रूसी योग्य प्रमाण पत्र x509 देखने के लिए क्रॉस-प्लेटफॉर्म अंग्रेजी उपयोगिता

आज, डिजिटल प्रमाणपत्र X509 v.3 का उपयोग आम हो गया है। अधिक से अधिक लोग स्टेट सर्विस, फेडरल टैक्स सर्विस, इलेक्ट्रॉनिक बिडिंग आदि की वेबसाइट तक पहुंचने के लिए इनका उपयोग करते हैं। और अधिक से अधिक लोग जानना चाहते हैं कि इस "छाती" में क्या है जिसे प्रमाण पत्र कहा जाता है। और अगर प्रमाण पत्र पासपोर्ट का एक एनालॉग है, तो इसे कैसे पढ़ा / देखा जा सकता है। हां, ऑपरेटिंग सिस्टम में देखने के लिए विभिन्न उपयोगिताओं हैं। लेकिन वे आम नागरिक को बहुत कम देंगे। उदाहरण के लिए gcr- दर्शक उपयोगिता लें, जो वास्तव में, लिनक्स सिस्टम पर देखने के लिए मानक उपकरण है, और इसलिए घरेलू OS में है :

मानक दर्शक

उपयोगिता अच्छी तरह से बनाई गई है, सुविधाजनक है। सामान्य तौर पर, यह विभिन्न क्रिप्टोग्राफिक प्रारूपों (प्रमाण पत्र, अनुरोध, इलेक्ट्रॉनिक हस्ताक्षर / PKCS # 7, संरक्षित कंटेनर PKCS # 12, आदि) में डेटा युक्त फ़ाइलों को देखने के लिए एक सार्वभौमिक उपयोगिता के रूप में करना है। लेकिन, दुर्भाग्य से, यह पश्चिमी क्रिप्टोग्राफी के लिए डिज़ाइन किया गया है और आपके देश में दर्ज किए गए शपथ को ध्यान में नहीं रखता है। और यदि आप स्क्रीनशॉट को देखते हैं, तो जब प्रमाणपत्र धारक के बारे में जानकारी प्रदर्शित होती है, तो असंगत अक्षर दिखाई देते हैं। बाईं ओर स्वयं oid हैं, और 16 वें रूप में दाईं ओर, asn1- संरचना उनके मूल्यों के साथ। इस स्थिति में, ये OGRN (1.2.643.100.1), SNILS (1.2.643.100.3) और TIN (1.2.643.3.131.1.1) हैं। और यह है कि एक सामान्य नागरिक को यह सुनिश्चित करना चाहिए कि यह उसका डेटा है। ऐसा मत सोचो कि यह केवल लिनक्स पर है, यह किसी भी प्रमाणपत्र दर्शक की एक सामान्य विशेषता है। और अगर आप आगे देखते हैं, तो सब कुछ समझ से बाहर हो जाता है:



कुछ एक्सटेंशन, पहचानकर्ता और मान दिखाई देते हैं। इस मामले में, oid om 1.2.643.100.111 CIPF का नाम छिपाता है, जिसका उपयोग उपयोगकर्ता द्वारा कुंजी जोड़ी उत्पन्न करने के लिए किया गया था, जिस निजी कुंजी का उपयोग प्रमाणपत्र अनुरोध पर हस्ताक्षर करने के लिए किया गया था, और सार्वजनिक कुंजी जिसमें से प्रमाण पत्र निहित है:



और यहाँ, प्रमाण पत्र धारक द्वारा बहुत कम समझा जाता है। उसे यह भी समझ में नहीं आता है कि किस एल्गोरिथ्म का उपयोग कुंजी को उत्पन्न करने के लिए किया गया था, या तो GOST R 34.10-2001, या GOST R 34.10-2012 और किस कुंजी लंबाई के साथ।

आप उदाहरण देना जारी रख सकते हैं। उदाहरण के लिए, यदि प्रमाण पत्र की वैधता स्पष्ट है, तो कुंजी कहां है?

दो और प्रश्न हैं जिनका प्रमाण पत्र धारक एक उत्तर देना चाहते हैं: मुझे मूल प्रमाणपत्रों की श्रृंखला कहां मिल सकती है (या इससे भी बेहतर सिर्फ एक मिल सकती है) और निरस्त प्रमाण पत्रों की सूची पर एक समान प्रश्न।

और अंत में, मैं एक सार्वभौमिक उपयोगिता रखना चाहूंगा जो रूसी पीकेआई / पीकेआई की विशेषताओं को ध्यान में रखता है, जो वास्तव में क्रॉस-प्लेटफॉर्म है और घरेलू और गैर- घरेलू ओएस पर चलता है। क्या विकास करना है? निश्चित रूप से एक स्क्रिप्टिंग भाषा में, यदि केवल उनके क्रॉस-प्लेटफॉर्म प्रकृति के कारण।

तब मुझे याद आया कि हाल ही में सुंदर लिपि भाषा Tcl (टूल कमांड लैंग्वेज) ने अपनी 30 वीं वर्षगांठ मनाई थी । इस पर कार्यक्रम करना खुशी की बात है। इसमें बड़ी संख्या में एक्सटेंशन (पैकेज) हैं जो लगभग हर चीज की अनुमति देते हैं। इसलिए, ASN संरचनाओं के साथ काम करने के लिए एक asn पैकेज है। इसके अलावा, प्रमाण पत्र के साथ काम करने के लिए (हम इस मामले में उन्हें पार्स करने में रुचि रखते हैं) एक पक्की पैकेज है। और एक ग्राफिकल इंटरफ़ेस विकसित करने के लिए, एक टीके पैकेज है।

सभी को समान रूप से Pyton के बारे में Tkinter के साथ और Perl के बारे में और माणिक के बारे में कहा जा सकता है। हर कोई अपने स्वाद के अनुसार चुन सकता है। हम Tcl / Tk के एक समूह में रुकते हैं।

हम gcr- दर्शक उपयोगिता से उपयोगिता के लिए ग्राफिक डिजाइन उधार लेंगे। और एक और आवश्यकता।

चूंकि हबर का अंग्रेजी संस्करण था , इसलिए मैं चाहता था कि विभिन्न इंटरफेस (रूसी / अंग्रेजी) की उपयोगिता हो। लेकिन यह मुख्य कारण नहीं है। अधिक महत्वपूर्ण रूप से, पश्चिमी दुनिया के अधिक से अधिक नागरिक रूसी संघ के नागरिक बन रहे हैं, उदाहरण के लिए, विश्व प्रसिद्ध अभिनेता डेपर्ड्यू। उन्हें आपत्ति हो सकती है: वह एक फ्रांसीसी है। लेकिन मैं फ्रांसीसी से एक सैन्य अनुवादक भी हूं:



इसलिए फ्रेंच इंटरफ़ेस जोड़ना आसान है। लेकिन मुझे लगता है कि डेपरडियू को अंग्रेजी भाषा से कोई समस्या नहीं है। दूसरी ओर, हमारा देश बहुराष्ट्रीय है और यह काफी अच्छा होगा यदि घरेलू सॉफ्टवेयर और घरेलू ओएस में कम से कम कई राष्ट्रीय इंटरफेस हों।
थोड़ा आगे चलकर, यह वही आया है:

हम एक अनुवादक को आमंत्रित करते हैं

तो, "अनुवादक" से शुरू करते हैं। स्क्रीनशॉट में, वह राष्ट्रीय ध्वज के नीचे छिपा है। अनुवादक के लिए मुख्य आवश्यकता अनुवाद का समन्वय है, अर्थात। किसी भी समय किसी अन्य भाषा में स्विच करने की क्षमता। Tcl / Tk में अनुवादक कार्य संदेशक पैकेज द्वारा किए जाते हैं:

package require msgcat 

वर्तमान भाषा सेट करने के लिए, निम्नलिखित कमांड का उपयोग करें:

 msgcat::mclocale ru 

"अनुवादक" की शब्दावली इस प्रकार से ru.msg फ़ाइल में संग्रहीत है:

