Οι κάρτες DL Signer παρέχουν ψηφιακή υπογραφή δεδομένων και εγγράφων στις ίδιες τις κάρτες χρησιμοποιώντας ασύμμετρους κρυπτογραφικούς αλγόριθμους RSA ή ECDSA. Υποστηρίζεται υποδομή PKI και στις κάρτες DL Signer, είναι δυνατή η αποθήκευση πιστοποιητικών X.509 που σχετίζονται με ζεύγη κρυπτογραφικών κλειδιών που δημιουργούνται στις ίδιες τις κάρτες. Υποστηρίζεται η αποθήκευση όλων των πιστοποιητικών X.509 που αποτελούν την αλυσίδα αξιοπιστίας από το πιστοποιητικό ρίζας έως το πιστοποιητικό τελικής οντότητας.
Το δημόσιο κλειδί που δημιουργείται στις κάρτες DL Signer τοποθετείται στο σώμα του αιτήματος κατά τη δημιουργία της απαίτησης υπογραφής πιστοποιητικού (εφεξής CSR). Το αίτημα υπογράφεται στην ίδια την κάρτα με ένα κατάλληλο ιδιωτικό κλειδί που δεν φεύγει ποτέ από την ίδια την κάρτα και σε καμία περίπτωση δεν μπορεί να διαβαστεί μετά τη δημιουργία ζευγών κλειδιών. Επιπλέον, η ΕΚΕ αποστέλλεται στον οργανισμό πιστοποίησης για να δημιουργήσει και να υπογράψει το πιστοποιητικό X.509 που βασίζεται σε αυτό. Αυτό το πιστοποιητικό τελικής οντότητας τοποθετείται στην κάρτα DL Signer μαζί με άλλα πιστοποιητικά από την αλυσίδα αξιοπιστίας και είναι έτοιμο να υπογράψει ψηφιακά δεδομένα και έγγραφα. Ο χρήστης μπορεί να αποστείλει ΕΚΕ σε οποιονδήποτε φορέα πιστοποίησης τις υπηρεσίες του οποίου επιθυμεί να χρησιμοποιήσει. Η Digital Logic έχει παράσχει έναν μηχανισμό για την έκδοση πιστοποιητικών τελικής οντότητας για τη δοκιμή του συστήματος. Ένα από τα βασικά χαρακτηριστικά του πιστοποιητικού τελικής οντότητας είναι ότι το ιδιωτικό κλειδί, το οποίο συνδυάζεται με το δημόσιο κλειδί που περιέχουν αυτά τα πιστοποιητικά, δεν πρέπει να χρησιμοποιείται για την υπογραφή άλλων πιστοποιητικών.
Τα εργαλεία λογισμικού των Windows που ξεκινούν τη δημιουργία ζευγών κρυπτογραφικών κλειδιών, δημιουργούν CSR, διαχειρίζονται τους κωδικούς PIN και PUK των καρτών DL Signer, χειρίζονται τα περιεχόμενα των πιστοποιητικών X.509 και υπογράφουν τα δεδομένα και τα αρχεία, διανέμονται ως "ufr-signer".
Ο "Επαληθευτής υπογραφής" είναι μια εφαρμογή των Windows που επικυρώνει ψηφιακές υπογραφές RSA και ECDSA.
Η ψηφιακή υπογραφή και επικύρωση υπογραφών μπορεί επίσης να γίνει από την εφαρμογή Adobe Acrobat Reader DC χρησιμοποιώντας τη λειτουργική μονάδα ufr-pkcs11 που αναπτύξαμε για το σκοπό αυτό. Η ενότητα PKCS#11 μπορεί επίσης να χρησιμοποιηθεί με το δημοφιλές πρόγραμμα-πελάτη ηλεκτρονικού ταχυδρομείου και το πρόγραμμα περιήγησης ιστού της Mozilla, καθώς και με άλλα εργαλεία λογισμικού που είναι συμβατά με την προδιαγραφή PKCS#11.
Παρείχαμε επίσης διαδικτυακές υπηρεσίες για τον ηλεκτρονικό έλεγχο των πιστοποιητικών X.509 και των υπογεγραμμένων αρχείων pdf.
Υπογράφων uFR
Το "uFR Signer" είναι ένα εργαλείο λογισμικού που ξεκινά τη δημιουργία κρυπτογραφικών ζευγών κλειδιών, δημιουργεί αιτήματα CSR, χρησιμεύει για τη διαχείριση των κωδικών PIN και PUK των καρτών DL Signer, χειρίζεται τα περιεχόμενα των πιστοποιητικών X.509 και υπογράφει τα δεδομένα και τα αρχεία.
Η εφαρμογή χωρίζεται σε διάφορες λογικές μονάδες χρησιμοποιώντας ένα οπτικό στοιχείο ελέγχου καρτελών. Οι καρτέλες επισημαίνονται με τα ονόματα αυτών των μονάδων:
Τα "Κλειδιά RSA" και τα "Κλειδιά EC" χρησιμοποιούνται για τη δημιουργία και το χειρισμό ζευγών κλειδιών RSA ή ECC.
