Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,088   Сказал «Спасибо»: 612 раз
Поблагодарили: 2375 раз в 1868 постах
|
Сервер должен запросить клиентский сертификат для установления защищенного соединения с двухсторонней аутентификацией
(либо на клиенте - через плагин делаем ЭП под данными присланными с сервера (или случайно сгенерированными) и отправляем на сервер, который проверив ЭП - извлекает сертификат и необходимые сведения)
На сервере: в базе - учетные записи пользователей, отпечаток сертификата и т.д.
Проверяем по отпечатку, если нет такого: регистрация\отказ в доступе
|
|
 2 пользователей поблагодарили Андрей * за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 07.12.2011(UTC)
Сообщений: 78
Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 5 раз в 2 постах
|
Автор: sashasimkin  VoimiX можете пожалуйста рассказать как происходит этот процесс, и что должно решать моё приложение? 1)На сервере создаётся табличка с 2-мя полями - логин и отпечаток сертификата 2)В эту табличку заносится логин vasya и отпечаток, например, AB445DDDDDDDDDDD 3)Пользователь на клиенте (в браузере) подписывает какие-либо данные, например "hello world" 4)Потом эти подписанные данные отправляются на сервер через POST-запрос 5)Сервер, приняв эти данные, проверят подпись. После проверки доступны данные сертификата. Берём отпечаток сертификата. Пробегаемся по табличке и ищем совпадение. Если нашлось, то авторизуем пользователя. Как-то так.
|
3 пользователей поблагодарили VoimiX за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 12.12.2013(UTC) Сообщений: 19  Откуда: Запорожье Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 2 раз в 1 постах
|
Понял, спасибо. Буду пробовать! :-)
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 24.07.2014(UTC)
Сообщений: 17
Сказал(а) «Спасибо»: 22 раз
|
Автор: Андрей * Сервер должен запросить клиентский сертификат для установления защищенного соединения с двухсторонней аутентификацией
(либо на клиенте - через плагин делаем ЭП под данными присланными с сервера (или случайно сгенерированными) и отправляем на сервер, который проверив ЭП - извлекает сертификат и необходимые сведения)
На сервере: в базе - учетные записи пользователей, отпечаток сертификата и т.д.
Проверяем по отпечатку, если нет такого: регистрация\отказ в доступе
Автор: VoimiX Автор: sashasimkin VoimiX можете пожалуйста рассказать как происходит этот процесс, и что должно решать моё приложение? 1)На сервере создаётся табличка с 2-мя полями - логин и отпечаток сертификата 2)В эту табличку заносится логин vasya и отпечаток, например, AB445DDDDDDDDDDD 3)Пользователь на клиенте (в браузере) подписывает какие-либо данные, например "hello world" 4)Потом эти подписанные данные отправляются на сервер через POST-запрос 5)Сервер, приняв эти данные, проверят подпись. После проверки доступны данные сертификата. Берём отпечаток сертификата. Пробегаемся по табличке и ищем совпадение. Если нашлось, то авторизуем пользователя. Как-то так. 1) для проверки подписи на сервере тоже нужно установить крипто про? 2) как проверить статус сертификата на сервере: а то вдруг он отозван?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,088 Сказал «Спасибо»: 612 раз
Поблагодарили: 2375 раз в 1868 постах
|
Автор: ivan1993spb Автор: Андрей * Сервер должен запросить клиентский сертификат для установления защищенного соединения с двухсторонней аутентификацией
(либо на клиенте - через плагин делаем ЭП под данными присланными с сервера (или случайно сгенерированными) и отправляем на сервер, который проверив ЭП - извлекает сертификат и необходимые сведения)
На сервере: в базе - учетные записи пользователей, отпечаток сертификата и т.д.
Проверяем по отпечатку, если нет такого: регистрация\отказ в доступе
Автор: VoimiX Автор: sashasimkin VoimiX можете пожалуйста рассказать как происходит этот процесс, и что должно решать моё приложение? 1)На сервере создаётся табличка с 2-мя полями - логин и отпечаток сертификата 2)В эту табличку заносится логин vasya и отпечаток, например, AB445DDDDDDDDDDD 3)Пользователь на клиенте (в браузере) подписывает какие-либо данные, например "hello world" 4)Потом эти подписанные данные отправляются на сервер через POST-запрос 5)Сервер, приняв эти данные, проверят подпись. После проверки доступны данные сертификата. Берём отпечаток сертификата. Пробегаемся по табличке и ищем совпадение. Если нашлось, то авторизуем пользователя. Как-то так. 1) для проверки подписи на сервере тоже нужно установить крипто про? 2) как проверить статус сертификата на сервере: а то вдруг он отозван? 1. Любое СКЗИ, с поддержкой ГОСТ-алгоритмов. 2. Проверять по CRL\OCSP. |
|
1 пользователь поблагодарил Андрей * за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 24.07.2014(UTC)
Сообщений: 17
Сказал(а) «Спасибо»: 22 раз
|
Автор: Андрей * Автор: ivan1993spb Автор: Андрей * Сервер должен запросить клиентский сертификат для установления защищенного соединения с двухсторонней аутентификацией
(либо на клиенте - через плагин делаем ЭП под данными присланными с сервера (или случайно сгенерированными) и отправляем на сервер, который проверив ЭП - извлекает сертификат и необходимые сведения)
На сервере: в базе - учетные записи пользователей, отпечаток сертификата и т.д.
Проверяем по отпечатку, если нет такого: регистрация\отказ в доступе
Автор: VoimiX Автор: sashasimkin VoimiX можете пожалуйста рассказать как происходит этот процесс, и что должно решать моё приложение? 1)На сервере создаётся табличка с 2-мя полями - логин и отпечаток сертификата 2)В эту табличку заносится логин vasya и отпечаток, например, AB445DDDDDDDDDDD 3)Пользователь на клиенте (в браузере) подписывает какие-либо данные, например "hello world" 4)Потом эти подписанные данные отправляются на сервер через POST-запрос 5)Сервер, приняв эти данные, проверят подпись. После проверки доступны данные сертификата. Берём отпечаток сертификата. Пробегаемся по табличке и ищем совпадение. Если нашлось, то авторизуем пользователя. Как-то так. 1) для проверки подписи на сервере тоже нужно установить крипто про? 2) как проверить статус сертификата на сервере: а то вдруг он отозван? 1. Любое СКЗИ, с поддержкой ГОСТ-алгоритмов. 2. Проверять по CRL\OCSP. 1) в том числе крипто про для linux да? 2) есть ли этот функционал в крипто про цсп для linux? скорее всего нет, но всеже, есть? м? 3) если в крипто про нет CRL\OCSP то: - мне получается надо по протоколу OCSP загружать себе на сервер список отозванных сертификатов (CRL) - проверять подпись УЦ на списке отозванных сертификатов (список ведь должен подписываться) - сверять загружаемые пользователями подписи и сертификаты по этому списку правильно? 4) если в крипто про нет CRL\OCSP, откуда мне грузить список отозванных сертификатов (CRL), с какого-то ресурса удостоверяющего центра? в УЦ узнавать?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 945  Откуда: Крипто-Про Поблагодарили: 116 раз в 105 постах
|
1. Да
2. Есть
3. Тоже есть :-)
|
1 пользователь поблагодарил Новожилова Елена за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 24.07.2014(UTC)
Сообщений: 17
Сказал(а) «Спасибо»: 22 раз
|
Автор: Новожилова Елена 1. Да
2. Есть
3. Тоже есть :-) 3) я правильно понял, криптопро сам проделывает описанные мной действия?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 945 Откуда: Крипто-Про Поблагодарили: 116 раз в 105 постах
|
При проверке подписи - да.
|
1 пользователь поблагодарил Новожилова Елена за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 18.05.2015(UTC) Сообщений: 11
|
Добрый день.
Из вышеописанного для авторизации:
1. пользователь с помощью Browser Plug-in выбирает установленный ЭП
2. для получения происодит подписание данных (любых для авторизации)
3. данные отправляются на сервер.
4. на стороне сервера происходит проверка подписи. По отпечатку полученному после проверки авторизуем пользовтеля
Хотел уточнить 4 пункт. Каким ПО можно проверить данные, если на сервере используется python
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
