Lxf94 elektronikus aláírás
Ezek az adatok védelmét
2. rész Ez alkalommal megerősíteni ezt a tudást a gyakorlatban. Andrew Borovsky megmondja, hogyan lehet egy digitális tanúsítványt, és használja azt egy népszerű kültéri alkalmazásokhoz.
Hogyan kap egy igazolást
A választott eljárás szerinti tanúsítvány függ célú felhasználásuk. Ha a tanúsítványok rögzítésére használt levelezés kevesen, akik ismerik egymást „valós életben” (alkalmazottak a kis cégek, például), semmi sem akadályozza meg őket, hogy kihasználják a „self-made” generált bizonylaton az openssl segédprogramot (ahogy azt fogok beszélni alább) . Ha a tanúsítvány szükséges üzenetküldés idegenek globális hálózat, vegye fel a kapcsolatot az egyik hazai vagy külföldi tanúsító hatóság (CA). Végül, ha a bizonyítvány szükséges kölcsönhatás kormányzati szervek, az Orosz Föderáció, akkor meg kell szerezni az egyik CA jóváhagyta a mi állami szervek (lásd. Oldalsáv „sajátosságai a Nemzeti Certification”).
Ingyenesen megkapja tanúsítvány
A leghíresebb a CA, amelyek bizonyos szolgáltatásokat ingyenesen, három: Thawte Consulting, CAcert és Comodo Group. Mindegyik CA megvannak az előnyei és hátrányai.
Ábra. 1. „megbízhatatlan” tanúsítványt.
A cég Comodo Group (ismert, hogy sok, mert a szabad tűzfal Windows) használ terjeszteni tanúsítványok az Internet Explorer képességeit, így a szolgáltatás számunkra nem alkalmas (persze, a tanúsítványt a Windows böngészőt, majd lehet „drag and drop” bármilyen más programot, ez többek között a Linux platform, de biztosan nem fog).
CA CAcert támogatja a Windows, valamint a Linux, és általában széles körű ingyenes szolgáltatás, de a gyökér tanúsítvány (CC) a CAcert nem előre telepített népszerű böngészők és e-mail kliensek (legalábbis egyelőre), és ez azt jelenti, hogy CAcert tanúsítványokat a tanúsítványt a partnernek meg kell telepíteni a KS CASert. Nem minden felhasználó vállalja, hogy valamit ők telepíteni az internetről, különösen mivel a böngésző üzenetet nem találta meg a COP, nézd ijesztő. Például, az IE 7 még azt tanácsolja a LAM a CAcert helyén (ábra. 1).
CA Thawte (alapján egyébként a hírhedt Mark Shuttleworth, majd eladták a VeriSign cég) - egy nagy név a világon a digitális tanúsítványok - ingyenes tanúsítványok igazolják, e-mail (nem SSL). Ez CA gondoskodott arról, hogy a tanúsítvány lehet telepíteni minden olyan rendszer, továbbá a COP Thawte előre telepített szinte minden program, ami működik digitális tanúsítványokat. Ha kell egy igazolás aláírására és titkosítására privát mail szabad Thawte tanúsítványok - a legjobb választás. Thawte hátrány is lehet nevezni, hogy amikor kiadása ingyenes tanúsítványokat nem támogatja saját előállítású tanúsítványkérelmekre (lásd. Alább) mellett Thawte tanúsítvány nem támogatja a telepítés a Konqueror. Ez azt jelenti, hogy a telepítés a szabad Thawte tanúsítványok kell használni a Firefox vagy az Opera.
A tanúsítvány a webes
Két rendszer megszerzése bizonyítványok interneten. Egy első kiviteli, valamint egy tanúsítványt és egy kulcspárt generál a böngészőt, és lépjen a CA honlapján. Ha a tanúsítvány jelenik meg az oldalon CA, akkor telepítse a tanúsítványt (és a mellékelt titkos kulcs) a böngésző. Importálásához tanúsítvány és privát kulcs (SK) a Firefox, csak kattints a link mutat egy tanúsítványt a CA honlapján. Megjegyezzük, hogy bár a bizonyítványt a szerveren tárolt CA, CK az igazolást kaphat csak egyszer, ami után a TC meg „elfelejti” (a tanúsítvány nélkül használhatatlan az Egyesült Királyság).
