PKCS#11 (Cryptoki) is 'n standaard wat deur RSA Laboratories ontwikkel is vir die interaksie van programme met kriptografiese tekens, slimkaarte en ander soortgelyke toestelle met behulp van 'n verenigde programmeringskoppelvlak wat deur biblioteke geïmplementeer word.
Die PKCS#11-standaard vir Russiese kriptografie word ondersteun deur die tegniese komitee vir standaardisering "Kryptografiese inligtingbeskerming" ().
As ons praat oor tokens met ondersteuning vir Russiese kriptografie, dan kan ons praat oor sagteware-tokens, sagteware en hardeware-tokens en hardeware-tokens.
Kriptografiese tokens bied beide die berging van sertifikate en sleutelpare (openbare en private sleutels) en die uitvoering van kriptografiese bewerkings in ooreenstemming met die PKCS#11-standaard. Die swak skakel hier is die berging van die private sleutel. As die publieke sleutel verlore raak, kan dit altyd met die private sleutel herstel word of uit die sertifikaat geneem word. Die verlies/vernietiging van 'n private sleutel het hartseer gevolge, byvoorbeeld, jy sal nie lêers kan dekripteer wat met jou publieke sleutel geënkripteer is nie, jy sal nie 'n elektroniese handtekening (ES) kan plaas nie. Om 'n ES te genereer, sal jy 'n nuwe sleutelpaar moet genereer en 'n nuwe sertifikaat by een van die sertifiseringsentrums vir 'n sekere bedrag geld moet kry.
Hierbo het ons sagteware, sagteware-hardeware en hardeware-tokens genoem. Maar jy kan 'n ander soort kriptografiese teken oorweeg - 'n wolk een.
Vandag sal jy niemand verras nie . alle wolk flash drives is amper een tot een inherent aan die wolk token.
Die belangrikste ding hier is die sekuriteit van die data wat in die wolktoken gestoor word, hoofsaaklik private sleutels. Kan hierdie wolktoken voorsien? Ons sê JA!
En so, hoe werk die wolktoken? Die eerste stap is om die kliënt in die token-wolk te registreer. Om dit te doen, moet 'n hulpprogram verskaf word wat jou toelaat om toegang tot die wolk te kry en jou aanmelding / bynaam daarin te registreer:
Nadat hy in die wolk geregistreer het, moet die gebruiker sy teken inisialiseer, naamlik die tekenetiket stel en, bowenal, die SO-PIN en gebruiker-PIN-kodes stel. Hierdie bewerkings moet slegs oor 'n veilige/geïnkripteer kanaal uitgevoer word. Die pk11conf-nutsding word gebruik om die teken te inisialiseer. Om die kanaal te enkripteer, word voorgestel om 'n enkripsie-algoritme te gebruik Magma-CTR (GOST R 34.13-2015).
Om 'n ooreengekome sleutel te ontwikkel, op grond waarvan die verkeer tussen die kliënt en die bediener beskerm / geïnkripteer sal word, word voorgestel om die protokol te gebruik wat deur TC 26 aanbeveel word. - .
As 'n wagwoord, op grond waarvan die gedeelde sleutel gegenereer sal word, word dit voorgestel om te gebruik . Aangesien ons oor Russiese kriptografie praat, is dit natuurlik om eenmalige wagwoorde met behulp van meganismes te genereer CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC of CKM_GOSTR3411_HMAC.
Die gebruik van hierdie meganisme verseker dat toegang tot persoonlike token-voorwerpe in die wolk via SO- en GEBRUIKER-PIN's slegs beskikbaar is vir die gebruiker wat dit met die hulpprogram geïnstalleer het. pk11conf.
Alles, nadat u hierdie stappe voltooi het, is die wolktoken gereed vir gebruik. Om toegang tot die wolktoken te kry, is dit genoeg om die LS11CLOUD-biblioteek op die rekenaar te installeer. Wanneer 'n wolktoken in toepassings op Android- en iOS-platforms gebruik word, word die ooreenstemmende SDK verskaf. Dit is hierdie biblioteek wat aangedui sal word wanneer die wolktoken in die Redfox-blaaier verbind word of in die pkcs11.txt-lêer vir geskryf word. Die LS11CLOUD-biblioteek is ook in wisselwerking met die teken in die wolk via 'n veilige kanaal gebaseer op SESPAKE, geskep deur die PKCS#11 C_Initialize!
Dit is al, nou kan jy 'n sertifikaat bestel, dit in jou wolktoken installeer en na die > regeringsdienste-webwerf gaan.
Bron: will.com