PKCS#11 (Cryptoki) er en standard udviklet af RSA Laboratories til interaktion mellem programmer med kryptografiske tokens, smart cards og andre lignende enheder ved hjælp af en samlet programmeringsgrænseflade, der implementeres gennem biblioteker.
PKCS#11-standarden for russisk kryptografi understøttes af den tekniske komité for standardisering "Cryptographic Information Protection" ().
Hvis vi taler om tokens med understøttelse af russisk kryptografi, så kan vi tale om software-tokens, software- og hardware-tokens og hardware-tokens.
Kryptografiske tokens giver både lagring af certifikater og nøglepar (offentlige og private nøgler) og udførelsen af kryptografiske operationer i overensstemmelse med PKCS#11-standarden. Det svage led her er opbevaringen af den private nøgle. Hvis den offentlige nøgle går tabt, kan den altid gendannes ved hjælp af den private nøgle eller tages fra certifikatet. Tabet/ødelæggelsen af en privat nøgle har triste konsekvenser, for eksempel vil du ikke kunne dekryptere filer krypteret med din offentlige nøgle, du vil ikke kunne sætte en elektronisk signatur (ES). For at generere et ES skal du generere et nyt nøglepar og få et nyt certifikat på et af certificeringscentrene for en vis sum penge.
Ovenfor nævnte vi software, software-hardware og hardware-tokens. Men du kan overveje en anden type kryptografisk token - en sky.
I dag vil du ikke overraske nogen . Alle cloud-flashdrev er næsten én til én iboende i sky-tokenet.
Det vigtigste her er sikkerheden for de data, der er gemt i cloud-tokenet, primært private nøgler. Kan dette cloud-token levere? Vi siger JA!
Og hvordan fungerer cloud-tokenet så? Det første trin er at registrere klienten i token-skyen. For at gøre dette skal der stilles et værktøj til rådighed, der giver dig adgang til skyen og registrere dit login / kaldenavn i den:
Efter registrering i skyen skal brugeren initialisere sit token, nemlig indstille token-etiketten og, vigtigst af alt, indstille SO-PIN og bruger-PIN-koder. Disse handlinger bør kun udføres over en sikker/krypteret kanal. Pk11conf-værktøjet bruges til at initialisere tokenet. For at kryptere kanalen foreslås det at bruge en krypteringsalgoritme Magma-CTR (GOST R 34.13-2015).
For at udvikle en aftalt nøgle, på grundlag af hvilken trafikken mellem klienten og serveren vil blive beskyttet / krypteret, foreslås det at bruge protokollen anbefalet af TC 26 — .
Som en adgangskode, på grundlag af hvilken den delte nøgle vil blive genereret, foreslås det at bruge . Da vi taler om russisk kryptografi, er det naturligt at generere engangsadgangskoder ved hjælp af mekanismer CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC eller CKM_GOSTR3411_HMAC.
Brugen af denne mekanisme sikrer, at adgang til personlige token-objekter i skyen via SO- og BRUGER-PIN-koder kun er tilgængelig for den bruger, der installerede dem ved hjælp af hjælpeprogrammet pk11conf.
Alt, efter at have gennemført disse trin, er cloud-tokenet klar til brug. For at få adgang til skytokenet er det nok at installere LS11CLOUD-biblioteket på pc'en. Når du bruger et cloud-token i applikationer på Android- og iOS-platforme, leveres det tilsvarende SDK. Det er dette bibliotek, der vil blive angivet, når sky-tokenet tilsluttes i Redfox-browseren eller skrevet i filen pkcs11.txt til. LS11CLOUD-biblioteket interagerer også med tokenet i skyen via en sikker kanal baseret på SESPAKE, oprettet ved at kalde PKCS#11 C_Initialize!
Det er alt, nu kan du bestille et certifikat, installere det i dit cloud-token og gå til webstedet for offentlige tjenester.
Kilde: www.habr.com