😃 🚤 🧑🏼‍🤝‍🧑🏼 क्रिप्टोग्राफिक टोकन PKCS # 11। ग्राफिक उपयोगिता "हस्ताक्षर करने और एक समय टिकट जोड़ने के कार्य के साथ।" भाग 1 🐊 🎌 ✌🏽

"स्क्रिप्टिंग भाषाओं में PKCS # 11 क्रिप्टोग्राफ़िक टोकन मैकेनिज्म का उपयोग" लेख पर टिप्पणियों में, कोवेज़र रीडर ने लिखा :

"हम एक दस्तावेज पर हस्ताक्षर करने और एक समय टिकट जोड़ने के कार्य के साथ एक लेख के लिए तत्पर हैं।"

इससे पहले, pas habr के एक अन्य प्रतिभागी ने लिखा कि यह PKCS # 11 टोकन के लिए बहुत अच्छा होगा, "जिसे हर कोई गिन सकता है" (जिसका अर्थ है मुख्य रूप से क्रिप्टोग्राफ़िक संचालन कुंजी उत्पन्न करना, उत्पन्न करना और इलेक्ट्रॉनिक सत्यापन करना), सभी प्रकार के इंटरलेयर्स से छुटकारा पाएं और एक उपयोगिता जो स्वयं टोकन के तंत्र का उपयोग कर सकती है, एक प्रमाणपत्र अनुरोध और दस्तावेजों पर हस्ताक्षर करने, दस्तावेजों के हस्ताक्षर को सत्यापित करने, प्रमाण पत्रों के हस्ताक्षर और वैधता की पुष्टि करने के लिए।

उपयोगिता के साथ परिचित

नतीजतन, हम उपयोगकर्ताओं की अदालत में उपयोगिता पेश करते हैं

guipkcs7_tclpkcs11:

इस उपयोगिता की प्रेरक शक्ति PKCS # 11 क्रिप्टोग्राफिक टोकन है जो कम से कम GOST R 34.10.12 पर रूसी क्रिप्टोग्राफी के समर्थन के साथ है। यदि आप सार्वजनिक सेवाओं आदि का उपयोग करने का इरादा रखते हैं, तो आपको अभी भी एक टोकन खरीदना होगा जो रूस के एफएसबी के प्रमाणन प्रणाली में प्रमाणित परीक्षण पास कर चुका हो। यदि यह आपका आंतरिक इलेक्ट्रॉनिक दस्तावेज़ प्रबंधन है, तो यह, ज़ाहिर है, आपके विवेक पर है। PKCS # 11 टोकन अलग हो सकते हैं: सॉफ्टवेयर, हार्डवेयर, या क्लाउड भी। उपयोगिता को स्क्रिप्टिंग भाषा Tcl / Tk में लिखा गया है। जब आप पीकेसीएस # 11 टोकन खरीदते हैं, तो विभिन्न प्लेटफार्मों के लिए खरीदे गए टोकन के लिए पुस्तकालयों को कहां से डाउनलोड कर सकते हैं, यह पूछना या पूछना न भूलें। पुस्तकालय आमतौर पर स्वतंत्र रूप से उपलब्ध हैं। उपयोगिता क्रिप्टोग्राफिक और अन्य टोकन सुविधाओं तक पहुंचने के लिए TclPKCS11 पैकेज का उपयोग करती है । उपयोगिता एक पुस्तकालय का चयन करके शुरू होती है जो आपके टोकन का समर्थन करती है। ध्यान दें कि लाइब्रेरी लाइब्रेरी एक साथ कई टोकन (कॉम्बोक्स "चुनिंदा टोकन / स्मार्टकार्ड") के साथ काम कर सकती हैं:

सवाल उठ सकता है, लेकिन अगर टोकन को इनिशियलाइज़ नहीं किया जाता है तो मुझे क्या करना चाहिए या मुझे पिन कोड आदि बदलने की आवश्यकता है? उत्तर सरल है - p11conf टोकन कॉन्फ़िगरेशन उपयोगिता का उपयोग करें।

टोकन की सूची को अपडेट करने के लिए (टोकन को निष्क्रिय करें, एक नया जोड़ें) बस क्लिक करें
आइकन द्वारा

कॉम्बोक्स के दाईं ओर स्थित है "एक टोकन / स्मार्ट कार्ड चुनें"
कॉम्बोक्स "प्रमाणपत्र" में चयनित (वर्तमान) टोकन पर संग्रहीत सभी प्रमाणपत्रों के लेबल शामिल हैं:

यदि आप आइकन पर क्लिक करते हैं

कोम्बोक्स सर्टिफिकेट के दाईं ओर स्थित, एक विंडो प्रमाण पत्र की सामग्री के साथ दिखाई देती है:

यदि आप देखने के विंडो में "सहेजें / सहेजें" बटन पर क्लिक करते हैं, तो पाठ प्रारूप में पार्स किए गए प्रमाण पत्र की सामग्री आपके द्वारा निर्दिष्ट फ़ाइल में सहेजी जाएगी।
वर्तमान टोकन के बारे में जानकारी देखने के लिए, आप "6. टोकन पर जानकारी" बटन पर क्लिक कर सकते हैं या कर्सर को टोकन समाधान पर ले जा सकते हैं:

यह जानने के लिए कि वर्तमान में कौन से क्रिप्टोग्राफ़िक तंत्र का समर्थन करता है, बटन पर क्लिक करें "5. तंत्र की सूची":

प्रमाणपत्र अनुरोध बनाएँ

हम उपयोगिता के मुख्य कार्यों को पास करते हैं। और इस तरह का पहला फ़ंक्शन प्रमाणपत्र अनुरोध (बटन "3. प्रमाणपत्र अनुरोध") बनाने के लिए है:

संदेश "टोकन कुंजी का समर्थन नहीं करता है ..." दिखाई देता है यदि चयनित टोकन इस प्रकार की कुंजी की पीढ़ी का समर्थन नहीं करता है। इस मामले में, आपको एक अलग प्रकार की कुंजी या एक अलग टोकन का चयन करने की आवश्यकता है। इस उदाहरण में, आप RuToken ECP 2.0 टोकन (दूसरा स्क्रीनशॉट देखें) का उपयोग कर सकते हैं। कॉम्बोक्स "सर्टिफिकेट होल्डर" आपको यह निर्दिष्ट करने की अनुमति देता है कि कौन प्रमाण पत्र का मालिक होगा: एक व्यक्ति, एक कानूनी इकाई या एक व्यक्तिगत उद्यमी। इसके आधार पर, भरे जाने वाले फ़ील्ड निम्नलिखित पृष्ठों पर बनाए जाएंगे।

यहाँ एक महत्वपूर्ण क्षेत्र "नाम CIPF" क्षेत्र है। यह एक योग्य प्रमाण पत्र का एक अभिन्न अंग है और इंगित करता है कि क्रिप्टोग्राफिक सूचना सुरक्षा प्रणाली प्रमुख जोड़ी कैसे उत्पन्न करेगी। आप उत्पाद के रूप में या टोकन खरीद के समय क्रिप्टोग्राफिक सूचना सुरक्षा प्रमाणपत्र का नाम पता कर सकते हैं। क्या टोकन जानकारी का प्रकार क्रिप्टोग्राफिक सूचना सुरक्षा प्रणाली के नाम से मेल खाता है? इसलिए फॉर्म को देखना बेहतर है। अगला क्लिक करें और आवश्यक फ़ील्ड भरें:

भरते समय, उपयोगिता उचित चेतावनी जारी करके खेतों (ईमेल, PSRN, आदि) में भरने की शुद्धता को नियंत्रित करने की कोशिश करती है। मुख्य फ़ील्ड भरने के बाद, आपको अपने कंप्यूटर पर प्रमाणपत्र अनुरोध के प्रारूप और भंडारण स्थान को निर्धारित करने के लिए कहा जाएगा। आपको अपने टोकन का पिन कोड भी दर्ज करना होगा:

"अगला" बटन पर क्लिक करने के बाद, आपको फिर से देखने के लिए कहा जाएगा कि आपने क्या दर्ज किया है और "समाप्त" कुंजी दबाकर अपने निर्णय की पुष्टि करें:

और, यदि आप फिनिश बटन पर क्लिक करते हैं, तो आपके टोकन पर एक प्रमुख जोड़ी उत्पन्न होगी, एक अनुरोध बनाया जाएगा और हस्ताक्षर किए जाएंगे:

