PKCS#11 (Cryptoki) ist ein von RSA Laboratories entwickelter Standard für die Interoperabilität zwischen Programmen und kryptografischen Token, Smartcards und anderen ähnlichen Geräten unter Verwendung einer einheitlichen, über Bibliotheken implementierten Softwareschnittstelle.
Der PKCS#11-Standard für russische Kryptographie wird vom technischen Komitee für Standardisierung „Kryptographischer Schutz von Informationen“ ().
Wenn wir über Token mit Unterstützung für russische Kryptografie sprechen, können wir über Software-Token, Software-Hardware-Token und Hardware-Token sprechen.
Kryptografische Token ermöglichen sowohl die Speicherung von Zertifikaten und Schlüsselpaaren (öffentliche und private Schlüssel) als auch die Ausführung kryptografischer Operationen gemäß dem PKCS#11-Standard. Die Schwachstelle ist hierbei die Speicherung des privaten Schlüssels. Bei Verlust des öffentlichen Schlüssels kann dieser jederzeit mit dem privaten Schlüssel wiederhergestellt oder aus dem Zertifikat entnommen werden. Der Verlust/die Zerstörung eines privaten Schlüssels hat schwerwiegende Folgen. Beispielsweise können Sie mit Ihrem öffentlichen Schlüssel verschlüsselte Dateien nicht mehr entschlüsseln oder eine elektronische Signatur (ES) anbringen. Um ein EP zu erstellen, müssen Sie ein neues Schlüsselpaar generieren und gegen einen bestimmten Betrag ein neues Zertifikat von einer der Zertifizierungsstellen erhalten.
Oben haben wir Software, Software-Hardware und Hardware-Token erwähnt. Wir können jedoch eine andere Art von kryptografischem Token in Betracht ziehen – ein Cloud-Token.
Heute kann man niemanden mehr überraschen . Alle Der Cloud-Stick ist nahezu identisch mit dem Cloud-Token.
Dabei geht es vor allem um die Sicherheit der im Cloud-Token gespeicherten Daten, vor allem der privaten Schlüssel. Kann ein Cloud-Token dies bereitstellen? Wir sagen JA!
Wie funktioniert also ein Cloud-Token? Der erste Schritt besteht darin, den Client in der Token-Cloud zu registrieren. Dazu muss es ein Dienstprogramm geben, mit dem Sie auf die Cloud zugreifen und Ihren Login/Spitznamen darin registrieren können:
Nach der Registrierung in der Cloud muss der Benutzer seinen Token initialisieren, d. h. das Token-Label festlegen und vor allem die SO-PIN und die Benutzer-PIN-Codes festlegen. Diese Vorgänge dürfen nur über einen sicheren/verschlüsselten Kanal ausgeführt werden. Zum Initialisieren des Tokens wird das Dienstprogramm pk11conf verwendet. Es wird vorgeschlagen, zur Verschlüsselung des Kanals einen Verschlüsselungsalgorithmus zu verwenden. Magma-CTR (GOST R 34.13-2015).
Um einen vereinbarten Schlüssel zu generieren, auf dessen Grundlage der Verkehr zwischen Client und Server geschützt/verschlüsselt wird, wird vorgeschlagen, das von TC 26 empfohlene Protokoll zu verwenden. - .
Es wird vorgeschlagen, als Passwort zu verwenden, auf dessen Grundlage der gemeinsame Schlüssel generiert wird . Da es sich um russische Kryptographie handelt, ist es selbstverständlich, Einmalpasswörter mithilfe von Mechanismen zu generieren CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC oder CKM_GOSTR3411_HMAC.
Durch die Verwendung dieses Mechanismus wird sichergestellt, dass der Zugriff auf persönliche Token-Objekte in der Cloud über SO- und USER-PIN-Codes nur dem Benutzer möglich ist, der sie mithilfe des Dienstprogramms installiert hat. pk11conf.
Sobald Sie diese Schritte abgeschlossen haben, ist Ihr Cloud-Token einsatzbereit. Um auf Ihren Cloud-Token zuzugreifen, installieren Sie einfach die LS11CLOUD-Bibliothek auf Ihrem PC. Bei der Verwendung Ihres Cloud-Tokens in Anwendungen auf Plattformen Android Für iOS und iOS 2 wird ein entsprechendes SDK bereitgestellt. Diese Bibliothek wird beim Verbinden eines Cloud-Tokens im Redfox-Browser oder in der Datei pkcs11.txt angegeben. Die LS11CLOUD-Bibliothek kommuniziert außerdem über einen sicheren, SESPAKE-basierten Kanal mit dem Cloud-Token, der beim Aufruf der PKCS#11-Funktion C_Initialize erstellt wird.
Das war's, jetzt können Sie ein Zertifikat bestellen, es in Ihrem Cloud-Token installieren und auf die Website der Behörden gehen.
Source: habr.com