 #  msgcat::mcset      #     mcset namespace import -force msgcat::mcset #     mcset ru "Language" "" … 

निम्नलिखित परीक्षण का पाठ है
इस लिपि में, :: चैंजलैंग प्रक्रिया अनुवादक के रूप में कार्य करती है, जिसे तब कहा जाता है, जब ध्वज के साथ .but_lang बटन दबाया जाता है।

यदि आप यह स्क्रिप्ट चलाते हैं, तो आप स्पष्ट रूप से देखेंगे कि अनुवादक कैसे काम करता है:

सार्वजनिक कुंजी प्राप्त करें

अब जब हमने एक अनुवादक के बारे में फैसला किया है, तो हम प्रमाण पत्र के विश्लेषण के साथ आगे बढ़ें। ऐसा करने के लिए, हमें पक्की पैकेज की आवश्यकता है:

 package require pki). 

पक्की पैकेज को आरएसए एल्गोरिथ्म कुंजी और प्रमाण पत्र के साथ काम करने के लिए डिज़ाइन किया गया है। यदि प्रमाण पत्र (proc :: pki :: x509 :: parse_cert) एक अलग प्रकार की कुंजी के साथ बनाया गया था, तो हम इस कुंजी के बारे में जानकारी प्राप्त नहीं करेंगे:

 # Handle RSA public keys by extracting N and E switch -- $ret(pubkey_algo) { "rsaEncryption" { set pubkey [binary format B* $pubkey] binary scan $pubkey H* ret(pubkey) ::asn::asnGetSequence pubkey pubkey_parts ::asn::asnGetBigInteger pubkey_parts ret(n) ::asn::asnGetBigInteger pubkey_parts ret(e) set ret(n) [::math::bignum::tostr $ret(n)] set ret(e) [::math::bignum::tostr $ret(e)] set ret(l) [expr {int([::pki::_bits $ret(n)] / 8.0000 + 0.5) * 8}] set ret(type) rsa } } 

हैरानी की बात है, सार्वजनिक कुंजी एल्गोरिथ्म अभी भी लौटता है ((pubkey_algo))
प्रमाणपत्र अनुरोध को पार्स करने के साथ स्थिति समान है (proc :: pki :: pkcs :: parse_csr):

 # Parse public key, based on type switch -- $pubkey_type { "rsaEncryption" { set pubkey [binary format B* $pubkey] ::asn::asnGetSequence pubkey pubkey_parts ::asn::asnGetBigInteger pubkey_parts key(n) ::asn::asnGetBigInteger pubkey_parts key(e) set key(n) [::math::bignum::tostr $key(n)] set key(e) [::math::bignum::tostr $key(e)] set key(l) [expr {2**int(ceil(log([::pki::_bits $key(n)])/log(2)))}] set key(type) rsa } default { return -code error "Unsupported key type: $pubkey_type" } } 

लेकिन यहाँ वह त्रुटि के बारे में भी जानकारी देता है। लेकिन आज, आरएसए के अलावा, उदाहरण के लिए, GOST R 34.10-2012 (GOST R 34.10-2001 भी अब के लिए चारों ओर चला जाता है) सहित यूरोपीय संघ के अण्डाकार घटता पर चाबियाँ, उपयोग में हैं।

लेकिन सार्वजनिक कुंजी की ASN संरचना को वापस करने के लिए डिफ़ॉल्ट रूप से यह पर्याप्त है जो प्रमाण पत्र या अनुरोध में निहित है, और उपयोगकर्ता स्वयं कुंजी के प्रकार के आधार पर सार्वजनिक कुंजी को पार्स करेगा। ऐसा करने के लिए, बस दिए गए मानों में हेक्साडेसिमल मानों में सार्वजनिक कुंजी ASN संरचना जोड़ें:

 proc ::pki::x509::parse_cert {cert} { . . . ::asn::asnGetSequence cert subject ::asn::asnGetSequence cert pubkeyinfo #    ASN-  . binary scan $pubkeyinfo H* ret(pubkey_pubkeyinfo) . . . } 