Οι RSA (Rivest, Shamir, &Adleman) και ECC (Κρυπτογραφία Ελλειπτικής Καμπύλης) αντιπροσωπεύουν σύγχρονους ασύμμετρους κρυπτογραφικούς αλγόριθμους. Οι κάρτες DL Signer υποστηρίζουν την αποθήκευση 3 κλειδιών RSA και 3 ECC ξεχωριστά. Κάθε ένα από τα κρυπτογραφικά κλειδιά μπορεί να έχει διαφορετικά μήκη και χαρακτηριστικά και υποδεικνύεται από έναν κρυπτογραφικό αλγόριθμο και ένα ευρετήριο κλειδιών.
Η καρτέλα "Κωδικοί PIN" αναφέρεται στη διαχείριση και την καταγραφή του κωδικού PIN χρήστη στην κάρτα DL Signer που βρίσκεται στο πεδίο ανάγνωσης uFR. Το PIN είναι συντομογραφία του "Προσωπικού Αριθμού Αναγνώρισης". Εκτός από τους κωδικούς PIN, σε αυτήν την καρτέλα, μπορείτε επίσης να ξεκλειδώσετε τελικά αποκλεισμένες κάρτες χρησιμοποιώντας κωδικούς PUK. Το PUK σημαίνει "Κλειδί ξεκλειδώματος PIN".
Η καρτέλα "Αντικείμενα κάρτας" χρησιμοποιείται για τη διαχείριση πιστοποιητικών CA και πιστοποιητικών τελικής οντότητας που σχετίζονται με τα αντίστοιχα κρυπτογραφικά κλειδιά τους μέσω των ευρετηρίων τους. Τα πιστοποιητικά πρέπει να είναι σύμφωνα με την έκδοση X.509 3. Τα διαπιστευτήρια τελικής οντότητας πρέπει να περιέχουν ένα δημόσιο κλειδί που δημιουργήθηκε αρχικά στην κάρτα DL Signer σε ζεύγη με το συσχετισμένο ιδιωτικό κλειδί. Ο πρωταρχικός σκοπός του πιστοποιητικού είναι για χρήση με προετοιμασία για υπογραφή μέσω της ενότητας PKCS #11. Η παρουσία των πιστοποιητικών X.509 δεν είναι υποχρεωτική για τη χρήση της κάρτας DL Signer Με τις ιδιόκτητες εφαρμογές.
Στην καρτέλα "Υπογραφή" υπάρχουν επιλογές για τη δημιουργία ψηφιακών υπογραφών. Είναι δυνατή η υπογραφή ενός πίνακα byte, μιας εισαγωγής κειμένου ή ενός αρχείου. Αυτές οι υπογραφές μπορούν να επαληθευτούν χρησιμοποιώντας την εφαρμογή "επαληθευτής υπογραφής".
Για την αποτελεσματική αντιμετώπιση των ζητημάτων απόδοσης, οι κάρτες υπογραφής DL έχουν σχεδιαστεί για να υπογράφουν μπλοκ δεδομένων όσο το δυνατόν πιο συνοπτικά. Επομένως, είναι μια πρακτική να υπογράφετε ψηφιακά τα δεδομένα με έναν αλγόριθμο RSA όπως ορίζεται από το σχήμα PKCS #1 v1.5. Για τον αλγόριθμο ECDSA, η διαδικασία δημιουργίας ψηφιακής υπογραφής, η αναπλήρωση και οι μηχανισμοί ευθυγράμμισης ορίζονται στο RFC 6979.
Η πιο πρόσφατη έκδοση της εφαρμογής uFRSigner είναι 1.5.3.0 και είναι απαραίτητο να χρησιμοποιήσετε την έκδοση βιβλιοθήκης uFCoder 5.0.1 ή νεότερη και την έκδοση υλικολογισμικού uFR 5.0.7 ή νεότερη.
Κωδικοί PIN
Ο κωδικός PIN είναι συντομογραφία του "Προσωπικού Αριθμού Αναγνώρισης". Η κάρτα υπογραφής DL περιέχει 2 διαφορετικούς κωδικούς PIN. Αυτά είναι το SO (Security Officer) PIN και ο κωδικός PIN χρήστη. Ο λεγόμενος "Υπεύθυνος Ασφαλείας" είναι ένας χρήστης που έχει δικαιώματα διαχειριστή για πρόσβαση σε αντικείμενα ασφαλείας στην κάρτα DL Signer. SO Ο κωδικός PIN πρέπει να είναι διαφορετικός από τον κωδικό PIN χρήστη.
Ο "Υπεύθυνος Ασφαλείας" απαιτείται να συνδεθεί για να αποκτήσει πρόσβαση στην κάρτα σε περιπτώσεις που είναι απαραίτητο να αλλάξετε τους κωδικούς PIN και PUK και να αλλάξετε τα περιεχόμενα του χώρου αποθήκευσης για τα κλειδιά και τα πιστοποιητικά. Η σύνδεση με έναν κωδικό PIN χρήστη είναι απαραίτητη για να λάβετε την ψηφιακή υπογραφή μιας κατακερματισμένης συμβολοσειράς δεδομένων.