A második lehetőség -, hogy hozzon létre egy igazolás bemutatásának OpenSSL hasznosság és küldje el a CA honlapján (úgy tűnik, hogy a Konqueror nem termelnek érvényes kérelmeket igazolást, így ha nem használja a Firefox és az Opera, ezt a lehetőséget - az Ön számára). A kérelem a tanúsítvány egy olyan dokumentum aláírt egy privát kulcsot az új kulcspárt. Létrehozásához a tanúsítvány kérést, akkor létre kell hoznia billentyűk:
A privát kulcs a fájlban tárolt klient.key (uo, sőt, fenntartását és a nyilvános kulcsot, amely nélkül az Egyesült Királyság is használhatatlan). Az utolsó szám a string parancs - a kulcs hossza bitben, amely meghatározza az ellenállása.
A tanúsítvány lekérés (file CSR) jön létre a következő paranccsal:
Telepítés Linux alatt Certificate Program
Sok népszerű Linux-program támogatja a digitális X.509 tanúsítványokat. Nézzük meg a telepítés és használat KMail, Thunderbird, és az OpenOffice.org programcsomag. Ahhoz, hogy írja alá a saját üzenetét, telepítenie kell a programokat titkos kulcs és tanúsítvány igazolja, hogy a megfelelő nyilvános kulcs. Titkosítására szánt üzenetek mások, elegendő, hogy létrehozza a tudósítók tanúsítványok (igazolások az alábbi e-mail program kivonat a szükséges nyilvános kulcsú titkosítás). Igazolás a levelező, akkor kap, például együtt tartalmazó levelet az elektronikus aláírás.
A tanúsítványkezelőben megnyíló ablakban válassza ki a tanúsítványt, majd a mentés gombra. Meg fogják kérni, hogy adjon meg egy jelszót, hogy megvédje a titkos kulcs, ami után a PKCS # 12 fájl mentésre kerül a lemezre. A tanúsítvány menedzser, akkor is importálni PKCS # 12 csomagot a Firefox böngészőt.
Ha kap egy igazolást, és privát kulcsot PEM formátumban, akkor az OpenSSL segédprogram alakítani egy PKCS # 12. A konzol a csapat (tartjuk a PKCS # 12 nevű csomagot cert.p12):
ahol cert.pem - fájlt a tanúsítványt és a kulcsot PEM formátumban, cert.p12 - egy új fájlt a PKCS # 12 formátumú.
A tanúsítvány és a saját kulcs a * .crt formátum, akkor is konvertálni őket egy PKCS # 12 formátumú OpenSSL:
Ha a tanúsítványt és a saját kulcsot tárolt különböző fájlok (például, ha egy kulcsot magad, majd hozzon létre a tanúsítvány kérésre), a csapat hozzon létre egy PKCS # 12 csomag egy kicsit más:
Itt cert.pem - a tanúsítvány letöltött fájlt a CA honlapján, és client.key - a privát kulcsot, amit létrehozott, hogy létrehoz a tanúsítvány kérést.
Minden esetben az openssl segédprogramot kéri, hogy adja meg a jelszót, hogy megvédje a PKCS # 12 csomagot.
Telepítése igazolást a KDE / KMail
Importálásához csomag tanúsítványokat és személyes kulcsokat PKCS # 12 fájl (és más formátumok) a KDE, egyszerűen nyissa meg a tanúsítvány fájlt Konqueror, és kattints az Import gombot (a jelszó szükséges, hogy megvédje a PKCS # 12 csomag). Importbizonyítványokat KDE is használhatja Kleopatra szoftver (ábra. 2).
Ábra. 2. Kleopatra.
A program a jelszót igénylő védett csomag PKCS # 12, majd kéri az új jelszót kétszer kell tárolni az adatokat a beállítások közé. A tanúsítvány telepítése KDE is használja a KDE Control Center. A Control Center, menjen a Security Group Adatvédelem -> Crypto, nyissa meg a Saját tanúsítványok lapra, és az Import gombra importálni tanúsítványt egy fájlban. Ebben az esetben a program megkérdezi, hogy a tanúsítvány elérhetővé a KMail.
Ábra. 3. titkosítási beállítások ablakot KMail.
A helyzet kissé bonyolult, ha nincs telepítve a személyes által hitelesített igazolás a gyökér tanúsítvány nem szerepel a rendszerben. Beállításához a KDE, például a COP CAcert, először is meg kell importálni ugyanúgy, mint egy személyes tanúsítványt. Ezt követően meg kell adni egy digitális SHA-1 ujjlenyomat a gyökér tanúsítványt a megbízható tanúsítványok listájáról gpgsm (ujjlenyomat megbízható tanúsítványok listájáról a fájlban tárolt
/.gnupg/trustlist. txt). Ujjlenyomatot az SHA-1 összes telepített tanúsítványok akkor a parancs
Ábra. 4. Ablak KWatchGnuPG.
