PKCS#11 (Cryptoki) je standard vyvinutý společností RSA Laboratories pro interakci programů s kryptografickými tokeny, čipovými kartami a dalšími podobnými zařízeními pomocí jednotného programovacího rozhraní, které je implementováno prostřednictvím knihoven.
Standard PKCS#11 pro ruskou kryptografii je podporován technickou komisí pro standardizaci „Cryptographic Information Protection“ ().
Pokud mluvíme o tokenech s podporou ruské kryptografie, pak můžeme mluvit o softwarových tokenech, softwarových a hardwarových tokenech a hardwarových tokenech.
Kryptografické tokeny zajišťují jak ukládání certifikátů a párů klíčů (veřejné a soukromé klíče), tak provádění kryptografických operací v souladu se standardem PKCS#11. Slabým článkem je zde uložení soukromého klíče. Pokud dojde ke ztrátě veřejného klíče, lze jej vždy obnovit pomocí soukromého klíče nebo odebrat z certifikátu. Ztráta/zničení soukromého klíče má smutné důsledky, například nebudete moci dešifrovat soubory zašifrované vaším veřejným klíčem, nebudete moci vložit elektronický podpis (ES). Chcete-li vygenerovat ES, budete muset vygenerovat nový pár klíčů a získat nový certifikát v jednom z certifikačních center za určitou částku.
Výše jsme zmínili softwarové, softwarově-hardwarové a hardwarové tokeny. Můžete ale zvážit jiný typ kryptografického tokenu – cloudový.
Dnes už nikoho nepřekvapíte , vše cloudové flash disky jsou téměř jedna ku jedné nedílnou součástí cloudového tokenu.
Hlavní je zde zabezpečení dat uložených v cloudovém tokenu, především soukromých klíčů. Může tento cloudový token poskytnout? My říkáme ANO!
A jak tedy cloudový token funguje? Prvním krokem je registrace klienta v cloudu tokenů. Chcete-li to provést, měl by být poskytnut nástroj, který vám umožní přístup ke cloudu a registraci přihlašovacího jména / přezdívky:
Po registraci do cloudu musí uživatel svůj token inicializovat, a to nastavit štítek tokenu a hlavně nastavit SO-PIN a uživatelský PIN kód. Tyto operace by měly být prováděny pouze přes zabezpečený/šifrovaný kanál. K inicializaci tokenu se používá obslužný program pk11conf. Pro šifrování kanálu se navrhuje použít šifrovací algoritmus Magma-CTR (GOST R 34.13-2015).
Pro vývoj dohodnutého klíče, na jehož základě bude provoz mezi klientem a serverem chráněn/šifrován, se navrhuje použít protokol doporučený TC 26 - .
Jako heslo, na jehož základě bude sdílený klíč generován, se navrhuje použít . Vzhledem k tomu, že mluvíme o ruské kryptografii, je přirozené generovat jednorázová hesla pomocí mechanismů CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC nebo CKM_GOSTR3411_HMAC.
Použití tohoto mechanismu zajišťuje, že přístup k objektům osobních tokenů v cloudu prostřednictvím SO a USER PIN je dostupný pouze uživateli, který je nainstaloval pomocí utility. pk11conf.
Vše, po dokončení těchto kroků je cloudový token připraven k použití. Pro přístup ke cloudovému tokenu stačí nainstalovat knihovnu LS11CLOUD na PC. Při použití cloudového tokenu v aplikacích na platformách Android a iOS je k dispozici odpovídající SDK. Právě tato knihovna bude uvedena při připojení cloudového tokenu v prohlížeči Redfox nebo zapsána do souboru pkcs11.txt pro. Knihovna LS11CLOUD také spolupracuje s tokenem v cloudu prostřednictvím zabezpečeného kanálu založeného na SESPAKE, který byl vytvořen voláním PKCS#11 C_Initialize!
To je vše, nyní si můžete objednat certifikát, nainstalovat jej do cloudového tokenu a přejít na web > vládních služeb.
Zdroj: www.habr.com