📎 ➰ ♻️ सार्वजनिक कुंजी अवसंरचना X509 v.3 रूट प्रमाणपत्र श्रृंखला 📎 🚓 🐖

घंटे "एच" स्पष्ट रूप से आ रहा है: "31 दिसंबर, 2018 के बाद हस्ताक्षर बनाने के लिए GOST R 34.10-2001 हस्ताक्षर योजना का उपयोग करने की अनुमति नहीं है!"।

हालांकि, फिर कुछ गलत हो गया, कोई तैयार नहीं था, और 2019 के लिए GOST R 34.10-2001 का उपयोग बढ़ाया गया था। लेकिन अचानक हर कोई सीए को GOST R 34.10-2012 में स्थानांतरित करने के लिए, और आम नागरिकों को नए प्रमाण पत्र में स्थानांतरित करने के लिए दौड़ा। लोगों के हाथों में कई प्रमाण पत्र हैं। प्रमाण पत्र या इलेक्ट्रॉनिक हस्ताक्षर की जाँच करते समय, सवाल उठने लगे और विश्वसनीय रूट प्रमाणपत्रों की दुकान में स्थापित करने के लिए रूट प्रमाणपत्र कहाँ से प्राप्त करें।

यह फ़ायरफ़ॉक्स और Google Chrome, GnuPG, LibreOffice, ईमेल क्लाइंट और यहां तक कि ओपनएसएसएल पर विंडोज और सर्टिफिकेट स्टोर पर दोनों सर्टिफिकेट स्टोर पर लागू होता है। बेशक, सीए में प्रमाण पत्र प्राप्त करते समय इस बात का ध्यान रखना आवश्यक था और प्रमाण पत्र की श्रृंखला को यूएसबी फ्लैश ड्राइव पर लिखना चाहिए। और दूसरी तरफ, हमारे पास एक डिजिटल समाज है और किसी भी क्षण नेटवर्क से इस श्रृंखला को प्राप्त करने में सक्षम होना चाहिए। सिंपलडमिन ने दिखाया कि यह कैसे हैबर के पन्नों पर किया जाता है। हालाँकि, एक सामान्य नागरिक के लिए यह अभी भी मुश्किल है (विशेषकर यदि आप इस बात को ध्यान में रखते हैं कि उनमें से अधिकांश विंडोज पर हैं): आपको कुछ प्रकार के ओपनस्ले की आवश्यकता है, मेरे कंप्यूटर पर मेरे द्वारा प्राप्त नहीं की गई एक सुविधा, और हर कोई नहीं जानता। इसके बजाय आप wget का उपयोग कर सकते हैं। और कितने कार्यों को करने की आवश्यकता है। बेशक एक रास्ता है, एक स्क्रिप्ट लिखें, लेकिन न केवल ओपनस्ले और उसके ilk के शीर्ष पर एक स्क्रिप्ट, बल्कि विभिन्न प्लेटफार्मों के लिए एक स्व-निहित निष्पादन योग्य मॉड्यूल में पैक किया गया है।

इस पर कोई संदेह नहीं था कि क्या लिखना है - टिक्ल और पायथन में । और हम Tcl से शुरू करते हैं और यही कारण है :

* कमबख्त विकी जहां खिलौने भी हैं (आप वहां दिलचस्प चीजें देख सकते हैं :)
* चादरों को धोखा देना
* सामान्य टैल्किट बनाता है (वास्तविक क्रॉस-प्लेटफॉर्म के लिए शुल्क के रूप में 1.5 - 2 एमबी)
* और मेरा पसंदीदा इवोक असेंबली एवोलन से (ध्यान से मृत साइट से संरक्षित :(
मेरी व्यक्तिगत टूलकिट सूची में एक उच्च Tcl / Tk रेटिंग रखें
और, हाँ, wiki.tcl.tk/16867 (cgi से Tcl का एक छोटा वेब सर्वर, समय-समय पर टैल्किट के अंतर्गत एनविवेबल कॉन्स्टेंसी के साथ उपयोग किया जाता है)
और यह भी सिर्फ सुंदर और सुंदर है :)

