Что такое этокен?

Question

Мне нужно написать код, чтобы проверить действительность цифрового сертификата, присутствующего в etoken.Я не знаком с etokens.Кто-нибудь может ответить на мои следующие вопросы:

1. Как получить доступ к содержимому цифрового сертификата из etoken?
2. Можем ли мы получить доступ к закрытому ключу, хранящемуся в etoken?
3. Когдамы подключаем etoken к компьютеру, затем копирует цифровой сертификат на компьютер или нет?Если да, то куда он его копирует?

Мне нужно написать программу на C ++ для того же.Можем ли мы использовать Cryptographic API (например, CrypImportKey () CryptExportKey ()), предоставленные Microsoft для вышеуказанного требования?

Answer 1

«etoken» был названием одного из первых USB-криптотокенов, произведенных AladdinТо, что вы запрашиваете, обычно называется маркер безопасности .Это аппаратное устройство с собственной памятью, в которой хранятся сертификаты и закрытые ключи.

Для работы токенов необходимо установить драйверы.Набор драйверов включает в себя реализацию CSP (провайдера криптографических услуг) для CryptoAPI.CSP выполняет представление сертификатов, хранящихся в маркере, в CryptoAPI.Чтобы ответить на ваши вопросы:

1. Через интерфейс CryptoAPI или PKCS # 11 (драйверы для обоих поставляются поставщиком).
2. Вы можете выполнять определенные операции с закрытым ключом, вызывая соответствующий API.Но сам ключ не извлекается.
3. Не могу сказать точно, но для меня похоже, что сертификаты копируются в хранилище сертификатов в памяти для скорости операций.

Answer 2

Что касается вашего второго вопроса, я считаю, что можно получить доступ к закрытому ключу на токене безопасности. Маркер безопасности должен был быть заранее запрограммирован и загружен каким-то закрытым ключом. Кроме того, в последний раз, когда мы обновляли наш сертификат, мы делали это онлайн, используя веб-интерфейс эмитента, который устанавливал модуль ActiveX, который загружал новый сертификат на устройство. Я не знаю, загрузила ли эта процедура также новый ключ, но, возможно, нет, так как я не верю, что вам нужно изменить свой закрытый ключ, чтобы создать для себя новый открытый сертификат (который должен быть подписан эмитентом, чтобы быть доверенным Я верю).

Извините, я не вижу особого смысла, поскольку я новичок во всей идее инфраструктуры открытых ключей.

Если кто-то еще может подтвердить или утвердить мои претензии, поделитесь своими знаниями.

РЕДАКТИРОВАТЬ: Я нашел этот аппаратный взломать для Alladin устройств: http://seclists.org/bugtraq/2000/May/48 В принципе, на eToken можно прочитать дату, но для этого требуется прямой аппаратный интерфейс с встроенной памятью устройства.