Konzolos közüzemi gpgsm gpg-agent és elvégezni az összes lépést kezelésével kapcsolatos X.509 tanúsítványok és kapcsolódó kulcsokat KDE KMail program fut őket külső folyamatok. Az üzenetek megtekintéséhez által kibocsátott ezekhez a programokhoz, és okának az esetleges meghibásodás, akkor használja KWatchGnuPG programot (4.).
Telepítése igazolást Thunderbird
A tanúsítvány telepítése és privát kulcsot PKCS # 12 fájl Thunderbird történik segítségével a menedzser a tanúsítvány program (Thunderbird maga is letölteni tanúsítványokat Firefox boltban, de nem tette). Nyissa meg a Thunderbird beállítások ablakban keresse ki az Adatvédelem csoport, majd a Biztonság fülre, majd hívja a Certificate Manager ehhez kattintson a tanúsítványok. Most akkor adjunk hozzá egy igazolást kattintva az Importálás gombra.
A telepítés során a tanúsítvány és a saját kulcs a PKCS # 12 Thunderbird csomagot kérni fogja két jelszó - a mester jelszót, amely a program által használt, hogy megvédje a titkos kulcsokat tárolni a beállításokat, és jelszóval védett PKCS # 12 csomagot. Ha ön használ CAcert tanúsítvány, akkor is kell telepíteni a COP CAcert. (COP rendelkezésre CAcert honlapján is meg kell telepíteni pontosan ugyanúgy, mint a személyes tanúsítványt). Beállítása a COP, megy a hatóságok lapra a tanúsítvány ablakában keressük meg a kívánt COP listában, kattintson a Szerkesztés gombra, és ellenőrizze a doboz Ez a tanúsítvány azonosítja mail felhasználók.
Amikor elküld egy aláírt üzenetet a Thunderbird, vigyázni, hogy a postafiók, ahonnan küld üzenetet megegyezik a postafiók az igazolásban meghatározott. Csakúgy, mint a KMail, Thunderbird kliens aláírása előtt egy üzenetet, kérve a jelszó, amely védi a privát kulcsot.
Szöveg e-mail üzenet OpenSSL
Ha a kedvenc e-mail program nem támogatja X.509 tanúsítványokat, ez nem jelenti azt, hogy nem tudja használni őket. A rendszer segítségével a „bizonyítványt SK +” hasznosság OpenSSL csomag és PEM formátumban (például egy csomag hozható létre, például úgy, hogy a Kleopatra program), akkor bejelentkezhet e-mail üzenetek, amelyek egy fájlban tárolják a lemezen:
-noverify opció letiltja ellenőrzése tanúsítványt hitelesítő aláírást. Üzenet-signed.eml fájl tartalmazza az aláírt üzenetben. További lehetőségek lehetővé teszik, hogy építeni OpenSSL ez a típus egy lánc végrehajtó programok létrehozása és küldése. Azt tanácsolom, hogy olvassa el a dokumentációt, hogy ez hasznos eszköz.
Tanúsítványok használatával az OpenOffice.org
Program az OpenOffice.org is használhatók annak dokumentálására, aláírási kulcsokat és tanúsítványokat telepített Firefox böngésző (OpenOffice képes beolvasni tanúsítványokat Firefox adattár automatikusan). Ha a személyes tanúsítvány nincs telepítve a Firefox, akkor telepítenie kell a Firefox tanúsítványkezelőben fent leírtak szerint. Hogy aláírja a dokumentumot az OpenOffice.org, ki kell választania a menü parancsot a Fájl | Digitális aláírás a párbeszédpanelen kattintson a Hozzáadás gombra. a személyes tanúsítványok listáját nyitja meg, ahol kiválaszthatja a tanúsítvány / kulcs aláírásra.
Az a tény, hogy az OpenOffice dokumentum aláírása és a digitális aláírás sértetlen, megjelenik egy ikon az állapotsorban OpenOffice ablak a dokumentum egy piros pecsét (ha megváltoztatja az aláírt dokumentum, az ikon eltűnik).
Sárga háromszög felkiáltójellel az ikon jelzi, hogy az ellenőrzés hitelességét a tanúsítvány igazolja az aláírás nem sikerült. Ez akkor fordulhat elő, ha a megfelelő CS nincs telepítve, vagy nem helyes identitás tanúsítvány szánt aláírás tartalmat neki.
A probléma kijavításához nyissa meg a Firefox Certificate Manager ablakot, és kattintson a hatóságok fülre. Ha a COP a tanúsítvány hiányzik, akkor telepíteni kell a Firefox. Kívánt COP telepítve van, válassza ki azt a Certificate Manager ablakot, és kattintson a Szerkesztés gombra. Jelölje be a négyzeteket Ez a tanúsítvány azonosítja a felhasználó e-mail címét, és Ez a tanúsítvány azonosítja szoftver.
