È possibile utilizzare una smart card con certificato PKI per proteggere un documento?

Sì, questo è da quello che posso dire, possibile. In X509 puoi utilizzare il valore SAN (Subject alternative name) per specificare i metadati gratuiti, ad esempio, se è un nome utente, una passphrase, lo chiami.

È ampiamente utilizzato nelle soluzioni aziendali per l'autenticazione personale, può essere integrato con un server SCEP per una maggiore facilità d'uso.

Stai provando a fare autorizzazione con un dispositivo fisico destinato a autenticazione . Questo funziona raramente.

Una smart card viene utilizzata per autenticare l'utente, in quanto contiene una chiave privata che rimane in uso esclusivo del proprietario. Il certificato è un metodo mediante il quale viene distribuito il collegamento tra la chiave pubblica e l'identità del proprietario; è firmato da un'autorità di certificazione in modo che il supporto fisico con cui vengono trasferite le informazioni sul collegamento non sia rilevante; e, in pratica, il certificato viene anche memorizzato sulla carta perché il certificato è più utile quando viene utilizzata la carta, quindi è una bella collocazione. Tuttavia, il certificato potrebbe anche essere distribuito attraverso altri mezzi, ad es. un grande server LDAP pubblico (storicamente, i certificati X.509 erano progettati per essere distribuiti in quel modo).

Nessuno di questi dice a nessuno cosa può fare un proprietario di chiave; dà solo una certa garanzia sull'identità di quella persona (non "cosa", ma "chi").

In un determinato sistema, una volta accertata l'identità del richiedente (che è la parte di autenticazione), è necessario decidere se la richiesta ricevuta debba essere concessa. Questa seconda parte è chiamata autorizzazione . I punti veramente importanti qui sono i seguenti:

• Le informazioni di autorizzazione devono essere suscettibili di modifiche veloci, con una granularità più breve rispetto alle tipiche ore di latenza di revoca del certificato.
• Le informazioni di autorizzazione non sono necessariamente definite dalle stesse persone / entità che verificano le identità; Ad esempio, il lavoro della CA non include naturalmente la gestione dei diritti.
• Le informazioni di autorizzazione sono talvolta negative, quindi un proprietario di chiavi potrebbe non essere necessariamente considerato affidabile per il trasporto delle informazioni che si qualificano (poiché il proprietario della chiave può omettere un "file di diritti" che lo identifica come un individuo indesiderabile).

Per questi motivi, quello che stai cercando di fare sembra una cattiva idea. Tuttavia, essere cattivo non ha mai impedito che un'idea fosse standardizzata . Non ho mai visto una situazione in cui i "certificati di attributo" sono stati davvero utilizzati, comunque.

Su un piano più incidentale, le normali smart card non possono incorporare molti dati pubblici. Un certificato da 2 kB è OK, ma un file Word da 300 kB non andrà bene.

Mi chiedo se mi manca qualcosa, ma perché il file di testo deve risiedere sulla smart card?

Se il tuo obiettivo è fornire la prova dell'autorizzazione dell'utente sotto forma di un documento firmato, chiunque stia "autorizzando" l'utente dovrebbe firmare il file con il loro certificato. (Certo, la loro chiave privata può risiedere su una smart card se è così che viene emessa, ma la smart card non deve essere presentata insieme al file).

Il file firmato può quindi essere trasferito su qualsiasi supporto e la firma viene verificata da chiunque abbia i certificati CA corrispondenti.

Nel tuo scenario, l'utente valutato non ha bisogno di fornire nulla tranne il documento con firma digitale (magari con una foto incorporata, o qualche altro mezzo per dimostrare che si tratta della persona a cui si fa riferimento).