इसके लिए मैं फ़्रीवैप उपयोगिता की उपलब्धता को जोड़ूंगा , जो हमें लिनक्स और एमएस विंडोज के लिए स्टैंडअलोन उपयोगिताओं के निर्माण में मदद करेगा। परिणामस्वरूप, हमारे पास चेनफ्रॉमर्ट उपयोगिता होगी:

bash-4.3$ ./chainfromcert_linux64 Copyright(C)2019 Usage: chainfromcert <file with certificate> <directory for chain certificate> Bad usage! bash-4.3$

मापदंडों के रूप में, उपयोगिता एक उपयोगकर्ता प्रमाणपत्र (पीईएम प्रारूप और डीईआर प्रारूप दोनों में) और उस निर्देशिका को सेट करती है जिसमें श्रृंखला में शामिल सीए प्रमाण पत्र सहेजे जाएंगे:

 bash-4.3$ ./chainfromcert_linux64 ./cert_test.der /tmp Loading file: cert_test.der Directory for chain: . cert 1 from http://ca.ekey.ru/cdp/ekeyUC2012.cer cert 2 from http://reestr-pki.ru/cdp/guc_gost12.crt Goodby! Length chain=2 Copyright(C) 2019 bash-4.3$

अब विचार करें कि उपयोगिता कैसे काम करती है।
प्रमाणीकरण प्राधिकारी के बारे में जानकारी जो उपयोगकर्ता को प्रमाण पत्र जारी करती है, को एक्सटेंशन में ओआईडी 1.3.6.1.5.5.7.1.1 के साथ संग्रहीत किया जाता है। यह एक्सटेंशन CA प्रमाणपत्र के दोनों स्थान (oid 1.3.6.1.5.5.7.48.2 पर) और OCSP CA सेवा (oid 1.3.6.1.5.5.7.48.1) के बारे में जानकारी संग्रहीत कर सकता है:

और जानकारी, उदाहरण के लिए, इलेक्ट्रॉनिक हस्ताक्षर कुंजी के उपयोग की अवधि के बारे में ओड 2.5.29.16 के साथ विस्तार में संग्रहीत किया जाता है।

प्रमाणपत्र को पार्स करने और प्रमाणपत्र एक्सटेंशन तक पहुंचने के लिए, हम पक्की पैकेज का उपयोग करेंगे:

 #!/usr/bin/tclsh -f package require pki

हमें base64 पैकेज की भी आवश्यकता होगी:

 package require base64

पक्की पैकेज, साथ ही साथ ए एसएन पैकेज और बेस 64 पैकेज जो इसे लोड करता है, हमें सर्टिफिकेट को पीईएम एन्कोडिंग से डीईआर एन्कोडिंग में परिवर्तित करने में मदद करेगा, एएसएन संरचनाओं को पार्स करेगा और वास्तव में सीए प्रमाण पत्र के स्थान के बारे में जानकारी एक्सेस करेगा।

उपयोगिता मापदंडों की जांच करने और प्रमाण पत्र के साथ फ़ाइल डाउनलोड करने से शुरू होती है:

 proc usage {use } { puts "Copyright(C) 2011-2019" if {$use == 1} { puts "Usage:\nchainfromcert <file with certificate> <directory for chain certificate>\n" } } if {[llength $argv] != 2 } { usage 1 puts "Bad usage!" exit } set file [lindex $argv 0] if {![file exists $file]} { puts "File $file not exist" usage 1 exit } puts "Loading file: $file" set dir [lindex $argv 1] if {![file exists $dir]} { puts "Dir $dir not exist" usage 1 exit } puts "Directory for chain: $dir" set fd [open $file] chan configure $fd -translation binary set data [read $fd] close $fd if {$data == "" } { puts "Bad file with certificate=$file" usage 1 exit }

यहां सब कुछ स्पष्ट है और हम केवल एक ही चीज़ पर ध्यान देते हैं - प्रमाण पत्र वाली फ़ाइल को एक द्विआधारी फ़ाइल माना जाता है:

 chan configure $fd -translation binary

यह इस तथ्य के कारण है कि प्रमाणपत्र को डीईआर प्रारूप (बाइनरी कोड) और पीईएम प्रारूप (बेसिन एन्कोडिंग) दोनों में संग्रहीत किया जा सकता है।

फ़ाइल लोड होने के बाद, चेनफ्रॉमर्ट प्रक्रिया को कहा जाता है:

 set depth [chainfromcert $data $dir]

जो वास्तव में रूट सर्टिफिकेट डाउनलोड करता है:

 proc chainfromcert {cert dir} { if {$cert == "" } { exit } set asndata [cert_to_der $cert] if {$asndata == "" } { #    ,    return -1 } array set cert_parse [::pki::x509::parse_cert $asndata] array set extcert $cert_parse(extensions) if {![info exists extcert(1.3.6.1.5.5.7.1.1)]} { #    return 0 } set a [lindex $extcert(1.3.6.1.5.5.7.1.1) 0] # if {$a == "false"} { # puts $a # } # ASN1-   Hex- set b [lindex $extcert(1.3.6.1.5.5.7.1.1) 1] #    set c [binary format H* $b] #Sequence 1.3.6.1.5.5.7.1.1 ::asn::asnGetSequence c c_par_first #     1.3.6.1.5.5.7.1.1 while {[string length $c_par_first] > 0 } { #   (sequence) ::asn::asnGetSequence c_par_first c_par # oid   ::asn::asnGetObjectIdentifier c_par c_type set tas1 [::pki::_oid_number_to_name $c_type] #   ::asn::asnGetContext c_par c_par_two # oid     if {$tas1 == "1.3.6.1.5.5.7.48.2" } { #    set certca [readca $c_par $dir] if {$certca == ""} { #   .      continue } else { global count #      set f [file join $dir [file tail $c_par]] set fd [open $fw] chan configure $fd -translation binary puts -nonewline $fd $certca close $fd incr count puts "cert $count from $c_par" #     chainfromcert $certca $dir continue } } elseif {$tas1 == "1.3.6.1.5.5.7.48.1" } { # puts "OCSP server (oid=$tas1)=$c_par" } } #   return $count }

टिप्पणियों में जोड़ने के लिए कुछ भी नहीं है, लेकिन हमने अभी भी रीडका प्रक्रिया पर विचार नहीं किया है:

 proc readca {url dir} { set cer "" #     if {[catch {set token [http::geturl $url -binary 1] #    set ere [http::status $token] if {$ere == "ok"} { #        set code [http::ncode $token] if {$code == 200} { #      set cer [http::data $token] } elseif {$code == 301 || $code == 302} { #    ,   set newURL [dict get [http::meta $token] Location] #     set cer [readca $newURL $dir] } else { #    set cer "" } } } error]} { #   ,     set cer "" } return $cer }

यह प्रक्रिया http पैकेज के उपयोग पर आधारित है:

 package require http

प्रमाणपत्र पढ़ने के लिए, हम निम्नलिखित फ़ंक्शन का उपयोग करते हैं:

 set token [http::geturl $url -binary 1]

उपयोग किए गए शेष कार्यों का उद्देश्य टिप्पणियों से स्पष्ट है। हम केवल फ़ंक्शन http :: ncodel के लिए रिटर्न कोड का डिक्रिप्शन देंगे:

200 अनुरोध सफलतापूर्वक पूरा हुआ
206 अनुरोध सफलतापूर्वक पूरा हुआ, लेकिन फ़ाइल का केवल एक हिस्सा डाउनलोड किया गया था
301 फ़ाइल दूसरे स्थान पर चली गई।
302 फ़ाइल अस्थायी रूप से किसी अन्य स्थान पर चली गई।
401 सर्वर प्रमाणीकरण की आवश्यकता है
403 इस संसाधन तक पहुँच अस्वीकृत है
404 निर्दिष्ट संसाधन नहीं मिल सकता है।
500 आंतरिक त्रुटि

एक प्रक्रिया को माना जाता है, अर्थात् cert_to_der:

 proc cert_to_der {data} { set lines [split $data \n] set hlines 0 set total 0 set first 0 # PEM-   foreach line $lines { incr total if {[regexp {^-----BEGIN CERTIFICATE-----$} $line]} { if {$first} { incr total -1 break } else { set first 1 incr hlines } } if {[regexp {^(.*):(.*)$} $line ]} { incr hlines } } if { $first == 0 && [string range $data 0 0 ] == "0" } { #   DER- "0" == 0x30 return $data } if {$first == 0} {return ""} set block [join [lrange $lines $hlines [expr {$total-1}]]] #from PEM to DER set asnblock [base64::decode $block] return $asnblock }