और क्या आप यह सुनिश्चित कर सकते हैं कि कुंजी टोकन पर उत्पन्न और संग्रहीत है? हां। हम "7. टोकन ऑब्जेक्ट्स" बटन दबाते हैं, टोकन को एक्सेस करने के लिए पिन कोड दर्ज करते हैं, और SKO_PRIVATE_KEY और CKO_PUBLIV_KEY ऑब्जेक्ट्स को खोजते हैं, जिनके लेबल "COMMON NANE" (CN) फ़ील्ड से मेल खाते हैं, जिसे आपने प्रमाणपत्र अनुरोध बनाते समय भरा था। हमारे उदाहरण में, यह "सर्वशक्तिमान हबर" था:

देखा और तुरंत दूसरे पृष्ठ पर जाएँ। सबसे अच्छा सबूत जो एक महत्वपूर्ण जोड़ी सफलतापूर्वक बनाया गया है वह हस्ताक्षरित अनुरोध की उपस्थिति है। इसे सत्यापित करने के लिए, "अनुरोध देखें / प्रमाणपत्र" बटन दबाएं, सहेजे गए अनुरोध का चयन करें, बटन "प्रमाण पत्र के लिए अनुरोध देखें" पर क्लिक करें और कुंजी जोड़ी के बारे में जानकारी देखें:

यह सुनिश्चित करने के बाद कि अनुरोध सफलतापूर्वक बनाया गया है, निजी कुंजी के साथ टोकन को सुरक्षित रूप से छिपाएं या इसे दिल के करीब रखें (पुरानी पीढ़ी के लोग पार्टी या कोमसमोल टिकटों को स्टोर करना जानते हैं), फ्लैश ड्राइव के अनुरोध को कॉपी करें, आवश्यक दस्तावेज (पासपोर्ट, आदि) लें। और प्रमाणपत्र प्राप्त करने के लिए CA पर जाएं। हां, यदि यह एक विभागीय सीए नहीं है, तो आपको अभी भी पैसा देना होगा। पासपोर्ट के साथ सब कुछ ऐसा है।

हम सीए में एक प्रमाण पत्र के लिए जाते हैं

इस मामले में, आदरणीय हबर को एक प्रमाण पत्र जारी करने के लिए, हम सभी हबर के पृष्ठों से भी सीए का उपयोग करेंगे। सीए हमारे आवेदन पर विचार करना शुरू करता है:

एप्लिकेशन के CA डेटाबेस में प्रवेश करने के बाद, अधिकृत व्यवस्थापक इस पर विचार करता है और या तो उसे अस्वीकार या स्वीकृत करता है:

आवेदन स्वीकृत होने के बाद, आवेदक, सीए से अधिकृत व्यक्ति के साथ मिलकर प्रमाण पत्र का उपयोग करने के उद्देश्यों को निर्धारित करता है:

और उसके बाद, कुछ भी प्रमाण पत्र जारी करने से रोकता है:

प्रमाणपत्र जारी किए जाने के बाद, CA कर्मचारी जारी किए गए प्रमाणपत्र को माननीय Habr की फ्लैश ड्राइव में निर्यात करता है:

हमने टोकन सर्टिफिकेट लगाया

और इसलिए प्रमाणपत्र का भाग्यशाली धारक अपनी जन्मभूमि पर लौटता है और सबसे पहले मुख्य जोड़ी के बगल में टोकन के लिए प्रमाण पत्र लगाने का फैसला करता है। ऐसा करने के लिए, उपयोगिता की मुख्य विंडो पर, "4. देखें अनुरोध / प्रमाण पत्र" बटन पर क्लिक करें, प्रमाण पत्र और ऑपरेशन "प्रमाण पत्र देखें" के साथ फ़ाइल का चयन करें और ऑपरेशन करने के लिए बटन पर क्लिक करें ":

हम प्रमाण पत्र की वैधता की जांच भी कर सकते हैं (लेकिन हमारे पास इसे रद्द करने के लिए अभी तक समय नहीं है) या उपयुक्त ऑपरेशन का चयन करके इसके हस्ताक्षर की शुद्धता:

