PKCS#11 (Cryptoki) és un estàndard desenvolupat per RSA Laboratories per a la interacció de programes amb fitxes criptogràfiques, targetes intel·ligents i altres dispositius similars mitjançant una interfície de programació unificada que s'implementa mitjançant biblioteques.
L'estàndard PKCS#11 per a la criptografia russa compta amb el suport del comitè tècnic d'estandardització "Protecció de la informació criptogràfica" ().
Si parlem de fitxes amb suport per a la criptografia russa, podem parlar de fitxes de programari, fitxes de programari i maquinari i fitxes de maquinari.
Els testimonis criptogràfics proporcionen tant l'emmagatzematge de certificats i parells de claus (claus públiques i privades) com la realització d'operacions criptogràfiques d'acord amb l'estàndard PKCS#11. L'enllaç feble aquí és l'emmagatzematge de la clau privada. Si es perd la clau pública, sempre es pot restaurar utilitzant la clau privada o extreta del certificat. La pèrdua/destrucció d'una clau privada té conseqüències tristos, per exemple, no podreu desxifrar fitxers xifrats amb la vostra clau pública, no podreu posar una signatura electrònica (ES). Per generar un ES, haureu de generar un nou parell de claus i obtenir un nou certificat en un dels centres de certificació per una determinada quantitat de diners.
Més amunt hem esmentat programari, programari-maquinari i fitxes de maquinari. Però podeu considerar un altre tipus de testimoni criptogràfic: un de núvol.
Avui no sorprendràs a ningú ... Tots Les unitats flash del núvol són gairebé inherents al testimoni del núvol.
El més important aquí és la seguretat de les dades emmagatzemades al testimoni del núvol, principalment les claus privades. Pot proporcionar aquest testimoni de núvol? Nosaltres diem SÍ!
I llavors, com funciona el testimoni del núvol? El primer pas és registrar el client al núvol de testimoni. Per fer-ho, s'ha de proporcionar una utilitat que us permeti accedir al núvol i registrar-hi el vostre inici de sessió/àlies:
Després de registrar-se al núvol, l'usuari ha d'inicialitzar el seu token, és a dir, establir l'etiqueta del token i, el més important, establir el SO-PIN i els codis PIN de l'usuari. Aquestes operacions només s'han de dur a terme a través d'un canal segur/xifrat. La utilitat pk11conf s'utilitza per inicialitzar el testimoni. Per xifrar el canal, es proposa utilitzar un algorisme de xifratge Magma-CTR (GOST R 34.13-2015).
Per desenvolupar una clau acordada, sobre la base de la qual es protegirà / xifrarà el trànsit entre el client i el servidor, es proposa utilitzar el protocol recomanat pel TC 26 - .
Com a contrasenya, a partir de la qual es generarà la clau compartida, es proposa utilitzar-la . Com que estem parlant de criptografia russa, és natural generar contrasenyes d'una sola vegada mitjançant mecanismes CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC o CKM_GOSTR3411_HMAC.
L'ús d'aquest mecanisme garanteix que l'accés als objectes testimonis personals al núvol mitjançant SO i PIN d'USUARI només estigui disponible per a l'usuari que els ha instal·lat mitjançant la utilitat. pk11conf.
Tot, després de completar aquests passos, el testimoni del núvol està llest per utilitzar-lo. Per accedir al testimoni del núvol, n'hi ha prou amb instal·lar la biblioteca LS11CLOUD a l'ordinador. Quan s'utilitza un testimoni de núvol en aplicacions de plataformes Android i iOS, es proporciona l'SDK corresponent. És aquesta biblioteca la que s'indicarà en connectar el testimoni del núvol al navegador Redfox o escrit al fitxer pkcs11.txt per. La biblioteca LS11CLOUD també interactua amb el testimoni al núvol mitjançant un canal segur basat en SESPAKE, creat cridant al PKCS#11 C_Initialize!
Això és tot, ara podeu demanar un certificat, instal·lar-lo al vostre token de núvol i anar al > lloc web de serveis governamentals.
Font: www.habr.com