प्रक्रिया बहुत सरल है। यदि यह एक सर्टिफिकेट के साथ PEM फाइल है ("----- BEGIN CERTIFICATE -----"), तो इस फाइल का बॉडी चुनकर एक बिनार कोड में बदल दिया जाता है:

 set asnblock [base64::decode $block]

यदि यह PEM फ़ाइल नहीं है, तो यह "समानता" asn एन्कोडिंग की जाँच की जाती है (शून्य बिट 0x30 होना चाहिए)।

यह सब है, यह अंतिम लाइनों को जोड़ने के लिए बना हुआ है:

 if {$depth == -1} { puts "Bad file with certificate=$file" usage 1 exit } puts "Goodby!\nLength chain=$depth" usage 0 exit

अब हम नाम के साथ एक फ़ाइल में सब कुछ एकत्र करते हैं

chainfromcert.tcl

 #!/usr/bin/tclsh encoding system utf-8 package require pki package require base64 #package require asn package require http global count set count 0 proc chainfromcert {cert dir} { if {$cert == "" } { exit } set asndata [cert_to_der $cert] if {$asndata == "" } { #    ,    return -1 } array set cert_parse [::pki::x509::parse_cert $asndata] array set extcert $cert_parse(extensions) if {![info exists extcert(1.3.6.1.5.5.7.1.1)]} { #    return 0 } set a [lindex $extcert(1.3.6.1.5.5.7.1.1) 0] # if {$a == "false"} { # puts $a # } # ASN1-   Hex- set b [lindex $extcert(1.3.6.1.5.5.7.1.1) 1] #    set c [binary format H* $b] #Sequence 1.3.6.1.5.5.7.1.1 ::asn::asnGetSequence c c_par_first #     1.3.6.1.5.5.7.1.1 while {[string length $c_par_first] > 0 } { #   (sequence) ::asn::asnGetSequence c_par_first c_par # oid   ::asn::asnGetObjectIdentifier c_par c_type set tas1 [::pki::_oid_number_to_name $c_type] #   ::asn::asnGetContext c_par c_par_two # oid     if {$tas1 == "1.3.6.1.5.5.7.48.2" } { #    set certca [readca $c_par $dir] if {$certca == ""} { #   .      continue } else { global count #      set f [file join $dir [file tail $c_par]] set fd [open $fw] chan configure $fd -translation binary puts -nonewline $fd $certca close $fd incr count puts "cert $count from $c_par" #     chainfromcert $certca $dir continue } } elseif {$tas1 == "1.3.6.1.5.5.7.48.1" } { # puts "OCSP server (oid=$tas1)=$c_par" } } #   return $count } proc readca {url dir} { set cer "" #     if {[catch {set token [http::geturl $url -binary 1] #    set ere [http::status $token] if {$ere == "ok"} { #        set code [http::ncode $token] if {$code == 200} { #      set cer [http::data $token] } elseif {$code == 301 || $code == 302} { #    ,   set newURL [dict get [http::meta $token] Location] #     set cer [readca $newURL $dir] } else { #    set cer "" } } } error]} { #   ,     set cer "" } return $cer } proc cert_to_der {data} { set lines [split $data \n] set hlines 0 set total 0 set first 0 # PEM-   foreach line $lines { incr total # if {[regexp {^-----(.*?)-----$} $line]} {} if {[regexp {^-----BEGIN CERTIFICATE-----$} $line]} { if {$first} { incr total -1 break } else { set first 1 incr hlines } } if {[regexp {^(.*):(.*)$} $line ]} { incr hlines } } if { $first == 0 && [string range $data 0 0 ] == "0" } { #   DER- "0" == 0x30 return $data } if {$first == 0} {return ""} set block [join [lrange $lines $hlines [expr {$total-1}]]] #from PEM to DER set asnblock [base64::decode $block] return $asnblock } proc usage {use } { puts "Copyright(C) Orlov Vladimir 2011-2019" if {$use == 1} { puts "Usage:\nchainfromcert <file with certificate> <directory for chain certificate>\n" } } if {[llength $argv] != 2 } { usage 1 puts "Bad usage!" exit } set file [lindex $argv 0] if {![file exists $file]} { puts "File $file not exist" usage 1 exit } puts "Loading file: $file" set dir [lindex $argv 1] if {![file exists $dir]} { puts "Dir $dir not exist" usage 1 exit } puts "Directory for chain: $dir" set fd [open $file] chan configure $fd -translation binary set data [read $fd] close $fd if {$data == "" } { puts "Bad file with certificate=$file" usage 1 exit } set depth [chainfromcert $data $dir] if {$depth == -1} { puts "Bad file with certificate=$file" usage 1 exit } puts "Goodby!\nLength chain=$depth" usage 0 exit

आप tclsh दुभाषिया का उपयोग करके इस फ़ाइल के संचालन की जाँच कर सकते हैं:

 $ tclsh ./chainfromcert.tcl cert_orlov.der /tmp Loading file: cert_test.der Directory for chain: /tmp cert 1 from http://ca.ekey.ru/cdp/ekeyUC2012.cer cert 2 from http://reestr-pki.ru/cdp/guc_gost12.crt Goodby! Length chain=2 Copyright(C) 2019 $

नतीजतन, हमें / tmp निर्देशिका में दो प्रमाणपत्रों की एक श्रृंखला मिली।

लेकिन हम लिनक्स और विंडोज प्लेटफार्मों के लिए निष्पादन योग्य मॉड्यूल प्राप्त करना चाहते थे और इसलिए कि उपयोगकर्ता किसी भी दुभाषियों के बारे में नहीं सोचते थे।

इस प्रयोजन के लिए हम freewrapTCLSH उपयोगिता का उपयोग करेंगे। इस उपयोगिता का उपयोग करते हुए, हम लिनक्स और विंडोज प्लेटफार्मों के लिए हमारी उपयोगिता के निष्पादन योग्य मॉड्यूल को 32-बिट और 64-बिट दोनों के लिए बनाएंगे। किसी भी मंच पर सभी प्लेटफार्मों के लिए उपयोगिताओं का निर्माण किया जा सकता है। टोटोलॉजी के लिए क्षमा करें। मैं linux_x86_64 (Mageia) पर निर्माण करूंगा।

निर्माण करने के लिए, आपको आवश्यकता होगी:

1. linux_x86_64 प्लेटफ़ॉर्म के लिए फ़्रीव्रेप्टब्लश उपयोगिता;
2. प्रत्येक मंच के लिए इस उपयोगिता के साथ freewrapTCLSH फ़ाइल:
- freewrapTCLSH_linux32
- freewrapTCLSH_linux64
- freewrapTCLSH_win32
- freewrapTCLSH_win64
3. हमारी उपयोगिता का स्रोत फ़ाइल: chainfromcert.tcl

तो, लिनक्स x86 प्लेटफॉर्म के लिए इकट्ठे हुए चेनफ्रोमरसिटी_लिनक्सएक्स 86 का निष्पादन:

 $freewrapTCLSH chainfromcert.tcl –w freewrapTCLSH_linux32 –o chainfromcerty_linuxx86 $

विंडोज 64-बिट प्लेटफॉर्म के लिए उपयोगिता की असेंबली इस तरह दिखती है:

 $freewrapTCLSH chainfromcert.tcl –w freewrapTCLSH_win64 –o chainfromcerty_win64.exe $

आदि उपयोगिताएँ उपयोग के लिए तैयार हैं। उन्होंने अपने काम के लिए आवश्यक सभी चीजों को अवशोषित कर लिया है।
कोड को पायथन में उसी तरह लिखा गया है।

आने वाले दिनों में, मैं मूल प्रमाणपत्र श्रृंखला प्राप्त करने के समारोह के साथ fsb795 पैकेज (जिसे पायथन में लिखा गया है) के पूरक के बारे में सोच रहा हूं।

सार्वजनिक कुंजी अवसंरचना X509 v.3 रूट प्रमाणपत्र श्रृंखला

More articles: