PKCS#11 (Cryptoki) kitabxanalar vasitəsilə həyata keçirilən vahid proqramlaşdırma interfeysindən istifadə edərək proqramların kriptoqrafik tokenlər, smart kartlar və digər oxşar cihazlarla qarşılıqlı əlaqəsi üçün RSA Laboratories tərəfindən hazırlanmış standartdır.
Rus kriptoqrafiyası üçün PKCS#11 standartı "Kriptoqrafik məlumatların qorunması" standartlaşdırma üzrə texniki komitə tərəfindən dəstəklənir ().
Rus kriptoqrafiyasını dəstəkləyən tokenlərdən danışırıqsa, o zaman proqram tokenləri, proqram təminatı və hardware tokenləri və hardware tokenləri haqqında danışa bilərik.
Kriptoqrafik tokenlər həm sertifikatların və açar cütlərinin (ictimai və gizli açarlar) saxlanmasını, həm də PKCS#11 standartına uyğun olaraq kriptoqrafik əməliyyatların icrasını təmin edir. Buradakı zəif əlaqə şəxsi açarın saxlanmasıdır. Açıq açar itirildikdə, o, həmişə şəxsi açardan istifadə edərək bərpa edilə və ya sertifikatdan götürülə bilər. Şəxsi açarın itirilməsi/dağıdılması kədərli nəticələrə malikdir, məsələn, siz açıq açarınızla şifrələnmiş faylların şifrəsini aça bilməyəcəksiniz, elektron imza (ES) qoya bilməyəcəksiniz. ES yaratmaq üçün yeni açar cütü yaratmalı və müəyyən məbləğdə pul müqabilində sertifikatlaşdırma mərkəzlərindən birində yeni sertifikat almalı olacaqsınız.
Yuxarıda proqram, proqram-texniki və hardware tokenlərini qeyd etdik. Ancaq başqa bir kriptoqrafik tokeni - buludları nəzərdən keçirə bilərsiniz.
Bu gün heç kəsi təəccübləndirməyəcəksiniz ... Hər şey bulud flash sürücüləri bulud işarəsinə xas olan demək olar ki, birdir.
Burada əsas şey bulud tokenində saxlanılan məlumatların, ilk növbədə şəxsi açarların təhlükəsizliyidir. Bu bulud nişanı təmin edə bilərmi? Bəli deyirik!
Beləliklə, bulud tokeni necə işləyir? İlk addım müştərini token buludunda qeydiyyatdan keçirməkdir. Bunu etmək üçün, buluda daxil olmaq və giriş / ləqəbinizi qeydiyyatdan keçirməyə imkan verən bir yardım proqramı təqdim edilməlidir:
Buludda qeydiyyatdan keçdikdən sonra istifadəçi öz tokenini işə salmalıdır, daha doğrusu, token etiketini təyin etməli və ən əsası SO-PIN və istifadəçi PİN kodlarını təyin etməlidir. Bu əməliyyatlar yalnız təhlükəsiz/şifrələnmiş kanal üzərində aparılmalıdır. Tokeni işə salmaq üçün pk11conf yardım proqramı istifadə olunur. Kanalı şifrələmək üçün şifrələmə alqoritmindən istifadə etmək təklif olunur Magma-CTR (GOST R 34.13-2015).
Müştəri və server arasındakı trafikin qorunacağı / şifrələnəcəyi razılaşdırılmış bir açar hazırlamaq üçün TC 26 tərəfindən tövsiyə olunan protokoldan istifadə etmək təklif olunur. - .
Paylaşılan açarın yaradılacağı parol kimi istifadə edilməsi təklif olunur . Söhbət rus kriptoqrafiyasından getdiyi üçün mexanizmlərdən istifadə edərək birdəfəlik parolların yaradılması təbiidir CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC və ya CKM_GOSTR3411_HMAC.
Bu mexanizmin istifadəsi SO və İSTİFADƏÇİ PİN-ləri vasitəsilə buluddakı şəxsi token obyektlərinə girişin yalnız yardım proqramından istifadə edərək onları quraşdırmış istifadəçi üçün əlçatan olmasını təmin edir. pk11conf.
Hər şey, bu addımları tamamladıqdan sonra bulud tokeni istifadəyə hazırdır. Bulud nişanına daxil olmaq üçün PC-də LS11CLOUD kitabxanasını quraşdırmaq kifayətdir. Android və iOS platformalarında tətbiqlərdə bulud nişanından istifadə edərkən müvafiq SDK təmin edilir. Redfox brauzerində bulud işarəsini birləşdirərkən və ya pkcs11.txt faylında yazılan bu kitabxanadır. LS11CLOUD kitabxanası həmçinin PKCS#11 C_Initialize!
Hamısı budur, indi siz sertifikat sifariş edə, onu bulud nişanınıza quraşdıra və > dövlət xidmətlərinin veb saytına daxil ola bilərsiniz.
Mənbə: www.habr.com