首页
学习
活动
专区
圈层
工具
发布
社区首页 >问答首页 >是否可以使用带有PKI证书的智能卡来保护文档?

是否可以使用带有PKI证书的智能卡来保护文档?
EN

Security用户
提问于 2014-04-07 05:17:13
回答 3查看 2K关注 0票数 1

我想使用带有PKI证书的智能卡(或USB密码令牌)进行手动授权。这个是可能的吗?

我想把一个文件(例如一个字文件,甚至一个简单的文本文件)放入智能卡。我也想把PKI证书放进智能卡。我把这张智能卡发给一个用户。文本文件或word文档详细说明了用户的权限。用户将卡片交给可以从智能卡获取文件并读取它的人。他把智能卡交给他的人在他的信任商店里有我的(发行者的)证书,所以这个人可以验证这个证书是否值得信任。这个信托可以转让吗?也就是说,该人是否可以假定该文件也来自我&没有被篡改?

编辑:或者,我可以在证书本身中使用一些字段来放置文本信息--这可以确保数据不能被篡改。在X.509证书中是否有任何字段,例如,在生成证书时可以添加10行文本信息?

EN

回答 3

Security用户

回答已采纳

发布于 2014-04-10 09:18:23

是的,据我所知,这是可能的。在X509中,您可以使用SAN (Subject alternative name)值来指定免费元数据--例如,如果它是用户名、密码,则可以命名它。

这在用于个人身份验证的企业解决方案中得到了广泛的应用,它可以与SCEP服务器集成,以获得更方便的使用。

票数 1
EN

Security用户

发布于 2014-04-07 13:22:20

您正在尝试使用用于身份验证的物理设备进行授权。这很少奏效。

智能卡用于对用户进行身份验证,因为它包含一个私钥,该私钥仍由所有者独占使用。证书是一种分发公钥与所有者身份之间的链接的方法;它是由CA签名的,因此传输此链接信息的物理介质不重要;在实践中,证书也存储在卡上,因为证书在使用该卡时最有用,因此这是一个很好的安置。但是,证书也可以通过其他方式分发,例如,大型公共LDAP服务器(在历史上,X.509证书是以这种方式分发的)。

所有这些都不能告诉任何人允许密钥所有者做什么;它只给出了一个人的身份的一些保证(不是“什么”,而是“谁”)。

在给定的系统中,一旦确定了请求者的身份(即身份验证部分),就必须决定是否应该授予接收的请求。第二部分叫做授权。这里真正重要的要点如下:

  • 授权信息必须易于快速修改,粒度要比证书吊销的典型延迟时间短。
  • 授权信息不一定是由验证身份的相同人员/实体定义的;也就是说,CA的工作自然不包括权限管理。
  • 授权信息有时是负面的,因此密钥所有者在传输符合自己条件的信息时不一定被信任(因为密钥所有者可能省略一个“权限文件”,指出他是一个不受欢迎的个人)。

由于这些原因,你想要做的事情看起来是个坏主意。然而,糟糕并不能阻止一个想法成为标准化。不过,我从未见过“属性证书”真正被很好地利用的情况。

在一个更偶然的飞机上,通常的智能卡不能嵌入大量的公共数据。2 kB证书是可以的,但是一个300 kB Word文件是不合适的。

票数 6
EN

Security用户

发布于 2014-04-07 07:44:20

我想知道我是不是遗漏了什么,但是为什么文本文件必须驻留在智能卡上呢?

如果您的目标是以签名文件的形式提供用户权限的证明,无论是谁“授权”用户都应该用他们的证书在文件上签名。(当然,如果智能卡是这样发出的,那么它们的私钥可以放在智能卡上,但是智能卡不需要与文件一起显示)。

然后,可以将签名文件传输到任何媒体,并由具有相应CA证书的任何人验证签名。

在您的场景中,被评估的用户不需要提供任何东西,只需要提供数字签名的文档(可能嵌入了照片,或者其他一些方法来证明他们是被引用的人)。

票数 2
EN
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://security.stackexchange.com/questions/54987

复制
相关文章

相似问题

领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档