Облачен токен PKCS#11 - мит или реалност?

PKCS#11 (Cryptoki) е стандарт, разработен от RSA Laboratories за взаимодействие на програми с криптографски токени, смарт карти и други подобни устройства, използващи унифициран интерфейс за програмиране, който се реализира чрез библиотеки.

Стандартът PKCS#11 за руска криптография се поддържа от техническия комитет по стандартизация "Криптографска защита на информацията" (TC 26).

Ако говорим за токени с поддръжка на руска криптография, тогава можем да говорим за софтуерни токени, софтуерни и хардуерни токени и хардуерни токени.

Криптографските токени осигуряват както съхранението на сертификати и двойки ключове (публични и частни ключове), така и извършването на криптографски операции в съответствие със стандарта PKCS#11. Слабото звено тук е съхранението на частния ключ. Ако публичният ключ бъде изгубен, той винаги може да бъде възстановен с частния ключ или взет от сертификата. Загубата/унищожаването на частен ключ има тъжни последици, например няма да можете да дешифрирате файлове, криптирани с вашия публичен ключ, няма да можете да поставите електронен подпис (ES). За да генерирате ES, ще трябва да генерирате нова двойка ключове и да получите нов сертификат в един от центровете за сертифициране срещу определена сума пари.

По-горе споменахме софтуерни, софтуерно-хардуерни и хардуерни токени. Но можете да помислите за друг тип криптографски токен - облачен.

Днес няма да изненадате никого облачно флаш устройство, всички предимства и недостатъци облачните флашки са почти едно към едно присъщи на облачния токен.

Основното нещо тук е сигурността на данните, съхранявани в облачния токен, предимно частните ключове. Може ли този облачен токен да предостави? Ние казваме ДА!

И така, как работи облачният токен? Първата стъпка е да регистрирате клиента в токен облака. За да направите това, трябва да бъде осигурена помощна програма, която ви позволява да получите достъп до облака и да регистрирате вашето вход / псевдоним в него:


След като се регистрира в облака, потребителят трябва да инициализира своя токен, а именно да зададе етикета на токена и, най-важното, да зададе SO-PIN и потребителския ПИН код. Тези операции трябва да се извършват само през защитен/криптиран канал. Помощната програма pk11conf се използва за инициализиране на токена. За криптиране на канала се предлага да се използва алгоритъм за криптиране Магма-CTR (ГОСТ Р 34.13-2015).

За разработване на съгласуван ключ, въз основа на който трафикът между клиента и сървъра ще бъде защитен / криптиран, се предлага да се използва протоколът, препоръчан от TC 26 SESPAKE - базиран на парола протокол за генериране на предварително споделен ключ.

Като парола, въз основа на която ще се генерира споделеният ключ, се предлага да се използва механизъм за еднократна парола. Тъй като говорим за руска криптография, естествено е да генерираме еднократни пароли с помощта на механизми CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC или CKM_GOSTR3411_HMAC.

Използването на този механизъм гарантира, че достъпът до персонални токен обекти в облака чрез SO и USER PIN е достъпен само за потребителя, който ги е инсталирал с помощта на помощната програма pk11conf.

Всичко, след като изпълните тези стъпки, облачният токен е готов за използване. За достъп до облачния токен е достатъчно да инсталирате библиотеката LS11CLOUD на компютъра. При използване на облачен токен в приложения на платформи Android и iOS се предоставя съответният SDK. Именно тази библиотека ще бъде посочена при свързване на облачния токен в браузъра Redfox или записана във файла pkcs11.txt за. Библиотеката LS11CLOUD също взаимодейства с токена в облака чрез защитен канал, базиран на SESPAKE, създаден чрез извикване на PKCS#11 C_Initialize!

Това е всичко, сега можете да поръчате сертификат, да го инсталирате във вашия облачен токен и да отидете на > уебсайта за държавни услуги.

Източник: www.habr.com