PKI証明書付きのスマートカードを使用してドキュメントを保護できますか?
手動認証には、PKI証明書付きのスマートカード(またはUSB暗号トークン)を使用したいと思います。これは可能ですか?
ファイル(Wordファイルや単純なテキストファイルなど)をスマートカードに入れたい。また、スマートカードにPKI証明書を入れたいです。このスマートカードをユーザーに発行します。テキストファイルまたはWord文書は、ユーザーの権利を詳しく説明しています。ユーザーは、スマートカードからファイルを取得して読み取ることができる誰かにカードを渡します。スマートカードを渡した相手は、自分のトラストストアに私の(発行者の)証明書を持っているので、この証明書を信頼するかどうかを確認できます。この信頼は譲渡可能ですか?つまり、その文書も私から来たものであり、改ざんされていないと想定できますか?
編集:あるいは、証明書自体のフィールドを使用してテキスト情報を入力できますか?これにより、データが改ざんされないようになります。 X.509証明書に、たとえば、証明書を生成するときに10行のテキスト情報を追加できるフィールドはありますか?
はい、これは私が言えることからです。 X509では、[〜#〜] san [〜#〜](サブジェクトの別名)の値を使用して、たとえば無料のメタデータを指定できます。これがユーザー名、パスフレーズの場合は、名前を付けます。
これは、個人認証用のエンタープライズソリューションで広く使用されており、SCEPサーバーと統合してより使いやすくすることができます。
authenticationを目的とした物理デバイスでauthorizationを実行しようとしています。これがうまく機能することはめったにありません。
スマートカードは、所有者専用の秘密鍵が含まれているという点で、ユーザーの認証に使用されます。 certificateは、公開鍵と所有者のIDの間のリンクを配布する方法です。これはCAによって署名されているので、このリンク情報が転送される物理媒体は重要ではありません。また、実際には、証明書はカードを使用するときに最も役立つため、証明書もカードに保存されます。これは、適切な配置です。ただし、証明書は他の方法で配布することもできます。大規模なパブリックLDAPサーバー(歴史的に、X.509証明書はそのように配布されるように設計されていました)。
そのどれも、キーの所有者が何をすることが許可されているかを誰にも教えません。それはその人の身元についてのいくらかの保証を与えるだけです(「何」ではなく「誰」か)。
特定のシステムでは、リクエスターのID(認証部分)を確認したら、受信したリクエストを許可するかどうかを決定する必要があります。その2番目の部分は承認と呼ばれます。ここで本当に重要な点は次のとおりです。
- 承認情報は、証明書失効の通常の待ち時間よりも粒度が短く、迅速な変更に対応できる必要があります。
- 承認情報は、身元を確認する同じ人物/エンティティによって定義されるとは限りません。つまり、CAの仕事には当然のことながら権利管理は含まれていません。
- 承認情報が否定的である場合があるため、キー所有者は、自分自身を修飾する情報の転送について必ずしも信頼できるとは限りません(キー所有者は、望ましくない個人として自分を特定する「権利ファイル」を省略している可能性があるため)。
これらの理由により、あなたがしようとしていることは悪い考えのように見えます。しかし、悪いことは、アイデアが 標準化された になることを決して妨げませんでした。しかし、「属性証明書」が実際に有効に活用されている状況は見たことがありません。
より偶発的な面では、通常のスマートカードは多くの公開データを埋め込むことができません。 2 kBの証明書で問題ありませんが、300 kBのWordファイルは適合しません。
何かが足りないのではないかと思いますが、なぜテキストファイルをスマートカードに保存する必要があるのでしょうか。
署名されたドキュメントの形式でユーザー権限の証明を提供することが目的である場合、ユーザーを "承認"する人はだれでも、証明書を使用してファイルに署名する必要があります。 (確かに、発行方法がスマートカードであれば、秘密鍵はスマートカードに常駐できますが、スマートカードをファイルと一緒に提示する必要はありません)
署名されたファイルは任意のメディアに転送でき、署名は対応するCA証明書を持っている人なら誰でも検証できます。
あなたのシナリオでは、評価されるユーザーは、デジタル署名されたドキュメント以外のものを提供する必要はありません(おそらく、写真が埋め込まれている、または参照された人物であることを証明するその他の手段があります)。