- AlgID: 0x17, протокол передачи ключей, см. EN 419212-3, раздел 3.9.
{
ссылка 3, - уникальная ссылка, перекрестная ссылка от EF. PrKD
алгоритм 2147483649,
- алгоритм, не определенный в PKCS#11,
- определение поставщика 0x80000001
параметры NULL: NULL, - тип параметров - NULL, а значение - NULL
supportedOperations {compute-signature, verify-signature},
objId {1 3 36 7 2 1 1}, - ключевой транспортный протокол
AlgRef 23 - эквивалентно 0x17, см. EN 419212-1, таблица A.1
},
- Проверка подлинности сертификата сертификата (CV)
{
ссылка 4, - уникальная ссылка, перекрестная ссылка от PuKDF
алгоритм 2147483650, - алгоритм, не определенный в PKCS # 11,
- определитель поставщика 0x80000002
параметры NULL: NULL, - тип параметров - NULL, а значение – NULL
supportedOperations {verify-signature},
objId {1 3 36 3 4 3 2 1},
- AlgRef не используется (ключ и алгоритм выбираются сертификатом
- Справочная информация о полномочиях, предоставленная в сертификате CV, подтверждающем сертификат)
}
}
}
14.2.3 EF. AOD
Файл EF. AOD предоставляет информацию о паролях и соответствующих кодах сброса, которые используются в службе проверки пользователя. Атрибут authID используется для перекрестной ссылки на соответствующий объект аутентификации, например. из информационного ключа секретного ключа ключа подписи PrK. CH. DS.
- EF. AOD
en14890-1-EFAOD EFAOD :: =
{
- глобальный пароль PIN. CH. AUT
PWD:
{
commonObjectAttributes
{
метка «глобальный пароль»,
authId '03'H, - Перекрестная ссылка на RC. CH. AUT
- в SE # 2 применяется команда VERIFY и CHANGE REFERENCE DATA
- с помощью безопасного обмена сообщениями. Соответствующие ключи
сеанса определяются
- средства аутентификации устройства.
- Для SE # 1 не применяются условия безопасности, то есть эти команды всегда могут быть
- применяется (без защищенных сообщений)
accessControlRules
{
{
accessMode {execute},
securityConditionauthReference:
{
authMethod {secureMessaging, extAuthentication},
seIdentifier 2
}
}
}
},
- для перекрестных ссылок от EF. DCOD и т. д.
classAttributes
{
authId '01'H
},
typeAttributes
{
pwdFlags {initialized},
pwdTypeascii-цифровой,
minLength 4, - в символах
storedLength 0, - в байтах, заполнение не требуется
maxLength 8, - в символах
pwdReference 1, - 0x01 KeyID
- Путь не требуется, поскольку PIN. CH. AUT является глобальным паролем
}
},
- пароль подписи PIN. CH. DS
PWD:
{
commonObjectAttributes
{
ярлык «квалифицированный пароль подписи»,
- Те же правила контроля доступа применяются, как и в случае глобального пароля
accessControlRules
{
{ accessMode {execute},
securityConditionauthReference:
{
authMethod {secureMessaging, extAuthentication},
seIdentifier 2
}
}
}
},
- для перекрестных ссылок от EF. PrKD
classAttributes
{
authId '02'H
},
typeAttributes
{
pwdFlags {local, unblock-disabled, initialized},
- не поддерживаются коды сброса
pwdTypeascii-цифровой,
minLength 6, - в символах
storedLength 0, - в байтах, заполнение не требуется
maxLength 8, - в символах
pwdReference 129, - 0x81 KeyID
path {efidOrPath '3F003F01'H}
- Путь DF. ESIGN, который должен быть выбран до команды VERIFY
(локальный пароль)
}
},
- код возврата RC. CH. AUT, связанный с глобальным паролем
PWD:
{
commonObjectAttributes
{
метка «код возврата для глобального пароля»,
- Условия безопасности, применяемые для команды RESET RETRY COUNTER
accessControlRules
{
{
accessMode {execute},
securityConditionauthReference:
{
authMethod {secureMessaging, extAuthentication},
seIdentifier 2
}
}
}
},
- для перекрестной ссылки с PIN. CH. AUT
classAttributes
{authId '03'H},
typeAttributes
{
pwdFlags {local, initialized, unblockingPassword},
pwdTypeascii-цифровой,
minLength 8,
- в символах storedLength 0, - в байтах, заполнение не требуется
}
}
}
14.2.4 EF. PrKD
Файл EF. PrKD предоставляет список поддерживаемых закрытых ключей. Атрибут AlgReference предоставляет ссылку на поддерживаемые алгоритмы в EF. CIAInfo. С помощью значения keyReference IFD выбирает ключ в соответствующей команде MSE: SET. AccessControlRules определяет условия доступа в разных средах безопасности. Атрибут userConsent ключа подписи PrK. CH. DS указывает, что перед каждым использованием ключа требуется успешная проверка пароля подписи, а атрибут authID в accessControlRules предоставляет ссылку на описание пароля подписи в EF. AOD.
- EF. PrKD
en14890-1-EFPrKD EFPrKD :: =
{
- ключ частной подписи держателя карты PrK. CH. DS
privateRSAKey:
{
commonObjectAttributes
{
ярлык «квалифицированный ключ подписи»,
flags {private},
authId '02'H, - Перекрестная ссылка на PIN. CH. DS
userConsent 1,
- В SE # 1 аутентификация пользователя с помощью пароля подписи PIN. CH. DS
- требуется до каждой команды PSO: COMPUTE DIGITAL SIGNATURE.
