PKCS#11 (Cryptoki) hè un standard sviluppatu da RSA Laboratories per l'interazzione di prugrammi cù tokens criptografici, smart cards è altri dispositi simili chì utilizanu una interfaccia di prugrammazione unificata chì hè implementata attraversu e librerie.
U standard PKCS#11 per a criptografia russa hè sustinutu da u cumitatu tecnicu per a standardizazione "Protezzione di l'Informazione Criptografica" ().
Se parlemu di tokens cù supportu per a criptografia russa, allora pudemu parlà di tokens di software, tokens di software è hardware è tokens di hardware.
I tokens criptografici furniscenu l'almacenamiento di certificati è coppie di chjave (chjavi pubbliche è private) è a prestazione di operazioni criptografiche in cunfurmità cù u standard PKCS#11. U ligame debule quì hè u almacenamiento di a chjave privata. Se a chjave publica hè persa, allora pò sempre esse restaurata cù a chjave privata o presa da u certificatu. A perdita / distruzzione di una chjave privata hà cunsiquenzi tristi, per esempiu, ùn puderà micca decriptà i fugliali criptati cù a vostra chjave publica, ùn puderà micca mette una firma elettronica (ES). Per generà un ES, avete bisognu di generà una nova coppia di chjave è uttene un novu certificatu in unu di i centri di certificazione per una certa quantità di soldi.
Sopra avemu citatu software, software-hardware è tokens hardware. Ma pudete cunsiderà un altru tipu di token criptograficu - un nuvola.
Oghje ùn sorprenderete à nimu ... Tutti L'unità flash di nuvola sò quasi unu à unu inherente à u token di nuvola.
A cosa principale quì hè a sicurità di e dati guardati in u token di nuvola, principarmenti chjave privati. Questu token di nuvola pò furnisce? Dicemu SI !
E allora cumu funziona u token di nuvola? U primu passu hè di registrà u cliente in u token cloud. Per fà questu, deve esse furnita una utilità chì vi permette di accede à u nuvulu è registrà u vostru login / nickname in questu:
Dopu avè registratu in u nuvulu, l'utilizatore deve inizializà u so token, vale à dì, stabilisce l'etichetta di u token è, più impurtante, stabilisce i codici SO-PIN è PIN d'utilizatore. Queste operazioni devenu esse realizate solu nantu à un canale sicuru / criptatu. L'utilità pk11conf hè aduprata per inizializà u token. Per criptà u canali, hè prupostu di utilizà un algoritmu di criptografia Magma-CTR (GOST R 34.13-2015).
Per sviluppà una chjave d'accordu, nantu à a basa di quale u trafficu trà u cliente è u servitore serà prutettu / criptatu, hè prupostu di utilizà u protocolu cunsigliatu da TC 26 - .
Cum'è una password, nantu à a basa di quale a chjave sparta serà generata, hè pruposta di utilizà . Siccomu parlemu di a criptografia russa, hè naturali di generà password una volta utilizendu miccanismi CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC o CKM_GOSTR3411_HMAC.
L'usu di stu mecanismu assicura chì l'accessu à l'oggetti token persunali in u nuvulu via SO è PIN di USER hè dispunibule solu per l'utilizatore chì l'hà stallatu cù l'utilità. pk11conf.
Tuttu, dopu à compie sti passi, u token di nuvola hè pronta per l'usu. Per accede à u token di nuvola, hè abbastanza per installà a biblioteca LS11CLOUD in u PC. Quandu si usa un token di nuvola in applicazioni nantu à e piattaforme Android è iOS, u SDK currispundente hè furnitu. Hè sta libreria chì serà indicata quandu cunnette u token di nuvola in u navigatore Redfox o scrittu in u schedariu pkcs11.txt per. A biblioteca LS11CLOUD interagisce ancu cù u token in u nuvulu via un canale sicuru basatu in SESPAKE, creatu chjamendu u PKCS#11 C_Initialize!
Hè tuttu, avà pudete urdinà un certificatu, installate in u vostru token di nuvola è andate à u > situ web di i servizii di u guvernu.
Source: www.habr.com