Οι κωδικοί PIN στις κάρτες υπογραφής DL μπορούν να έχουν τουλάχιστον 4 χαρακτήρες και έως 8 χαρακτήρες. Εδώ, κάτω από το χαρακτήρα, υπάρχει οποιοσδήποτε αλφαριθμητικός (με διάκριση πεζών-κεφαλαίων) ή οποιοσδήποτε εκτυπώσιμος χαρακτήρας. Οι εκτυπώσιμοι χαρακτήρες αναφέρονται κυρίως σε σημεία στίξης στα τυπικά πληκτρολόγια. Κατά την αλλαγή κωδικών PIN, δεν συνιστάται η χρήση συγκεκριμένων χαρακτήρων που μπορούν να βρεθούν μόνο σε μεμονωμένα μεταφρασμένα πληκτρολόγια, αλλά μόνο χαρακτήρων που είναι στο πρότυπο ASCII και υπάρχουν σε τυπικά πληκτρολόγια αγγλικών ΗΠΑ.
Σε όλες τις κάρτες DL Signer, οι προεπιλεγμένοι κωδικοί PIN και PIN χρήστη ορίζονται αρχικά, αποτελούμενοι από οκτώ διαδοχικούς αριθμητικούς χαρακτήρες '0' (μηδέν) ή "00000000".
Ο μέγιστος αριθμός λανθασμένων διαδοχικών κωδικών PIN που έχουν εισαχθεί είναι 5. Εάν ξεπεραστεί ο αριθμός των λανθασμένων διαδοχικών προσπαθειών εισαγωγής του κωδικού PIN, αυτός ο κωδικός PIN αποκλείεται. Ενώ ο κωδικός PIN δεν είναι αποκλεισμένος, η εισαγωγή του σωστού κωδικού PIN επαναφέρει τον εσφαλμένα καταχωρημένο μετρητή κωδικών PIN.
Ο μόνος τρόπος για να ξεμπλοκάρετε το PIN σας είναι να εισαγάγετε τον σωστό κωδικό PUK. Το PUK είναι η συντομογραφία του "ΚΛΕΙΔΙΟΥ ΞΕΚΛΕΙΔΩΜΑΤΟΣ PIN". Ο κωδικός SO PUK χρησιμεύει αποκλειστικά για να ξεμπλοκάρει τον κωδικό SO PIN και το PUK χρήστη για να ξεμπλοκάρει τον κωδικό PIN χρήστη. Στην περίπτωση 10 διαδοχικών κωδικών PUK που έχουν εισαχθεί εσφαλμένα, ο κωδικός PUK καθίσταται άχρηστος και η λειτουργικότητα της κάρτας στην οποία σχετίζεται ο αποκλεισμένος κωδικός PIN παραμένει αποκλεισμένη για πάντα.
Κλειδιά RSA
Στην καρτέλα "Κλειδιά RSA" υπάρχουν επιλογές για τη δημιουργία και τη διαχείριση κλειδιών RSA. Πριν από την εργασία με κλειδιά RSA, η κάρτα υπογράφοντος DL πρέπει να βρίσκεται στο πεδίο ανάγνωσης uFR που είναι συνδεδεμένο στον υπολογιστή που εκτελεί την εφαρμογή ufr-signer. Επίσης, απαιτείται να συνδεθείτε ο SO (Υπεύθυνος Ασφαλείας).
Κλειδιά ΕΚ
Στην καρτέλα "Ec Keys" υπάρχουν επιλογές για τη δημιουργία και τη διαχείριση του κλειδιού EC. Πριν από την εργασία με τα κλειδιά EC, η κάρτα υπογραφής DL πρέπει να βρίσκεται στο πεδίο ανάγνωσης uFR που είναι συνδεδεμένος στον υπολογιστή που εκτελεί την εφαρμογή ufr-signer. Επίσης, απαιτείται να συνδεθείτε ο SO (Υπεύθυνος Ασφαλείας).
Οι κάρτες υπογραφής DL υποστηρίζουν τις ακόλουθες τυπικές καμπύλες ECC:
DL Υπογράφων 22:
secp112r1, secp112r2, secp128r1, secp128r2, secp160k1, secp160r1, secp160r2, secp192k1, secp192r1, secp224k1, secp224r1, secp256k1, secp256r1, secp384r1, secp521r1, αίρεση113r1, αίρεση113r2, αίρεση131r1, αίρεση131r2, αίρεση163k1, αίρεση163r1, αίρεση163r2, αίρεση193r1, sect193r2, sect233k1, sect233r1, sect239k1, sect283k1, sect283r1, sect409k1, sect409r1.
DL Υπογράφων 30:
secp192k1, secp192r1, secp256k1, secp256r1, secp384r1.
Υπογράφων DL 145:
secp160k1, secp160r1, secp160r2, secp192k1, secp192r1, secp224k1, secp224r1, secp256k1, secp256r1, secp384r1, secp521r1.
Δημιουργία αιτήματος υπογραφής πιστοποιητικού (CSR)
Ορίζεται από το πρότυπο PKCS#10 και αντιπροσωπεύει μια τυποποιημένη εγγραφή που, μεταξύ άλλων, περιέχει βασικές πληροφορίες σχετικά με τον χρήστη του πιστοποιητικού στο αποκλειστικό όνομα. Με βάση το χαρακτηριστικό όνομα, το λεγόμενο Θέμα (θεματικό πεδίο) σχηματίζεται στο τελικό πιστοποιητικό X.509. Επιπλέον, τα αρχεία ΕΚΕ ενδέχεται επίσης να περιέχουν επεκτάσεις που καθορίζονται από το πρότυπο X.509, τις οποίες η Αρχή Έκδοσης Πιστοποιητικών (CA) μπορεί να εξετάσει ή να απορρίψει, ανάλογα με την πολιτική πιστοποίησής της. Το βασικό μέρος της ΕΚΕ είναι σίγουρα ένα δημόσιο κλειδί και οι παράμετροί του. Όλα αυτά τα δεδομένα, συσκευασμένα με τη μορφή που ορίζεται από το πρότυπο PKCS#10, περνούν τελικά μέσω του κατάλληλου αλγόριθμου κρυπτογραφικής σύνοψης και το αποτέλεσμα υπογράφεται στην κάρτα με το κατάλληλο ιδιωτικό κλειδί. Η ψηφιακή υπογραφή που αποκτάται με αυτόν τον τρόπο γίνεται αναπόσπαστο μέρος της ΕΚΕ.
Η ΕΚΕ αποστέλλεται στον επιθυμητό εκδότη του πιστοποιητικού, ο οποίος αντιπροσωπεύει τη λεγόμενη Αρχή Έκδοσης Πιστοποιητικών (CA). Ο εκδότης του πιστοποιητικού θα δημιουργήσει το πιστοποιητικό τελικής οντότητας X.509, το οποίο υπογράφεται από το αντίστοιχο ιδιωτικό κλειδί του, το οποίο σχετίζεται τώρα με το δημόσιο κλειδί που περιέχεται στο κατάλληλο πιστοποιητικό ενδιάμεσης ή βασικής αρχής έκδοσης πιστοποιητικών. Με αυτόν τον τρόπο, το πιστοποιητικό τελικής οντότητας γίνεται μέρος της αλυσίδας εμπιστοσύνης που εγγυάται η αρχή έκδοσης πιστοποιητικών (CA).
Το παράθυρο διαλόγου "Αίτηση υπογραφής πιστοποιητικού (CSR)" είναι μια ξεχωριστή ομάδα για την εισαγωγή του "Διακεκριμένου ονόματος (DN)", "Επεκτάσεις" και στην επάνω δεξιά πλευρά των ομάδων σύνθετων πλαισίων, για τον έλεγχο του αλγορίθμου κατακερματισμού και τον ορισμό του κρυπτογραφικού κλειδιού. Κάτω δεξιά υπάρχει μια ομάδα κουμπιών για την επιλογή δραστηριοτήτων που σχετίζονται με τη δημιουργία ΕΚΕ.
Ένα αποκλειστικό όνομα, που αναφέρεται ως DN, αποτελείται από μια ομάδα σχετικού διακεκριμένου ονόματος (RDN) που αντιπροσωπεύει την ομάδα χαρακτηριστικών. Κατά τον ορισμό ενός DN, η σειρά του πεδίου RDN είναι πολύ σημαντική. Είναι σημαντικό να σημειωθεί ότι είναι δυνατό να επαναληφθεί ένα μόνο πεδίο RDN αρκετές φορές μέσα στο DN. Πρέπει να θυμόμαστε ότι η Αρχή Πιστοποίησης (CA) δεν υποχρεούται να εκδώσει πιστοποιητικό με το ίδιο DN όπως ορίζεται στην ΕΚΕ, αλλά το DN μπορεί να σχηματιστεί με βάση τους δικούς του κανόνες και δεδομένα που αποκτήθηκαν κατά την επαλήθευση της ταυτότητας του χρήστη που εφαρμόστηκε προηγουμένως.
Ο σχηματισμός του DN γίνεται επιλέγοντας το κατάλληλο RDN από το σύνθετο πλαίσιο και πληκτρολογώντας την επιθυμητή τιμή στο πλαίσιο κειμένου. Πατώντας το κουμπί "Put", το δηλωμένο RDN θα τοποθετηθεί στη λίστα (Πλαίσιο Λίστας) που ορίζει το DN. Εάν ένα από τα πεδία RDN έχει επιλεγεί στη λίστα, το νέο RDN θα εισαχθεί μεταξύ του επιλεγμένου και του προηγούμενου πεδίου. Εάν δεν έχει επιλεγεί τίποτα στη λίστα DN, εισάγεται ένα νέο πεδίο RDN στο τέλος της λίστας. Για να ακυρώσετε την επιλογή στη λίστα, πατήστε το κουμπί "Αποεπιλογή". Το λανθασμένο RDN μπορεί να αφαιρεθεί από τη λίστα πατώντας "Κατάργηση". Η σειρά του πεδίου RDN μπορεί να αλλάξει χρησιμοποιώντας τα κουμπιά "Μετακίνηση επάνω" και "Μετακίνηση κάτω" που επηρεάζουν τον πλεονασμό του επιλεγμένου RDN στη λίστα.