प्रमाणपत्र हस्ताक्षर सत्यापन उपयोगिता कोड

#!/usr/bin/env tclsh package require pki load ./tclpkcs11.so Tclpkcs11 #     PKCS#11 #set pkcs11_module "/usr/local/lib64/librtpkcs11ecp_2.0.so" set pkcs11_module "/usr/local/lib64/libls11sw2016.so" puts "Connect the Token and press Enter" gets stdin yes set handle [pki::pkcs11::loadmodule $pkcs11_module] set slots [pki::pkcs11::listslots $handle] set i 0 foreach slotinfo $slots { set slotid [lindex $slotinfo 0] set slotlabel [lindex $slotinfo 1] set slotflags [lindex $slotinfo 2] if {[lsearch -exact $slotflags TOKEN_PRESENT] != -1} { set token_slotlabel $slotlabel set token_slotid $slotid #    incr i break } } if {$i == 0} { puts "   . ." exit } # PEM  DER proc ::cert_to_der {data} { if {[string first "-----BEGIN CERTIFICATE-----" $data] != -1} { set data [string map {"\r\n" "\n"} $data] } array set parsed_cert [::pki::_parse_pem $data "-----BEGIN CERTIFICATE-----" "-----END CERTIFICATE-----"] if {[string range $parsed_cert(data) 0 0 ] == "0" } { #   DER- "0" == 0x30 set asnblock $parsed_cert(data) } else { set asnblock "" } return $asnblock } proc usage {use error} { puts "Copyright(C) Orlov Vladimir (http://museum.lissi-crypto.ru/) 2019" if {$use == 1} { puts $error puts "Usage:\nverify_cert_with_pkcs11 <file with certificate> \[<file with CA certificate>\]\n" } } set countcert [llength $argv] if { $countcert < 1 || $countcert > 2 } { usage 1 "Bad usage!" exit } set file [lindex $argv 0] if {![file exists $file]} { usage 1 "File $file not exist" exit } #  cert_user puts "Loading user certificate: $file" set fd [open $file] chan configure $fd -translation binary set cert_user [read $fd] close $fd if {$cert_user == "" } { usage 1 "Bad file with certificate user: $file" exit } set cert_user [cert_to_der $cert_user] if {$cert_user == ""} { puts "User certificate bad" exit } catch {array set cert_parse [::pki::x509::parse_cert $cert_user]} if {![info exists cert_parse]} { puts "User certificate bad" exit } #parray cert_parse if {$countcert == 1} { if {$cert_parse(issuer) != $cert_parse(subject)} { puts "Bad usage: not self signed certificate" } else { set cert_CA $cert_user } } else { set fileca [lindex $argv 1] if {![file exists $fileca]} { usage 1 "File $fileca not exist" exit } #  cert_CA puts "Loading CA certificate: $fileca" set fd [open $fileca] chan configure $fd -translation binary set cert_CA [read $fd] close $fd if {$cert_CA == "" } { usage 1 "Bad file with certificate CA=$fileca" exit } set cert_CA [cert_to_der $cert_CA] if {$cert_CA == ""} { puts "CA certificate bad" exit } } foreach slotinfo $slots { set slotid [lindex $slotinfo 0] set slotlabel [lindex $slotinfo 1] set slotflags [lindex $slotinfo 2] if {[lsearch -exact $slotflags TOKEN_PRESENT] != -1} { set token_slotlabel $slotlabel set token_slotid $slotid } } #    catch {array set cert_parse_CA [::pki::x509::parse_cert $cert_CA]} if {![info exists cert_parse_CA]} { puts "CA certificate bad" exit } #  if {$cert_parse(issuer) != $cert_parse_CA(subject)} { puts "Bad issuer" exit } set aa [dict create pkcs11_handle $handle pkcs11_slotid $token_slotid] set tbs_cert [binary format H* $cert_parse(cert)] catch {set signature_algo_number [::pki::_oid_name_to_number $cert_parse(signature_algo)]} if {![info exists signature_algo_number]} { set signature_algo_number $cert_parse(signature_algo) } switch -- $signature_algo_number { "1.2.643.2.2.3" - "1 2 643 2 2 3" { # "GOST R 34.10-2001 with GOST R 34.11-94" set digest_algo "gostr3411" } "1.2.643.7.1.1.3.2" - "1 2 643 7 1 1 3 2" { # "GOST R 34.10-2012-256 with GOSTR 34.11-2012-256" set digest_algo "stribog256" } "1.2.643.7.1.1.3.3" - "1 2 643 7 1 1 3 3" { # "GOST R 34.10-2012-512 with GOSTR 34.11-2012-512" set digest_algo "stribog512" } default { puts "  :$signature_algo_number" exit } } #   tbs-!!!! set digest_hex [pki::pkcs11::digest $digest_algo $tbs_cert $aa] # asn-   #    binary scan $cert_CA H* cert_CA_hex array set infopk [pki::pkcs11::pubkeyinfo $cert_CA_hex [list pkcs11_handle $handle pkcs11_slotid $token_slotid]] set lpk [dict create pkcs11_handle $handle pkcs11_slotid $token_slotid] # pybkeyinfo     lappend lpk "pubkeyinfo" lappend lpk $infopk(pubkeyinfo) array set lpkar $lpk puts "Enter PIN user for you token \"$token_slotlabel\":" gets stdin password if { [pki::pkcs11::login $handle $token_slotid $password] == 0 } { puts "Bad PIN" exit } if {[catch {set verify [pki::pkcs11::verify $digest_hex $cert_parse(signature) $lpk]} res] } { puts "  =$res" exit } if {$verify != 1} { puts "BAD SIGNATURE=$verify" } else { puts "SIGNATURE OK=$verify" }

लेकिन अब हम अपने टोकन को प्राप्त प्रमाण पत्र को आयात करने के संचालन में रुचि रखते हैं। ऑपरेशन "टोकन के लिए प्रमाणपत्र आयात करें" चुनें और बटन "ऑपरेशन करें" पर क्लिक करें। उपयोगिता प्रमाण पत्र के इलेक्ट्रॉनिक हस्ताक्षर को सत्यापित करेगी। ऐसा करने के लिए, आपको टोकन के लिए पिन कोड दर्ज करना होगा। और अगर सब कुछ ठीक रहा, तो प्रमाणपत्र टोकन के लिए आयात किया जाएगा:

प्रमाणपत्र का लेबल (उपनाम) प्रमाण-पत्रों की सूची में देखा जा सकता है:

यह हमारा व्यक्तिगत प्रमाण पत्र है, एक प्रमाण पत्र है जिसके लिए एक महत्वपूर्ण जोड़ी है। और यदि आप फिर से टोकन पर वस्तुओं की सूची को देखते हैं, तो हमें तीन ऑब्जेक्ट मिलेंगे, जिसमें "सर्वशक्तिमान हैब्रा यूटीएस 12_512" और उसी CKA_ID का लेबल होगा। ये तीन वस्तुएँ स्वयं प्रमाणपत्र (CKO_CERTIFICATE), सार्वजनिक (CKO_PUBLIC_KEY) और निजी (CKO_PRIVATE_KEY) कुंजियाँ हैं। ऑब्जेक्ट के इस ट्रिपल के लिए लेबल निम्नानुसार सेट किया गया है:
<CN प्रमाणपत्र धारक> <CN प्रमाणपत्र प्रकाशक> से।

नीचे हम दिखाते हैं कि लेबल कैसे बदलना है।

अब जब हमने प्रमाणपत्र को टोकन पर रखा है, तो इसे कैसे एक्सेस करें? टोकन पर स्थित प्रमाणपत्रों के साथ काम करने के कार्यों तक पहुंचने के लिए, बस कर्सर को "प्रमाणपत्र" लेबल पर ले जाएं और दाएं माउस बटन दबाएं:

हम इलेक्ट्रॉनिक हस्ताक्षर के साथ पहले दस्तावेज़ पर हस्ताक्षर करते हैं

आइए अगले लेख की प्रतीक्षा करें। आपको कुछ दिन इंतजार करना होगा। वहाँ क्या माना जाएगा स्क्रीनशॉट से समझा जा सकता है:

यहां जारी है ।

क्रिप्टोग्राफिक टोकन PKCS # 11। ग्राफिक उपयोगिता "हस्ताक्षर करने और एक समय टिकट जोड़ने के कार्य के साथ।" भाग 1

उपयोगिता के साथ परिचित

प्रमाणपत्र अनुरोध बनाएँ

हमने टोकन सर्टिफिकेट लगाया

हम इलेक्ट्रॉनिक हस्ताक्षर के साथ पहले दस्तावेज़ पर हस्ताक्षर करते हैं

More articles: