Я пытаюсь понять, как аутентификация сертификата клиента работает со смарт-картами.Проверка подлинности сертификата клиента: как работают смарт-карты?
Я читал о настройке apache для аутентификации пользователей сертификатом, есть много обучающих онлайн, например this one.
Насколько я понимаю, после того, как сертификат был импортирован, любой, кто может получить доступ к компьютеру, может запустить браузер и использовать его, таким образом, в сценарии нескольких пользователей, имеющих одну и ту же учетную запись (или злоумышленника, имеющего физический доступ к компьютеру и возможность входа в систему), пользователь не может быть аутентифицирован однозначно. Чтобы избежать такой проблемы, когда общая учетная запись включена, я могу попытаться не хранить сертификат в браузере.
В настоящее время существует несколько жетонов USB, которые могут иметь сертификаты внутри, которые могут использоваться для проверки подлинности сертификата клиента на веб-сайтах. Вот мой вопрос о таких устройствах:
- , импортировав сертификат в качестве физического устройства, разрешит ли браузер использовать сертификат при импорте?
- Что произойдет, если сертификат имеет контакт? Происходит ли браузер запрашивать контакт при каждом запуске?
- Могу ли я быть уверенным, что сертификат не может быть извлечен из устройства чтения токенов/смарт-карт? Поэтому, если маркер не украден, могу ли я быть уверенным, что сертификат нельзя клонировать?
Просто уточнить: сертификат является открытым ключом, возможно, дополнительными атрибутами и сигнатурой, охватывающей эти данные. Так что здесь ничего не секретно, и копии не навредят. Секрет - это соответствующий секретный ключ, и безопасность исходит от применения закрытого ключа (обычно в зависимости от ввода PIN-кода) таким образом, чтобы его можно было проверить с помощью открытого ключа из сертификата.Одной из основных целей смарт-карт является защита секретного ключа от несанкционированного использования, не говоря уже об извлечении. – guidot