Аутентификация на www

Хочется получить готовое решение для аутентификации пользователя на www сервере (apache/nginx) с произвольной машины по заранее загруженному в токен x509 сертификату. Ну и уж совсем несбыточная мечта - с помощью не только IE, но и Firefox.

Re: Аутентификация на www

Если возможно аутентифицироваться на www сервере (apache/nginx) при помощи IE или мозила по сертификату, хранящемуся в реестре или на дискете, то возможна аутентификация на этом же сервере по сертификату хранящемуся на ЛЮБОЙ смарт-карте. Для этого нужны только драйвера смарт-карты или токена, и должна быть реализация стандарта PKCS11.
В случае с Rutoken - драйверы лежат здесь http://rutoken.ru/ библиотека PKCS11 реализована в модуле rtPKCS11.dll - после установки распологается в папке %Windir%\System32.

Михаил Курский
Руководитель отдела разработки прикладного ПО Rutoken, Компания "Актив"

Re: Аутентификация на www

Установил драйвер rtDrivers.x86.v.2.15.01.148.msi
Вставил токен, он опознался. Но хранящиеся на нём сертификаты не появились в MSIE в списке личных сертификатов.
Что я сделал не так?
И что можно сделать, чтобы сертификат и ключ достать из токена, например в формате PKCS#12
Заранее спасибо.

--
Victor Sudakov,  VAS4-RIPE, VAS47-RIPN

(2008-05-08 09:49:40 отредактировано Andrey Y. Ostanovsky)

Re: Аутентификация на www

vas пишет:

Но хранящиеся на нём сертификаты не появились в MSIE в списке личных сертификатов.
Что я сделал не так?

Нормальный ключ не должен ничего из себя отдавать до ввода PIN-кода. Может и тут, наконец, поправили? :) Тогда через утилиты надо делать "экспорт сертификата в системное хранилище". После этого с сертификатом смогут работать IE и другие прикладные программы, умеющие успользовать системные хранилища сертификатов. У FF - хранилище свое.

И что можно сделать, чтобы сертификат и ключ достать из токена, например в формате PKCS#12

Смысл аппаратного токена как раз в невозможности извлечения _ключей_ из него. Т.е., только ломать, или использовать "штатные" уязвимости, если они есть в конструкции.

Re: Аутентификация на www

vas пишет:

Установил драйвер rtDrivers.x86.v.2.15.01.148.msi
Вставил токен, он опознался. Но хранящиеся на нём сертификаты не появились в MSIE в списке личных сертификатов.

1.      Какой у Вас токен?
2.      Какие на нем хранятся сертификаты?
3.      Кем выписаны сертификаты и как они попали на токен?
4.      Является искомый сертификат - сертификатом по умолчанию

vas пишет:

что можно сделать, чтобы сертификат и ключ достать из токена, например в формате PKCS#12

Импорт сертификатов и ключей возможен, но необходимо знать, что это за сертификат и ключ.

Re: Аутентификация на www

Andrey Y. Ostanovsky пишет:
vas пишет:

Но хранящиеся на нём сертификаты не появились в MSIE в списке личных сертификатов.
Что я сделал не так?

Нормальный ключ не должен ничего из себя отдавать до ввода PIN-кода. Может и тут, наконец, поправили? :) Тогда через утилиты надо делать "экспорт сертификата в системное хранилище". После этого с сертификатом смогут работать IE и другие прикладные программы, умеющие успользовать системные хранилища сертификатов. У FF - хранилище свое.

PIN и не запрашивался. Я даже не знаю, что нужно сделать, чтобы у меня запросили PIN. А что за утилиты, через которые можно сделать экспорт в системное хранилище? Если они могут сделать экспорт в файл в PEM или DER формате, мне больше ничего и не надо. Собственно, задача - воспользоваться сертификатом, который лежит в этом токене, для ввода информации на сайте службы гос. статистики.

Andrey Y. Ostanovsky пишет:
vas пишет:

И что можно сделать, чтобы сертификат и ключ достать из токена, например в формате PKCS#12

Смысл аппаратного токена как раз в невозможности извлечения _ключей_ из него. Т.е., только ломать, или использовать "штатные" уязвимости, если они есть в конструкции.

Ладно, тогда устроит достать только открытый сертификат, а ключ пусть всякий раз берёт с токена. Главное понять, как обратиться к содержимому токена средствами винды.

Re: Аутентификация на www

Алексей Несененко пишет:
vas пишет:

Установил драйвер rtDrivers.x86.v.2.15.01.148.msi
Вставил токен, он опознался. Но хранящиеся на нём сертификаты не появились в MSIE в списке личных сертификатов.

1.    Какой у Вас токен?
2.    Какие на нем хранятся сертификаты?
3.    Кем выписаны сертификаты и как они попали на токен?
4.             Является искомый сертификат - сертификатом по умолчанию

vas пишет:

что можно сделать, чтобы сертификат и ключ достать из токена, например в формате PKCS#12

Импорт сертификатов и ключей возможен, но необходимо знать, что это за сертификат и ключ.

1. ruToken
2,3. ЭЦП нашей организации, выдавалась одним из московских УЦ для отправки документов в налоговую. Теперь хочется воспользоваться этой же ЭЦП для отправки документов в Федеральную службу гос. статистики.
4. Вопрос не понял, sorry.

Re: Аутентификация на www

Алексей Несененко пишет:

Импорт сертификатов и ключей возможен, но необходимо знать, что это за сертификат и ключ.

Вы хорошо понимаете то, о чем пишете? Т.е., rutoken не является надежным хранилищем и его содержимое может быть легко размножено?

Re: Аутентификация на www

Алексей Несененко пишет:
vas пишет:

что можно сделать, чтобы сертификат и ключ достать из токена, например в формате PKCS#12

Импорт сертификатов и ключей возможен, но необходимо знать, что это за сертификат и ключ.

Собственно это я и хотел посмотреть (что за сертификат лежит на данном токене, какие у него Subject, Issuer, срок действия и т.д.)

--
Victor Sudakov,  VAS4-RIPE, VAS47-RIPN

Re: Аутентификация на www

vas пишет:
Алексей Несененко пишет:

4.             Является искомый сертификат - сертификатом по умолчанию

4. Вопрос не понял, sorry.

Когда в токене несколько пар сертификат+ключ - один из них можно обозвать "сертификат по-умолчанию".

vas пишет:

PIN и не запрашивался. Я даже не знаю, что нужно сделать, чтобы у меня запросили PIN. А что за утилиты, через которые можно сделать экспорт в системное хранилище? Если они могут сделать экспорт в файл в PEM или DER формате, мне больше ничего и не надо. Собственно, задача - воспользоваться сертификатом, который лежит в этом токене, для ввода информации на сайте службы гос. статистики.

Наряду с драйверами, у rutoken-а есть так называемые утилиты, с помощью которых производится администрирование и другие манипуляции с токенами. Поскольку мы с этими токенами не продвинулись дальше тестовых установок - я прямо сейчас не готов пошагово объяснить куда нажать и т.д. Экспортируется в системное хранилище _только_ сертификат, поэтому воспользоваться им в отсутствие токена - нельзя. Иначе смысл и отличие токена от обычной флэшки - теряется.

(2008-05-08 12:22:40 отредактировано Vladimir Ivanov)

Re: Аутентификация на www

Andrey Y. Ostanovsky пишет:
Алексей Несененко пишет:

Импорт сертификатов и ключей возможен, но необходимо знать, что это за сертификат и ключ.

Вы хорошо понимаете то, о чем пишете? Т.е., rutoken не является надежным хранилищем и его содержимое может быть легко размножено?

Хорошо понимаем.
1. Сертификат, как и открытый ключ, не являются секретными, поэтому их можно экспортировать сколько угодно
2. Секретный ключ также может быть экспортирован, по предъявлении PIN, в том случае, если он не помечен на токене как неэкспортируемый.

Владелец ключей и сертификатов имеет полное право и возможность делать с ними все, что заблагорассудится. При знании PIN, естественно.

Re: Аутентификация на www

vas пишет:

2,3. ЭЦП нашей организации, выдавалась одним из московских УЦ для отправки документов в налоговую. Теперь хочется воспользоваться этой же ЭЦП для отправки документов в Федеральную службу гос. статистики.

Для того, чтобы посмотреть сертификат, надо бы знать на каком криптопровайдере он выписывался. Если удостоверяющий центр использует КриптоПро - соответственно необходима установка данного криптопровайдера. Если не секрет, в каком УЦ Вы получали сертификат?

Re: Аутентификация на www

Vladimir Ivanov пишет:

2. Секретный ключ также может быть экспортирован, по предъявлении PIN, в том случае, если он не помечен на токене как неэкспортируемый.

Вы можете прямо ответить на поставленный вопрос?

rutoken не является надежным хранилищем и его содержимое может быть легко размножено?

Под "легко" я подразумеваю: с ведома владельца токена, зная пин-код и используя штатное программное обеспечение.

Владелец ключей и сертификатов имеет полное право и возможность делать с ними все, что заблагорассудится. При знании PIN, естественно.

"Владелец ключей и сертификатов" (организация, выпустившая их) как раз желает, чтобы _пользователь_токена_ не мог достать ключи из токена и у него не было такой возможности ни в каком случае. Иначе ваш токен практически ничем (кроме объема) от современной флэшки не отличается.

Re: Аутентификация на www

Andrey Y. Ostanovsky пишет:

Нормальный ключ не должен ничего из себя отдавать до ввода PIN-кода. Может и тут, наконец, поправили? :)

Нормальный ключ не должен выдавать из себя до ввода PIN ничего, кроме public-информации, которая по определению PIN не защищается (например, сертификат). PIN нужен только для доступа к закрытым данным, которые имеют специальные атрибуты безопасности, отличные от public.

Andrey Y. Ostanovsky пишет:

Смысл аппаратного токена как раз в невозможности извлечения _ключей_ из него.

Если изначально не предусмотрено обратное - возможность извлечения ключа по предъявлении PIN.

Re: Аутентификация на www

Vladimir Ivanov пишет:
Andrey Y. Ostanovsky пишет:

Нормальный ключ не должен ничего из себя отдавать до ввода PIN-кода. Может и тут, наконец, поправили? :)

Нормальный ключ не должен выдавать из себя до ввода PIN ничего, кроме public-информации, которая по определению PIN не защищается (например, сертификат). PIN нужен только для доступа к закрытым данным, которые имеют специальные атрибуты безопасности, отличные от public.

Andrey Y. Ostanovsky пишет:

Смысл аппаратного токена как раз в невозможности извлечения _ключей_ из него.

Если изначально не предусмотрено обратное - возможность извлечения ключа по предъявлении PIN.

Вобщем, как был "сейф со стеклянной дверцей", в которую можно посмотреть и оценить - нужно ли нам содержимое, а если нужно - так и достать, так и остался. Печально, что Ваши понятия о безопасности данных расходятся с общепринятыми.:(