Οι επεκτάσεις αποτελούν προαιρετικό μέρος της ΕΚΕ και η Αρχή Πιστοποίησης (ΑΑ) μπορεί να τις εξετάσει ή να τις απορρίψει, ανάλογα με την πολιτική πιστοποίησής τους. Είναι δυνατή η εκχώρηση περισσότερων χαρακτηριστικών και είναι επιθυμητό να ορίσετε μια διεύθυνση ηλεκτρονικού ταχυδρομείου μέσα στο εναλλακτικό θέμα του θέματος (εναλλακτικό όνομα θέματος, συντομογραφία subjectAltName), επειδή αυτός είναι ο πιο συνηθισμένος εκδότης πιστοποιητικού στη συνήθη θέση για το σκοπό αυτό. Για επεκτάσεις, η σειρά των μεμονωμένων χαρακτηριστικών δεν είναι σημαντική. Προβλέπεται ότι ο επιθυμητός σκοπός των κλειδιών, ο διευρυμένος σκοπός των κλειδιών και οι δηλώσεις που σχετίζονται με τα αναγνωρισμένα πιστοποιητικά μπορούν ακόμα να καθοριστούν. Για άλλη μια φορά, πρέπει να τονιστεί ότι οι εκδότες του πιστοποιητικού μπορούν να αγνοήσουν τις επεκτάσεις και μόνο ορισμένοι από αυτούς μπορούν να εκδώσουν τα λεγόμενα εγκεκριμένα ηλεκτρονικά πιστοποιητικά. Σε κάθε περίπτωση, εντός των επεκτάσεων, ο χρήστης μπορεί να υποδείξει τα επιθυμητά στοιχεία του μελλοντικού πιστοποιητικού, αλλά, για άλλη μια φορά, η οριστική κατάργηση του πιστοποιητικού X.509 εξαρτάται αποκλειστικά από τον εκδότη του και ότι όλες οι λεπτομέρειες πρέπει να είναι πλήρως εξοικειωμένες με τις πολιτικές τους πριν από τη σύναψη της σύμβασης έκδοσης.
Η επιλογή του αλγορίθμου κατακερματισμού γίνεται από το σύνθετο πλαίσιο που επισημαίνεται με τον "αλγόριθμο σύνοψης υπογραφόντων". Η προεπιλεγμένη επιλογή είναι SHA-256, η οποία σχετίζεται με τον αλγόριθμο SHA2 που έχει 256 bit στην έξοδο ή 32 byte και αυτό συνιστάται να χρησιμοποιηθεί για CSR. Το SHA1 δεν συνιστάται πλέον και το SHA2 με μεγαλύτερο αριθμό byte στην έξοδο (384 και 512) και ο αλγόριθμος SHA3 σχεδιάζεται για συχνότερη χρήση στο μέλλον.
Τα κλειδιά και οι παράμετροί τους ("αλγόριθμος κρυπτογράφησης υπογράφοντος" και "δείκτης κλειδιού υπογραφής (κάρτα)") δεν μπορούν να αλλάξουν εδώ και υπάρχουν ήδη καθορισμένα στην καρτέλα από την οποία έχετε ανοίξει αυτό το παράθυρο διαλόγου ("Κλειδιά RSA" ή "Κλειδιά EC") και ο σκοπός τους εδώ είναι μόνο ενημερωτικός. Εάν τα "Κλειδιά RSA" ή "Κλειδιά EC" από τα οποία ανοίξατε το παράθυρο διαλόγου CSR, δεν υπήρχε αντίστοιχο δημόσιο κλειδί, που είχε προηγουμένως διαβαστεί από την κάρτα, στην ετικέτα που υποδεικνύει το μέγεθος του κλειδιού RSA, Η καμπύλη ECDSA θα υποδεικνύεται ως "Το δημόσιο κλειδί δεν έχει οριστεί". Όταν δεν έχει οριστεί ένα δημόσιο κλειδί, δεν είναι δυνατή η εκτέλεση του "Sign and Save CSR", αλλά είναι δυνατή η φόρτωση DN και επεκτάσεων από ένα υπάρχον CSR ή το λεγόμενο TBS CSR.
Το TBS CSR είναι η εσωτερική μας μορφή εγγραφής, η λεγόμενη αίτηση "Προς υπογραφή" που μπορεί να χρησιμεύσει ως πρότυπο για τη δημιουργία αιτημάτων ΕΚΕ με πολλά κοινά χαρακτηριστικά. Το TBS CSR δεν περιέχει κρυπτογραφικά κλειδιά, αλλά αποθηκεύει μόνο DN και επεκτάσεις.
Πατώντας το κουμπί "Εκκαθάριση καταχωρήσεων" αφαιρούνται όλα τα στοιχεία στο DN και η επέκταση έτσι ώστε ο διάλογος να προετοιμαστεί για τη νέα καταχώρηση.
Πατώντας το πλήκτρο "Sign and Save CSR", γίνεται η υπογραφή του CSR στην κάρτα και η αποθήκευσή του στο επιλεγμένο αρχείο. Εάν η κάρτα δεν βρίσκεται στο πεδίο της συνδεδεμένης συσκευής ανάγνωσης uFR ή εισήγαγε λάθος κωδικό PIN χρήστη, θα λάβετε ένα μήνυμα σφάλματος με την κατάλληλη περιγραφή.
Το τελευταίο πράγμα που πρέπει να κάνετε μετά τη δημιουργία του CSR είναι να το στείλετε στον εκδότη του πιστοποιητικού για να λάβετε το πιστοποιητικό X.509. Μπορείτε να επιλέξετε οποιονδήποτε από τους εμπορικούς ή μη εμπορικούς εκδότες πιστοποιητικών ή πατώντας το κουμπί "Get Certificate Online" μπορείτε να στείλετε την ΕΚΕ στη διαδικτυακή μας υπηρεσία για να αποκτήσετε ένα πιστοποιητικό επίδειξης, δοκιμής που εκδίδεται από την "Digital Logic Ltd". Πιστοποιητικά δοκιμής. Η απόδειξη, ένα πιστοποιητικό δοκιμής προορίζεται μόνο για δοκιμαστική χρήση και η περίοδος ισχύος του είναι 3 μήνες. Συνοδευτικά πιστοποιητικά ρίζας και ενδιάμεσα πιστοποιητικά CA που μπορείτε να κατεβάσετε από http://ca.d-logic.com.
Εάν κάνετε κλικ στο κουμπί "Λήψη πιστοποιητικού online", θα σας ζητηθεί ένα προηγουμένως αποθηκευμένο αρχείο CSR με επέκταση ".pem" που θα σταλεί στον διακομιστή HTTP. Σε σχέση με ένα διακομιστή στο https://certificates.d-logic.com είναι επιτυχής και εκδίδεται το πιστοποιητικό X.509, θα σας ζητηθεί το όνομα αρχείου για να αποθηκεύσετε το πιστοποιητικό. Διαφορετικά, θα λάβετε ένα κατάλληλο μήνυμα λάθους.
Αντικείμενα X.509
Αυτή η καρτέλα προορίζεται για τη διαχείριση των αντικειμένων X.509, που σχετίζονται με τα πιστοποιητικά στις κάρτες υπογραφής DL. Για να διαβάσετε αντικείμενα X.509 από μια κάρτα, δεν είναι απαραίτητο να συνδεθείτε με κανέναν από τους κωδικούς PIN. Για να αλλάξετε τα περιεχόμενα του χώρου αποθήκευσης για τα αντικείμενα X.509 στην κάρτα, πρέπει να συνδεθείτε με τον κωδικό SO PIN στη σελίδα "Κωδικοί PIN".
Στην καρτέλα "Αντικείμενα X.509", η εφαρμογή προσπαθεί αμέσως να διαβάσει την κάρτα που υπάρχει στο πεδίο της συσκευής ανάγνωσης uFR. Εάν δεν υπάρχει κάρτα υπογραφής DL στο πεδίο, θα εμφανιστεί ένα μήνυμα σφάλματος, όπως φαίνεται στην παρακάτω εικόνα:
Εάν ο χώρος αποθήκευσης αντικειμένων X.509 διαβαστεί με επιτυχία από την κάρτα, οι λίστες εμφάνισης πιστοποιητικών θα συμπληρωθούν με αυτό το περιεχόμενο. Μπορείτε να ανανεώσετε αυτές τις λίστες ανά πάσα στιγμή τοποθετώντας την επιθυμητή κάρτα στο πεδίο ανάγνωσης και πατώντας το κουμπί "Ανανέωση αντικειμένων από την κάρτα".
Η επιλογή αρχείου πιστοποιητικού X.509 γίνεται πατώντας το πλήκτρο "άνοιγμα αρχείου πιστοποιητικού". Είναι επίσης δυνατή η ανάγνωση πιστοποιητικών από αρχεία σε μορφή PEM (κωδικοποιημένο Base64), τα οποία συνήθως έχουν την επέκταση ".pem" ή από τα δυαδικά αρχεία γραμμένα σε πρότυπο ASN.1 (DER-encoded), τα οποία μπορούν να έχουν επεκτάσεις ".crt", ".cer ", ή ".der ". Εάν επιλεγεί ένα έγκυρο αρχείο, θα εμφανιστεί ένα παράθυρο διαλόγου συστήματος που θα δείχνει το περιεχόμενο του επιλεγμένου πιστοποιητικού X.509. Αφού ελέγξετε τα στοιχεία του πιστοποιητικού, αρκεί να το επιβεβαιώσετε πατώντας το κουμπί "OK".
Για να αποθηκεύσετε το επιλεγμένο πιστοποιητικό σε μια κάρτα, πρέπει να εισαγάγετε το επιθυμητό αναγνωριστικό αντικειμένου (αυθαίρετη συμβολοσειρά αλφαριθμητικών χαρακτήρων) που πρέπει να είναι μοναδικό όσον αφορά άλλα πιστοποιητικά που είναι αποθηκευμένα στην κάρτα. Το αναγνωριστικό αντικειμένου εισάγεται στο πλαίσιο κειμένου με την ένδειξη "Αναγνωριστικό αντικειμένων:". Η πρόταση είναι ότι τα πιστοποιητικά που περιέχουν δημόσια κλειδιά RSA θα πρέπει να επισημαίνονται με αναγνωριστικό πχ. "0001" έως "0003" και αυτά που περιέχουν δημόσια κλειδιά ECDSA θα επισημαίνονται με αναγνωριστικό πχ. "1001" έως "1003". Τα πιστοποιητικά CA πρέπει επίσης να έχουν μια μοναδική ετικέτα ταυτότητας στην κάρτα, οπότε είναι μια πρόταση να τα επισημάνετε π.χ. "5001" έως "5012". Είναι ακόμα απαραίτητο να επιλέξετε έναν τύπο κλειδιού. Για τον τύπο RSA και ECDSA, το ευρετήριο ιδιωτικού κλειδιού στην κάρτα συνδέεται με αυτό το πιστοποιητικό και αυτοί οι δείκτες πρέπει να είναι συνεπείς. Για την αρχή πιστοποίησης CA, η σειρά του ευρετηρίου δεν είναι σχετική, αλλά λόγω της διαφάνειας με σύσταση, θα πρέπει να εισάγονται με σειρά, το ένα μετά το άλλο σε ζεύγη, για παράδειγμα, από τη ρίζα έως το ενδιάμεσο. Οι εφαρμογές που υποστηρίζουν την ενότητα PKCS #11 και χρησιμοποιούν πιστοποιητικά X.509, λειτουργούν διαβάζοντας όλα τα δημόσια αντικείμενα από την κάρτα και στη συνέχεια ελέγχοντας την αλυσίδα αξιοπιστίας με βάση το περιεχόμενο των ίδιων των πιστοποιητικών. Στο τέλος, πρέπει να πατήσετε το κουμπί με ένα περιγραφικό όνομα "Τοποθετήστε πιστοποιητικό από ένα αρχείο στην κάρτα με καθορισμένο αναγνωριστικό, τύπο αντικειμένου και ευρετήριο".
Αναφέραμε τα ριζικά και ενδιάμεσα ζεύγη πιστοποιητικών CA και ίσως χρειαστεί να διευκρινιστεί περαιτέρω αυτό. Εδώ έχουμε υποθέσει ότι το πιστοποιητικό τελικής οντότητας στην αλυσίδα αξιοπιστίας δημιουργείται μέσω του ενδιάμεσου στο πιστοποιητικό αρχής έκδοσης πιστοποιητικών ρίζας. Αυτός είναι ο συνήθης τρόπος σχηματισμού μιας αλυσίδας εμπιστοσύνης από τους επίσημους εκδότες του πιστοποιητικού. Ωστόσο, αυτός δεν είναι ένας αυστηρός κανόνας και άλλες ρυθμίσεις παραμέτρων είναι δυνατό να τροποποιήσουν τα πιστοποιητικά CA που αποτελούν μια αλυσίδα αξιοπιστίας. Είναι σημαντικό να τονιστεί ότι υπάρχουν πάντα δύο τελικά πιστοποιητικά, στην αρχή της αλυσίδας, το λεγόμενο πιστοποιητικό ρίζας (ρίζας) CA και στο τέλος του πιστοποιητικού τελικής οντότητας αλυσίδας (πιστοποιητικό φύλλου)
Υπογραφή
Στην καρτέλα "Υπογραφή" υπάρχουν εντολές για τη λήψη ψηφιακών υπογραφών από την κάρτα. Μπορεί να υπογραφεί ένα σύνολο δεδομένων από τη γραμμή εισόδου με την ένδειξη "M:" (μήνυμα) ή ένα αρχείο του οποίου η διαδρομή μπορεί να οριστεί κάνοντας κλικ στο κουμπί επιλογής "Ορισμός αρχείου για υπογραφή". Τα δεδομένα μπορούν να εισαχθούν σε δεκαεξαδική (HEX) μορφή, κωδικοποίηση Base64 ή διάταξη κώδικα ASCII.
Η δεκαεξαδική μορφή (HEX) περιλαμβάνει ζεύγη δεκαεξαδικών ψηφίων που μπορούν να διαχωριστούν με διαστήματα. Η μορφή Base64 χρησιμοποιείται συχνά στην κρυπτογραφία και στις εγγραφές PEM των πιστοποιητικών X.509. Εδώ δεν θα ασχοληθούμε λεπτομερώς με τη μορφή Base64. Η διάταξη κώδικα ASCII είναι ένα πρότυπο που χρησιμοποιείται συνήθως για την καταγραφή συνόλων δεδομένων κειμένου που περιλαμβάνουν όλους τους αλφαριθμητικούς χαρακτήρες καθώς και όλα τα τυπικά σημεία στίξης. Κατ 'αρχήν, όλα όσα μπορούν να εισαχθούν μέσω του τυπικού πληκτρολογίου US English καλύπτονται από τη διάταξη κώδικα ASCII. Εάν κατά τύχη εισαχθούν χαρακτήρες που δεν αποτελούν μέρος της διάταξης κώδικα ASCII και αυτή η επιλογή είναι ενεργοποιημένη, αυτοί οι χαρακτήρες θα αντικατασταθούν εσωτερικά από το χαρακτήρα '?'. Οι χαρακτήρες που δεν αποτελούν μέρος της διάταξης κώδικα ASCII μπορούν να εισαχθούν μέσω ορισμένων μεταφρασμένων πληκτρολογίων ή επιλέγοντας την επιλογή "επικόλληση" από το μενού περιβάλλοντος του πλαισίου κειμένου "M:".
Όταν εισάγονται ορισμένα δεδομένα στη γραμμή εισόδου, η μετατροπή σε άλλο τύπο εγγραφής γίνεται απλά επιλέγοντας την επιθυμητή μορφή εγγραφής (επιλογές HEX / Base64 / ASCII) εκτός εάν υπάρχει σφάλμα εισόδου.
Κάνοντας κλικ στο κουμπί επιλογής "Ορισμός αρχείου για υπογραφή" ανοίγει ένα παράθυρο διαλόγου επιλογής αρχείων που είναι τυπικό για το λειτουργικό σύστημα των Windows. Όταν το αρχείο είναι επιλεγμένο, η διαδρομή του ορίζεται στο πλαίσιο κειμένου "M:".
Πατώντας το κουμπί "Αποθήκευση μηνύματος σε δυαδικό αρχείο", είναι ενεργοποιημένο να αποθηκεύσετε μια σειρά byte που έχουν εισαχθεί στο πλαίσιο κειμένου "M:" στο δυαδικό αρχείο.
Επιλέγοντας το "Λήψη υπογραφής", τα προς υπογραφή δεδομένα περνούν από τον επιλεγμένο αλγόριθμο κατακερματισμού (Αλγόριθμος σύνοψης μηνυμάτων) του οποίου το αποτέλεσμα αποστέλλεται στην κάρτα. Στη συνέχεια, η κάρτα δημιουργεί μια υπογραφή με βάση τον επιλεγμένο κρυπτογραφικό αλγόριθμο από το σύνθετο πλαίσιο "Αλγόριθμος κρυπτογράφησης" (RSA ή ECDSA) και το ευρετήριο κλειδιών στην κάρτα ("Ευρετήριο κλειδιών στην κάρτα"). Για να υπογράψετε την κάρτα, είναι απαραίτητο να συνδεθείτε εκ των προτέρων με τον κωδικό PIN χρήστη.
Μετά την επιτυχή υπογραφή, η τιμή της ψηφιακής υπογραφής εμφανίζεται στο πλαίσιο κειμένου "Υπογραφή" σε μορφή HEX ή Base64, ανάλογα με την επιλεγμένη επιλογή. Αλλάζοντας την επιλογή HEX / Base64, είναι δυνατή η μετατροπή της οθόνης υπογραφής. Η υπογραφή μπορεί να αποθηκευτεί στο δυαδικό αρχείο πατώντας το κουμπί "Αποθήκευση υπογραφής σε δυαδικό αρχείο".
Έχει επίσης εφαρμοστεί προαιρετικός υπολογισμός της τιμής κατακερματισμού της ψηφιακής υπογραφής. Η επιλογή των αλγορίθμων κατακερματισμού για το σκοπό αυτό περιλαμβάνει επίσης τον παρωχημένο αλγόριθμο MD5 για ιστορικούς λόγους, καθώς ορισμένα παλιά κρυπτογραφικά συστήματα εξακολουθούν να εξαρτώνται από αυτόν τον μηχανισμό. Η τιμή κατακερματισμού μιας ψηφιακής υπογραφής μπορεί να αποθηκευτεί σε ένα δυαδικό αρχείο πατώντας το κουμπί "Αποθήκευση κατακερματισμού σε αρχείο".
Λήψη λογισμικού
Το Κιτ Ανάπτυξης Λογισμικού (SDK) είναι διαθέσιμο για λήψη από το αποθετήριο λογισμικού μας.
Προϋποθέσεις
Συσκευή ανάγνωσης μFR Series NFC, έκδοση υλικολογισμικού μFR 3.9.53 ή νεότερη, έκδοση βιβλιοθήκης μFR 4.3.3 ή νεότερη.
Επίδειξη βίντεο:
Στιγμιότυπα οθόνης λογισμικού:
Πρόσθετοι σύνδεσμοι:
Για να περιηγηθείτε ή να κατεβάσετε άλλα παραδείγματα λογισμικού επισκεφθείτε το αποθετήριο λογισμικού Gitlab.
Για να αγοράσετε τις συσκευές μας, επισκεφθείτε το επίσημο ηλεκτρονικό μας κατάστημα.
Μη διστάσετε να επικοινωνήσετε με την τεχνική μας υποστήριξη εάν έχετε οποιεσδήποτε ερωτήσεις σχετικά με τα παραδείγματα λογισμικού μας.
