PKCS#11 (Cryptoki) з'яўляецца стандартам, распрацаваным RSA Laboratories, для ўзаемадзеяння праграм з крыптаграфічнымі токенамі, смарт-картамі і іншымі аналагічнымі прыладамі з дапамогай уніфікаванага праграмнага інтэрфейсу, які рэалізуецца праз бібліятэкі.
Падтрымкай стандарту PKCS#11 для расійскай крыптаграфіі займаецца тэхнічны камітэт па стандартызацыі "Крыптаграфічная абарона інфармацыі" ().
Калі казаць пра токены з падтрымкай расійскай крыптаграфіі, то можна казаць аб праграмных токена, праграмна-апаратных токена і апаратна токена.
Крыптаграфічныя токены забяспечваюць як захоўванне сертыфікатаў і ключавых пар (адкрытага і зачыненага ключа), так і выкананне крыптаграфічных аперацый з адпаведнасці са стандартам PKCS#11. Слабым звяном тут з'яўляецца захоўванне зачыненага ключа. Калі знік адкрыты ключ, тое яго заўсёды можна аднавіць па зачыненым ключы або ўзяць з сертыфіката. Згуба/знішчэнне зачыненага ключа мае сумныя наступствы, напрыклад, вы не зможаце расшыфраваць зашыфраваныя на вашым адчыненым ключы файлы, не зможаце паставіць электронны подпіс (ЭП). Для фармавання ЭП вам запатрабуецца згенераваць новую ключавую пару і за вызначаныя грошы атрымаць новы сертыфікат на адным з якія сведчаць цэнтраў.
Вышэй мы згадвалі праграмныя, праграмна-апаратныя і апаратныя токены. Але можна разглядаць яшчэ адзін від крыптаграфічнага токена - хмарны.
Сёння ўжо нікога не здзівіш . усе хмарнай флэшкі практычна адзін у адзін ўласцівыя і хмарнаму токену.
Галоўнае тут бяспека захоўваемых у хмарным токене дадзеных, перш за ўсё, закрытых ключоў. Ці можа гэта хмарны токен забяспечыць? Мы кажам - ТАК!
І бо працуе хмарны токен? Першым крокам з'яўляецца рэгістрацыя кліента ў воблаку токенаў. Для гэтага павінна быць прадугледжана ўтыліта, якая дазваляе атрымаць доступ да воблака, і зарэгістраваць у ім свой лагін/nickname:
Пасля рэгістрацыі ў воблаку карыстач павінен праініцыялізаваць свой токен, а менавіта ўсталяваць пазнаку токена і найважнейшае ўсталяваць SO-PIN і карыстацкі PIN-коды. Гэтыя аперацыі павінны праводзіцца толькі па абароненым/шыфраваным канале. Для ініцыялізацыі токена выкарыстоўваецца ўтыліта pk11conf. Для шыфравання канала прапануецца выкарыстоўваць алгарытм шыфравання Магма-CTR (ДАСТ Р 34.13-2015).
Для выпрацоўкі ўзгодненага ключа, на аснове якога будзе абараняцца/шыфравацца трафік паміж кліентам і серверам, прапануецца выкарыстоўваць рэкамендаваны ТК 26 пратакол - .
У якасці пароля, на аснове якога будзе выпрацоўвацца агульны ключ, прапануецца выкарыстоўваць . Паколькі мы гаворым пра расійскую крыптаграфію, то, натуральна, генераваць аднаразовыя паролі з выкарыстаннем механізмаў. CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC або CKM_GOSTR3411_HMAC.
Выкарыстанне дадзенага механізму гарантуе, што доступ да аб'ектаў персанальнага токена ў воблаку праз SO і USER PIN-коды даступны толькі карыстачу, які іх усталяваў з дапамогай утыліты. pk11conf.
Усё, пасля выканання гэтых дзеянняў, хмарны токен гатовы да выкарыстання. Для доступу ў хмарнаму токену дастаткова ўсталяваць на PC бібліятэку LS11CLOUD. Пры выкарыстанні хмарнага токена ў дадатках на платформах Android і iOS прадугледжваецца адпаведнае SDK. Менавіта гэтая бібліятэка будзе паказвацца пры падлучэнні хмарнага токена ў браўзэры Redfox або прапісвацца ў файле pkcs11.txt для. Бібліятэка LS11CLOUD узаемадзейнічае з токенам у воблаку таксама па абароненым канале на базе SESPAKE, які ствараецца пры выкліку функцыі PKCS#11 C_Initialize!
Вось і ўсё, зараз можна заказваць сертыфікат, усталёўваць яго ў свой хмарны токен і ісці на сайт дзяржпаслуг.
Крыніца: habr.com