Каковы методы, позволяющие конечным пользователям выбирать ключи на смарт-карте?


0

Когда multiple keys exist на данной смарт-карте, как пользователь может выбирать между ними для данного идентификатора ... идеально без потери конфиденциальности?

Например, предположим, что у меня есть правительственный идентификатор, который хранит набор ключей для шифрования и другой набор для отказа от отказа. Затем я сохраняю на нем дополнительный сторонний ключ.

  • Когда я аутентификации (или шифровать) правительственные данные, (по сравнению с данными 3-й партии), как я могу «выбрать» сертификат, используемый?

  • Является ли выбор сертификата функцией ОС, драйвером смарт-карты или самой смарт-картой?

При выборе сертификатов на самой карте, я envision a button I can press like this one here:

enter image description here

Поэтому я задаю этот вопрос, так что я могу понять не только нормальный смарт использования карт, но также случаи, когда несколько UProve жетоны выдаются на аналогичную карту (взаимодействия, вероятно, будут одинаковыми)

1

Теоретически, в системе Windows Certificate Propagation Service автоматически добавляется cts все сертификаты с любой смарт-карты, которая вставлена, и копирует их в «Мой» магазин текущего пользователя. Каждый такой сертификат регистрируется со ссылкой на соответствующий закрытый ключ, который находится на смарт-карте. Когда смарт-карта должна использоваться, приложение фактически ищет соответствующий сертификат , что может побудить пользователя к выбору сертификата; как только сертификат выбран, приложение затем пытается добраться до закрытого ключа, и в этот момент (и только в этот момент) запускается драйвер смарт-карты (внутренне приложение обращается к «Microsoft Base Smart Card CSP», которое само говорит к карточному «минидрайверу»).

Основная идея заключается в том, что приложения не видят «смарт-карты»; они используют закрытые ключи, которые они размещают по их сертификату . Независимо от того, находится ли данный секретный ключ на смарт-карте или нет, или два ключа находятся с одной и той же смарт-карты, хранится в внутренней части ОС. Приложение может скрипит непосредственно с помощью смарт-карт (с использованием winscard.dll), но большинство из них не работает (например, Internet Explorer при работе с сервером SSL, который запрашивает сертификаты клиентов, просматривает только сертификаты и не заботится о смарт-карте).

Все зависит от других операционных систем или приложений. Например, Firefox использует только PKCS#11, общий API для «криптографических устройств» и полностью игнорирует поддержку ОС при ее запуске в Windows. Тогда, что происходит полностью, зависит от того, как Firefox решает управлять смарт-картами. Основной принцип по-прежнему активен, хотя: выбор пользователя сосредоточен на сертификатах.