- В SE # 2 команда PSO применяется с помощью Secure Messaging.
- соответствующие сеансовые ключи устанавливаются с помощью устройства
- аутентификация. Кроме того, проверка пользователя с помощью PIN. CH. DS
- требуется до каждого использования команды PSO.
accessControlRules
{
{
accessMode {execute},
securityCondition или:
{
и:
{
authId: '02'H, - перекрестная ссылка на PIN. CH. DS
authReference:
{
authMethod {userAuthentication},
seIdentifier 1
}
},
и:
{
authId: '02'H, - перекрестная ссылка на PIN. CH. DS
authReference:
{
authMethod
{
secureMessaging,
extAuthentication,
userAuthentication
},
seIdentifier 2
}
}
}
}
}
},
classAttributes
{
iD '01'H, - должны иметь один и тот же iD с сертификатом C_X509.CH. DS
использование {sign, signRecover, nonRepudiation},
собственный TRUE,
accessFlags {чувствительный, alwaysSensitive, neverExtractable, cardGenerated},
keyReference 132, - 0x84 KID в карточке
AlgReference {2} - RSA PKCS # 1 с SHA256, см. EF. CIAInfo
},
typeAttributes
{
значение косвенное: путь: {efidOrPath "H},
modulusLength 2048
}
},
- PrK. ICC. AUT
- Закрытый ключ ICC, используемый для аутентификации устройства и ключа сеанса
- создание. Ключ используется в транспортном протоколе ключа, см. EN 419212-3, п. 3.9.
privateRSAKey:
{
commonObjectAttributes
{
ярлык «PrK. ICC. AUT»,
flags {private},
accessControlRules
{
{
accessMode {execute},
securityConditionalways: NULL
}
}
},
- должен иметь один и тот же iD с сертификатом, удостоверяющим личность (CV) C_CV. ICC. AUT
classAttributes
{
iD '02'H,
использование {расшифровка, signRecover},
собственный TRUE,
accessFlags {чувствительный, alwaysSensitive, neverExtractable},
keyReference 17, - 0x11 KID в карточке
AlgReference {3} - ключевой транспортный протокол, см. EF. CIAInfo
},
typeAttributes
{
значение косвенное: путь: {efidOrPath "H},
modulusLength 1024
}
}
}
14.2.5 EF. PuKD
Файл EF. PuKD предоставляет информацию об открытых ключах, используемых в приложении ESIGN. Использование атрибута AlgReference, который обеспечивает перекрестную ссылку на поддерживаемые алгоритмы в EF. CIAInfo. IFD может идентифицировать открытые ключи для проверки сертификата CV, которые хранятся в качестве якоря безопасности в ICC.
- EF_PuKD
en14890-1-EFPuKD EFPuKD :: =
{
- PuK. RCA. CS-AUT
- Открытый ключ корневого ЦС, который хранится в качестве якоря безопасности в ICC.
- ключ используется для проверки сертификатов CV в контексте аутентификации устройства.
publicRSAKey:
{
commonObjectAttributes
{
ярлык «PuK. RCA. CS-AUT»,
accessControlRules
{
{
accessMode {execute},
securityConditionalways: NULL
}
}
},
classAttributes
{ iD '03'H,
использование {verifyRecover},
собственный TRUE,
keyReference 11,
AlgRef {4} - алгоритм проверки сертификата CV, см. EF. CIAInfo
},
typeAttributes
{
значение косвенное: путь: {efidOrPath "H},
modulusLength 1024
}
}
}
14.2.6 EF. CD
Файл EF. CD предоставляет информацию о сертификатах, которые используются в службах приложения ESIGN. IFD может связывать эти сертификаты с соответствующими службами с помощью атрибута ID, который предоставляет перекрестную ссылку на соответствующий ключ в EF. PrKD. AccessControlRules предоставляет условия доступа для сертификатов во всех средах безопасности. Атрибут value сертификата X.509 указывает либо на EF на карте, либо на URL, где может быть найден сертификат.
- EF. CD
en14890-1-EFCD EFCD :: =
{
- C_X509.CH. DS, сертификат держателя карты для услуги цифровой подписи X509Certificate:
{
commonObjectAttributes
{
ярлык "для квалифицированной службы подписи",
accessControlRules
{
{ accessMode {read},
securityConditionalways: NULL
}
}
},
- должен иметь один и тот же идентификатор с закрытым ключом PrK. CH. DS
classAttributes
{
iD '01'H,
авторитет ЛОЖЬ
},
- Путь к EF. C.X509.CH. DS, где хранится сертификат
typeAttributes
{
значение косвенное: путь: {efidOrPath '3F003F01C000'H}
}
- значение косвенное: url: url: printable "ldap-address"} альтернативный
},
- C_CV. ICC. AUT
- CV-сертификат ICC, используемый в службе аутентификации устройства
cvCertificate:
{
commonObjectAttributes
{
ярлык «C_CV. ICC. AUT»,
accessControlRules
{
{
accessMode {read},
securityConditionalways: NULL
}
}
},
- должен иметь один и тот же идентификатор с закрытым ключом PrK. ICC. AUT
classAttributes
{
iD '02'H,
авторитет ЛОЖЬ
},
- Путь к EF. C_CV. ICC. AUT, где хранится сертификат
typeAttributes
{
значение косвенное: путь: {efidOrPath '3F002F03'H}
}
}
}
14.2.7 EF. DCOD
Файл EF. DCOD может предоставлять информацию (идентификатор файла, условия доступа) об элементарных файлах:
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