सब कुछ, और कुछ नहीं करना है। इस तरह, :: pki :: x509 :: parse_cert प्रक्रिया सरल प्रमाण के लिए अधिकांश प्रमाणपत्र एक्सटेंशन लौटाती है कि यह उन्हें पार्स करने का तरीका नहीं जानता (उदाहरण के लिए, हमारे योग्य प्रमाण पत्र के साथ सब्जेक्टटूल), अर्थात्। उपयोगकर्ता के विवेक पर देता है।

दूसरी ओर, :: pki :: x509 :: parse_cert प्रक्रिया एक tbs प्रमाणपत्र का एक परिणाम देती है जिसमें प्रमाण पत्र से सभी जानकारी होती है, सिवाय इसके हस्ताक्षर (हस्ताक्षर) और हस्ताक्षर के प्रकार (signature_algo):

 #    set fd [open «cert.pem» r] chan configure –translation binary set datacert [read $fd] close $fd #  array set cert_parse [::pki::x509::parse_cert $datacert] # tbs- set cert_tbs_hex $cert_parse(cert) 

हम एक tbs प्रमाणपत्र से सार्वजनिक महत्वपूर्ण जानकारी निकालने की प्रक्रिया लिखते हैं:

 proc ::pki::x509::parse_cert_pubkeyinfo {cert_tbs_hex} { array set ret [list] set wholething [binary format H* $cert_tbs_hex] ::asn::asnGetSequence wholething cert ::asn::asnPeekByte cert peek_tag if {$peek_tag != 0x02} { # Version number is optional, if missing assumed to be value of 0 ::asn::asnGetContext cert - asn_version ::asn::asnGetInteger asn_version ret(version) } ::asn::asnGetBigInteger cert ret(serial_number) ::asn::asnGetSequence cert data_signature_algo_seq ::asn::asnGetObjectIdentifier data_signature_algo_seq ret(data_signature_algo) ::asn::asnGetSequence cert issuer ::asn::asnGetSequence cert validity ::asn::asnGetUTCTime validity ret(notBefore) ::asn::asnGetUTCTime validity ret(notAfter) ::asn::asnGetSequence cert subject ::asn::asnGetSequence cert pubkeyinfo #    hex asn-   binary scan $pubkeyinfo H* ret(pubkeyinfo) return $ret(pubkeyinfo) } 

और जब से हम रूसी क्रिप्टोग्राफी में रुचि रखते हैं, हम तुरंत GOST सार्वजनिक कुंजी को पार्स करने की प्रक्रिया लिखेंगे:

 proc parse_key_gost {pubkeyinfo_hex} { array set ret [list] set pubkeyinfo [binary format H* $pubkeyinfo_hex] ::asn::asnGetSequence pubkeyinfo pubkey_algoid ::asn::asnGetObjectIdentifier pubkey_algoid ret(pubkey_algo) #,   - if {[string first "1 2 643 " $ret(pubkey_algo)] == -1} { return [array get ret] } ::asn::asnGetBitString pubkeyinfo pubkey set pubkey [binary format B* $pubkey] #   binary scan $pubkey H* ret(pubkey) ::asn::asnGetSequence pubkey_algoid pubalgost #OID -  ::asn::asnGetObjectIdentifier pubalgost ret(paramkey) #OID -   ::asn::asnGetObjectIdentifier pubalgost ret(hashkey) #puts "ret(paramkey)=$ret(paramkey)\n" #puts "ret(hashkey)=$ret(hashkey)\n" #parray ret #  :  ,     return [array get ret] } 

