Stai provando a fare autorizzazione con un dispositivo fisico destinato a autenticazione . Questo funziona raramente.
Una smart card viene utilizzata per autenticare l'utente, in quanto contiene una chiave privata che rimane in uso esclusivo del proprietario. Il certificato è un metodo mediante il quale viene distribuito il collegamento tra la chiave pubblica e l'identità del proprietario; è firmato da un'autorità di certificazione in modo che il supporto fisico con cui vengono trasferite le informazioni sul collegamento non sia rilevante; e, in pratica, il certificato viene anche memorizzato sulla carta perché il certificato è più utile quando viene utilizzata la carta, quindi è una bella collocazione. Tuttavia, il certificato potrebbe anche essere distribuito attraverso altri mezzi, ad es. un grande server LDAP pubblico (storicamente, i certificati X.509 erano progettati per essere distribuiti in quel modo).
Nessuno di questi dice a nessuno cosa può fare un proprietario di chiave; dà solo una certa garanzia sull'identità di quella persona (non "cosa", ma "chi").
In un determinato sistema, una volta accertata l'identità del richiedente (che è la parte di autenticazione), è necessario decidere se la richiesta ricevuta debba essere concessa. Questa seconda parte è chiamata autorizzazione . I punti veramente importanti qui sono i seguenti:
- Le informazioni di autorizzazione devono essere suscettibili di modifiche veloci, con una granularità più breve rispetto alle tipiche ore di latenza di revoca del certificato.
- Le informazioni di autorizzazione non sono necessariamente definite dalle stesse persone / entità che verificano le identità; Ad esempio, il lavoro della CA non include naturalmente la gestione dei diritti.
- Le informazioni di autorizzazione sono talvolta negative, quindi un proprietario di chiavi potrebbe non essere necessariamente considerato affidabile per il trasporto delle informazioni che si qualificano (poiché il proprietario della chiave può omettere un "file di diritti" che lo identifica come un individuo indesiderabile).
Per questi motivi, quello che stai cercando di fare sembra una cattiva idea. Tuttavia, essere cattivo non ha mai impedito che un'idea fosse standardizzata . Non ho mai visto una situazione in cui i "certificati di attributo" sono stati davvero utilizzati, comunque.
Su un piano più incidentale, le normali smart card non possono incorporare molti dati pubblici. Un certificato da 2 kB è OK, ma un file Word da 300 kB non andrà bene.