Bold felkiáltójel egy ikon, amely megjeleníti az aláírás állapotát OpenOffice dokumentum jelzi, hogy az aláírás szerkezet megtört (vagy hitelesítő gyökér tanúsítvány nem érvényes).
Jellemzői a nemzeti tanúsító
Érthető okokból az állami kontroll (legalább részben) a titkosítás használatát rendszereket, azok a polgárok, és hazánk sem kivétel. Ha helyesen megérteni a vonatkozó törvények az ország (és nem úgy, mintha teljesen korrigálni a megértés), a programok használatát, hogy telt államilag elismert, biztos, hogy csak a kormányzati szervek és a Magyar együttműködve e. Más esetekben a felhasználónak joga van az adatok védelmére az álló eszközökkel. Tanúsító központokban hazánkban, és sok van belőlük. Között az általuk javasolt algoritmusok és protokollok, az elektronikus aláírás megtalálható néhány vendég és le a különböző és az RFC FIPS.
X.509 tanúsítvány fájlok
- * .cer - tanúsítvány tárolt CER szabvány. Ilyen lehet például a tanúsítvány, a privát kulcs, a tanúsítási útvonal.
- * .der - igazolásokat a Der Standard. Ilyen lehet például a tanúsítvány, a privát kulcs, a tanúsítási útvonal.
- * .crt - tanúsítvány fájlt formátumban CER, DER vagy Netscape.
- * .pem - kódolt tanúsítványt Base64. Ez magában foglalhatja a teljes elérési utat a tanúsítvány és a saját kulcs tanúsítványokat.
- * .p8 - tartalmazó fájlt a privát kulcs alapján oltalom alatt áll a standard PKCS # 8.
- * .p12 (Windows a kiterjesztés * .pfx) - bizonyítvány fájl védett alatt a standard PKCS # 12. Ilyen lehet például a tanúsítvány, a privát kulcs, a tanúsítási útvonal.
Hogyan lehet eljutni a „bizalmi háló”?
Vegyük példaként a munka Thawte Web of Trust. Ahhoz, hogy a jogot, hogy adja hozzá a nevét, a digitális tanúsítvány Thawte, meg kell, hogy megfeleljen a személy több közjegyző km Thawte a WoT, és azokat a két dokumentum és fénykép (valamint átvinni ezen okmányok másolatát), amely igazolja a személyazonosságát (az egyik dokumentum meg kell említeni a Thawte számla).
Miért van szükség, hogy megfeleljen számos közjegyzők WoT? Mint sok más CA, Thawte méri a bizalmat a bekezdések [állítását pont]. Közjegyzői WoT nem igazolja akkor magukat, csak rendelni egy bizonyos mennyiségű bizalmat pont. Ahhoz, hogy a név a tanúsítványban Thawte, meg kell gyűjteni 50 pontot, és így lesz egy közjegyző - 100 pont. Ugyanakkor, az egyes közjegyzői Thawte WoT lehet rendelni az Ön 10-35 pont, nem több (ez a korlátozás megnehezíti, hogy megbízik a beszerzés megvesztegetett a közjegyzők, akik a személyes kapcsolatok közjegyzők, a nyomás rajtuk, stb.) Mindez egy kicsit olyan, mint egy szerepjáték bekezdések „Expo”. Jó dolog a hőn áhított bizalom pontot nem kell nyerni a meccset műanyag kard!
Thawte közjegyzők van WoT hazánkban (legalábbis a nagyvárosokban, pontosabb információt kaphatnak a regisztráció az oldalon Thawte). Néhány közjegyzők tevékenykedhetnek ingyen, míg mások - egy szerény díjat (1-2 USD). Ha a jogosítványt a közjegyzők nem tetszik, Thawte kínál más azonosítási módszereket (például keresztül egy megbízható harmadik fél), de ez többe fog kerülni. Hadd emlékeztessem önöket, hogy beszélünk csak a tanúsítványok Thawte kiadott ingyenes. Teljesen kereskedelmi Thawte tanúsítvány beszerezhető a képviselője Thawte (Magyarországon például a cég a RBC).
Legrosszabb OpenPGP felhasználók gyakran lenéznek digitális X.509 tanúsítványokat. Azonban ebben a formátumban tanúsítványok dominálnak kívül Linux, valamint azért, mert kell használni őket kommunikálni, nem Linux felhasználók számára. A végén, a mások iránti tisztelet hagyományok - a legfontosabb elve barátságos kommunikáció.