हां, मैंने इसे लगभग याद किया: पक्की पैकेज लोड करने के बाद, आपको सरणी में जोड़ने की आवश्यकता है :: pki :: oids oids जो GOST और योग्य प्रमाणपत्र की विशेषता रखते हैं या बस इस सरणी में अनुपस्थित हैं:

 package require pki # oid- set ::pki::oids(1.2.643.100.1) "OGRN" set ::pki::oids(1.2.643.100.5) "OGRNIP" set ::pki::oids(1.2.643.3.131.1.1) "INN" set ::pki::oids(1.2.643.100.3) "SNILS" set ::pki::oids(1.2.643.2.2.19) "GOST R 34.10-2001" set ::pki::oids(1.2.643.7.1.1.1.1) "GOST R 34.10-2012-256" set ::pki::oids(1.2.643.7.1.1.1.2) "GOST R 34.10-2012-512" set ::pki::oids(1.2.643.2.2.3) "GOST R 34.10-2001 with GOST R 34.11-94" set ::pki::oids(1.2.643.7.1.1.3.2) "GOST R 34.10-2012-256 with GOSTR 34.11-2012-256" set ::pki::oids(1.2.643.7.1.1.3.3) "GOST R 34.10-2012-512 with GOSTR 34.11-2012-512" set ::pki::oids(1.2.643.100.113.1) "KC1 Class Sign Tool" set ::pki::oids(1.2.643.100.113.2) "KC2 Class Sign Tool" . . . 

आप ru.msg फ़ाइल में जोड़कर अनुवादक की शब्दावली को फिर से भर सकते हैं:

 mcset ru "GOST R 34.10-2001" "  34.10-2001" mcset ru "GOST R 34.10-2012-256" "  34.10-2012-256" mcset ru "GOST R 34.10-2012-512" "  34.10-2012-512" mcset ru "GOST R 34.10-2001 with GOST R 34.11-94" "  34.10-2001    34.11-94" mcset ru "GOST R 34.10-2012-256 with GOSTR 34.11-2012-256" "  34.10-2012-256    34.11-2012-256" mcset ru "GOST R 34.10-2012-512 with GOSTR 34.11-2012-512" "  34.10-2012-512    34.11-2012-512" . . . 

:

रूट प्रमाणपत्र श्रृंखला और प्रमाणपत्र निरस्तीकरण सूची

रूट प्रमाणपत्र की एक श्रृंखला कैसे प्राप्त करें, इस पर पहले ही चर्चा की जा चुकी है। सादृश्य द्वारा, निरस्त COS / CRL प्रमाणपत्रों की सूची प्राप्त करने के लिए एक प्रक्रिया लिखी जाती है। लिनक्स के लिए उपयोगिता और उसके वितरण का स्रोत कोड, ओएस एक्स (मैकओएस) और एमएस विंडोज पाया जा सकता है


स्रोत कोड में, आप प्रमाणपत्र एक्सटेंशन पार्स करने की सभी प्रक्रियाएं पा सकते हैं।
Tk (Tcl / Tk, Python / Tkinter, आदि) के विरोधियों के लिए, मैं खोजने का प्रस्ताव करता हूं, क्योंकि वे कहते हैं, दो उपयोगिताओं के बीच 10 (दस) अंतर: gtk में लिखी गई gcr- दर्शक उपयोगिता और Tk में प्रमाणित प्रमाणित दृश्य उपयोगिता।

PKCS # 11 टोकन / स्मार्टकार्ड प्रमाणपत्र

ऊपर हमने प्रमाण पत्र के साथ काम करने के बारे में बात की (ब्राउज़ करें, रूट प्रमाणपत्र की श्रृंखला प्राप्त करें, निरस्त प्रमाण पत्र की सूची, sha1 और sha256, आदि द्वारा फ़िंगरप्रिंट्स) फ़ाइलों में संग्रहीत। लेकिन अभी भी PKCS # 11 टोकन / स्मार्टकार्ड पर संग्रहीत प्रमाण पत्र हैं। और प्राकृतिक इच्छा न केवल उन्हें देखने के लिए है, फिर एक फ़ाइल पर निर्यात करें। यह कैसे करें, हम निम्नलिखित लेख में वर्णन करेंगे: