3

クライアント証明書認証がスマート カードでどのように機能するかを理解しようとしています。

証明書を使用してユーザーを認証するように Apache を構成する方法について読みました。APACHE Web サーバーやLinuxConfigの SSL 認証など、多くのチュートリアルがオンラインで公開されています。

私の知る限り、証明書がインポートされると、コンピューターにアクセスできる人なら誰でもブラウザーを起動して使用できます。したがって、複数のユーザーが同じアカウントを共有している (または攻撃者がコンピューターに物理的にアクセスしてログインできる) シナリオでは、ユーザーを明確に認証することはできません。このような問題を回避するために、アカウントが共有されている場合、証明書をブラウザーに保存しないようにすることができます。

最近では、内部に証明書を保持できる USB トークンがいくつかあり、Web サイトに対してクライアント証明書認証を実行するために使用できます。そのようなデバイスに関する私の質問は次のとおりです。

  • 証明書を物理デバイスとしてインポートすることにより、インポートした証明書をブラウザで使用できますか?
  • 証明書に PIN がある場合はどうなりますか? ブラウザーは、起動するたびに PIN を要求しますか?
  • トークン/スマート カード リーダーから証明書を抽出できないことを確認できますか? したがって、トークンが盗まれない限り、証明書を複製できないと確信できますか?
4

1 に答える 1

5

証明書を物理デバイスとしてインポートすることによって、ブラウザはインポートした証明書を使用できますか?

はい。ただし、ハードウェア トークンを使用すると、ソフトウェア トークンに比べて遅延が大きくなることがあります (たとえば、スマート カードの場合は 2 ~ 3 秒)。

証明書にピンがある場合はどうなりますか? ブラウザは、起動するたびに PIN を要求しますか?

デフォルトでは、たとえば Firefox は、HTTPS クライアント認証が有効になっている Web ページに接続する場合にのみ、クライアント証明書にアクセスしようとします。次に、PIN が要求されます。通常、トークンが削除されない限り PIN は必要ありませんが、その動作は使用されている PKCS#11 モジュール (Firefox をトークンに接続するソフトウェア) によって異なる場合があります。

トークン/スマート カード リーダーから証明書を抽出できないことを確認できますか? したがって、トークンが盗まれない限り、証明書を複製できないと確信できますか?

その後、トークンに依存します。秘密鍵を抽出するための API がある場合もありますが、通常、トークンから秘密鍵 + 証明書のみを使用または削除できます。

于 2013-07-17T12:42:11.597 に答える