Online" bićete upitani za prethodno sačuvanu CSR datoteku sa ekstenzijom ".pem" koja će biti poslata na HTTP server. U vezi sa serverom na https://certificates.d-logic.com je uspešan i izdaje se X.509 sertifikat, od vas će se tražiti da ime datoteke sačuva sertifikat. U suprotnom, dobićete odgovarajuću poruku o grešci.
X.509 objekti
Ova kartica je namenjena upravljanju X.509 objektima, koji se odnose na sertifikate na DL karticama potpisnika. Da biste pročitali X.509 objekte sa kartice, nije potrebno da budete prijavljeni ni sa jednim od PIN kodova. Da biste promenili sadržaj skladišta za X.509 objekte na kartici, morate biti prijavljeni sa SO PIN kodom na stranici "PIN kodovi."
Na kartici "X.509 Objects" aplikacija odmah pokušava da pročita karticu koja je prisutna u polju uFR čitača. Ako u polju nema DL Signer kartice, pojaviće se poruka o grešci, kao što je prikazano na slici ispod:
Ako se skladište objekata X.509 uspešno čita sa kartice, liste prikaza sertifikata će biti naseljene tim sadržajem. Ove liste možete osvežiti u bilo kom trenutku postavljanjem željene kartice u polje čitača i pritiskom na dugme "Osveži objekte sa kartice."
Izbor datoteke certifikata X.509 vrši se pritiskom na tipku "Open certificate file." Također je moguće čitati certifikate iz datoteka u PEM formatu (kodirani Base64), koji obično imaju ekstenziju ".pem" ili iz binarnih datoteka napisanih u ASN.1 standardu (DER-kodirani), koji mogu imati proširenja ".crt", ".cer ", ili ".der". Ako je izabrana važeća datoteka, prikazat će se sistemski dijalog koji prikazuje sadržaj odabranog X.509 certifikata. Nakon provere stavki sertifikata, dovoljno je da to potvrdite pritiskom na dugme "OK."
Da biste pohranili odabrani certifikat na karticu, morate unijeti željeni ID objekta (proizvoljni alfanumerički niz znakova) koji mora biti jedinstven u odnosu na druge certifikate koji su pohranjeni na kartici. ID objekta je unesen u okvir za tekst s oznakom "ID objekata:". Prijedlog je da certifikati koji sadrže RSA javne ključeve budu označeni identifikacijom npr. "0001" do "0003" i oni koji sadrže ECDSA javne ključeve biće označeni identifikacijom npr. "1001" do "1003". CA certifikati moraju imati i jedinstvenu ID oznaku na kartici, pa je prijedlog da ih označite npr. "5001" do "5012". Još uvijek je potrebno odabrati tip ključa. Za RSA i ECDSA tip, indeks privatnog ključa na kartici vezan je za taj certifikat, a ti indeksi moraju biti dosljedni. Za CA sertifikaciono telo redosled indeksa nije relevantan, ali zbog transparentnosti po preporuci, treba ih uneti redom, jedan za drugim u parovima, na primer, od korena do posrednika. Aplikacije koje podržavaju PKCS#11 modul i koriste X.509 sertifikate, rade tako što čitaju sve javne objekte sa kartice, a zatim proveravaju lanac poverenja na osnovu sadržaja samih sertifikata. Na kraju treba pritisnuti dugme sa opisnim imenom "Stavite potvrdu iz datoteke u karticu sa označenim ID-om, tipom objekta i indeksom".
Pomenuli smo root i srednje parove CA sertifikata i možda će biti potrebno dodatno pojasniti to. Ovde smo pretpostavili da se sertifikat krajnjeg entiteta u lancu poverenja uspostavlja preko srednjeg do root CA sertifikata. Ovo je uobičajeni način formiranja lanca poverenja od strane zvaničnih emitenta sertifikata. Međutim, ovo nije striktno pravilo i druge konfiguracije su moguće izmeniti CA sertifikate koji formiraju lanac poverenja. Važno je naglasiti da uvek postoje dva konačna sertifikata, na početku lanca, takozvani root (root) CA sertifikat i na kraju lanca sertifikata krajnjeg entiteta (list sertifikat)
Potpis
Na kartici "Potpis" nalaze se komande za dobijanje digitalnog potpisa sa kartice. Može se potpisati skup podataka iz ulazne linije sa oznakom "M:" (poruka) ili datoteke čija se putanja može podesiti klikom na radio dugme "Podesi datoteku za potpisivanje." Podaci se mogu unijeti u heksadecimalnom (HEX) formatu, kodiranom Base64 ili ASCII rasporedu koda.
Heksadecimalni (HEX) format uključuje parove heksadecimalnih cifara koji se mogu razdvojiti razmacima. Base64 format se često koristi u kriptografiji i PEM zapisima X.509 sertifikata. Ovde se nećemo baviti Base64 formatom detaljno. ASCII raspored koda je standard koji se obično koristi za snimanje tekstualnih skupova podataka koji uključuju sve alfanumeričke znakove, kao i sve standardne interpunkcije. U principu, sve što se može unijeti kroz standardnu američku englesku tastaturu pokriveno je ASCII rasporedom koda. Ako se kojim slučajem unesu znakovi koji nisu dio rasporeda ASCII koda, a odabrana je ova opcija, ti znakovi će biti interno zamijenjeni znakom '?'. Znakovi koji nisu dio rasporeda ASCII koda mogu se unijeti putem nekih lokaliziranih tastatura ili odabirom opcije "paste" iz kontekstnog izbornika okvira za tekst "M:".
Kada se neki podaci unesu u ulaznu liniju, konverzija u drugu vrstu zapisa vrši se jednostavnim odabirom željenog formata zapisa (HEX / Base64 / ASCII opcije) osim kada postoji greška u unosu.
Klikom na radio dugme "Podesi datoteku za potpisivanje" otvara se dijalog za izbor datoteka koji je standardan za Windows operativni sistem. Kada je datoteka izabrana, njena putanja je postavljena u okvir za tekst "M:."
Pritiskom na dugme "Sačuvaj poruku u binarnu datoteku," omogućeno je skladištenje niza bajtova unetih u okvir za tekst "M:" u binarnu datoteku.
Odabirom "Get signature", potpisani podaci prolaze kroz odabrani hash algoritam (Message digest algoritam) čiji se rezultat šalje na karticu. Kartica zatim generiše potpis na osnovu izabranog kriptografskog algoritma iz kombinovanog okvira "Cipher algoritma" (RSA ili ECDSA) i indeksa ključeva na kartici ("Key index in card" combo box). Za potpisivanje kartice potrebno je prethodno biti prijavljen sa korisničkim PIN kodom.
Nakon uspješnog potpisivanja, vrijednost digitalnog potpisa prikazuje se u tekstualnom okviru "Potpis" u HEX ili Base64 formatu, ovisno o odabranoj opciji. Promjenom odabira HEX / Base64 moguće je pretvoriti prikaz potpisa. Potpis se može sačuvati u binarnoj datoteci pritiskom na dugme "Sačuvaj potpis u binarnu datoteku."
Također je implementirano opciono izračunavanje hash vrijednosti digitalnog potpisa. Izbor hash algoritama u tu svrhu također uključuje zastarjeli MD5 algoritam iz historijskih razloga, jer neki stari kriptografski sistemi još uvijek ovise o ovom mehanizmu. Hash vrijednost digitalnog potpisa može se pohraniti u binarnu datoteku pritiskom na dugme "Sačuvaj hash to file."
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept”, you consent to the use of ALL the cookies.
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
