Смарт-карты
4.3.2 Связывание с ключом X.509 на смарт-карте
Смарт-карты при желании могут работать с сертификатами и ключами X.509. Система Notes поддерживает как запись личных ключей Х.509 на смарт-карту, так и связывание сертифицированных ключей, находящихся на смарт-карте, с ID-файлом. В любом случае результатом является то, что личный ключ X.509 находится только на смарт-карте, на которой и проводятся все операции, связанные с личным ключом (обеспечение безопасности данных S/MIME и SSL-аутентификация клиента).
Связывание ID с находящимися на смарт-карте сертификатами и ключами
Часто пользователь получает смарт-карту, на которую уже загружен необходимый сертификат X.509 и пара ключей. Например, компания, заботящаяся о безопасности, может выдать такую карту консультанту, нанятому для выполнения важного проекта. После этого консультант может импортировать сертификат X.509 (вместе с общими ключами) в файл Notes ID, и это свяжет ID со вторым, личным ключом, оставшимся на смарт-карте. Теперь консультант может посылать электронные сообщения S/MIME, подписанные этим ключом, и дешифровать сообщения, зашифрованные для этого ключа, или использовать его на Web-сайте, защищенном при помощи SSL-аутентификации клиента. Чтобы установить такую связь, в диалоговом окне User Security (Безопасность пользователя) выберите пункт Your Identity (Ваш идентификатор) Your Certificates (Ваши сертификаты), затем Get Certificates (Получить сертификаты) и выберите из раскрывающегося списка пункт Import Internet Certificate from a Smartcard (Импортировать интернет-сертификат со смарт-карты), как показано на рис. 4.4. В Notes 7 эта операция не требует предварительной защиты ID-файла смарт-картой и не производит обновлений данных на смарт-карте, что дает возможность использовать смарт-карты "только для чтения".
увеличить изображение
Рис. 4.4. Импортирование (и связывание) сертификата X.509, находящегося на смарт-карте
Обратите внимание, что в данном случае связывания уже загруженных идентификационных данных X.509 с ID обязательным является наличие связанных объектов-сертификатов X.509, поскольку Notes регистрирует их в ходе проверки того, какие данные на смарт-карте могут быть импортированы или связаны. В настоящий момент на данном этапе импорта пользователь не может выбирать, какие идентификационные данные нужно связать. Связаны будут все данные, для которых это возможно.
Чтобы увидеть импортированный и связанный сертификат в поле диалогового окна, показанного на рис. 4.4, пользователю может потребоваться закрыть и снова открыть диалоговое окно User Security (Безопасность пользователя). В любом случае. результат должен выглядеть примерно так, как показано на рис. 4.5. Обратите внимание на небольшой серый прямоугольный элемент в верхнем левом углу значка в поле. Туре (Тип) (обведен кружком). Это обозначение показывает, что личный ключ, связанный с сертификатом, расположен на смарт-карте и, следовательно, не в ID-файле.
Перемещение личного ключа X.509 из Notes ID на смарт-карту
Связывание ключа X.509 может происходить и в обратном направлении. Скажем, пользователь получил сертификат X.509 и пару ключей в свой ID-файл. Эти идентификационные данные можно перенести на смарт-карту, чтобы использовать возможности системы безопасности. Для этого ID уже должен быть защищен данной смарт-картой (как это описано в подразделе 4.3.1, "Обеспечение безопасности Notes ID при помощи смарт-карты"). Пользователь выделяет персональный сертификат Х.509, личный ключ которого нужно перенести, и выбирает пункт меню Other Actions (Другие действия) Move Private Key to Smartcard (Переместить личный ключ на смарт-карту), как показано на рис. 4.6. Личный ключ перемещается на смарт-карту и удаляется из ID. В Notes 7 копируется также и соответствующий общий ключ, что облегчает поиск ключа в ситуациях, когда PIN-код смарт-карты не требуется или недоступен.
увеличить изображение
Рис. 4.6. Move Private Key to Smartcard (Переместить личный ключ на смарт-карту)
Если ID-файл доступен для восстановления ID, то копия личного ключа Х.509 создается до импорта его на смарт-карту. Эта копия шифруется отдельным надежным ключом ID, предназначенным для восстановления, и сохраняется вместе с остальной информацией восстановления в ID-файле. При этой операции ID также помечается как ID, который необходимо послать в безопасное хранилище резервных копий ID. За дополнительной информацией о том, как восстановление ID связано с ID, защищенными смарт-картами, обращайтесь к разделу 4.5, "Соображения и предупреждения".