Το PKCS#11 (Cryptoki) είναι ένα πρότυπο που αναπτύχθηκε από την RSA Laboratories για την αλληλεπίδραση προγραμμάτων με κρυπτογραφικά διακριτικά, έξυπνες κάρτες και άλλες παρόμοιες συσκευές χρησιμοποιώντας μια ενοποιημένη διεπαφή προγραμματισμού που υλοποιείται μέσω βιβλιοθηκών.
Το πρότυπο PKCS#11 για τη ρωσική κρυπτογραφία υποστηρίζεται από την τεχνική επιτροπή τυποποίησης "Προστασία κρυπτογραφικών πληροφοριών" ().
Αν μιλάμε για μάρκες με υποστήριξη για ρωσική κρυπτογραφία, τότε μπορούμε να μιλήσουμε για διακριτικά λογισμικού, μάρκες λογισμικού και υλικού και μάρκες υλικού.
Τα κρυπτογραφικά διακριτικά παρέχουν τόσο την αποθήκευση πιστοποιητικών και ζευγών κλειδιών (δημόσια και ιδιωτικά κλειδιά) όσο και την εκτέλεση κρυπτογραφικών λειτουργιών σύμφωνα με το πρότυπο PKCS#11. Ο αδύναμος κρίκος εδώ είναι η αποθήκευση του ιδιωτικού κλειδιού. Εάν χαθεί το δημόσιο κλειδί, τότε μπορεί πάντα να αποκατασταθεί χρησιμοποιώντας το ιδιωτικό κλειδί ή να ληφθεί από το πιστοποιητικό. Η απώλεια/καταστροφή ενός ιδιωτικού κλειδιού έχει θλιβερές συνέπειες, για παράδειγμα, δεν θα μπορείτε να αποκρυπτογραφήσετε αρχεία κρυπτογραφημένα με το δημόσιο κλειδί σας, δεν θα μπορείτε να βάλετε ηλεκτρονική υπογραφή (ES). Για να δημιουργήσετε ένα ES, θα χρειαστεί να δημιουργήσετε ένα νέο ζεύγος κλειδιών και να λάβετε ένα νέο πιστοποιητικό σε ένα από τα κέντρα πιστοποίησης για ένα συγκεκριμένο χρηματικό ποσό.
Παραπάνω αναφέραμε λογισμικό, λογισμικό-υλισμικό και διακριτικά υλικού. Αλλά μπορείτε να εξετάσετε έναν άλλο τύπο κρυπτογραφικού διακριτικού - ένα σύννεφο.
Σήμερα δεν θα εκπλήξεις κανέναν . Ολα Οι μονάδες flash cloud είναι σχεδόν ένα προς ένα εγγενές στο διακριτικό cloud.
Το κύριο πράγμα εδώ είναι η ασφάλεια των δεδομένων που είναι αποθηκευμένα στο διακριτικό cloud, κυρίως των ιδιωτικών κλειδιών. Μπορεί αυτό το διακριτικό cloud να προσφέρει; Λέμε ΝΑΙ!
Και πώς λειτουργεί το διακριτικό σύννεφο; Το πρώτο βήμα είναι η εγγραφή του πελάτη στο token cloud. Για να γίνει αυτό, θα πρέπει να παρέχεται ένα βοηθητικό πρόγραμμα που σας επιτρέπει να έχετε πρόσβαση στο σύννεφο και να καταχωρίσετε τη σύνδεσή σας / το ψευδώνυμό σας σε αυτό:
Αφού εγγραφεί στο cloud, ο χρήστης πρέπει να προετοιμάσει το διακριτικό του, δηλαδή να ορίσει την ετικέτα του διακριτικού και, το πιο σημαντικό, να ορίσει τους κωδικούς SO-PIN και PIN χρήστη. Αυτές οι λειτουργίες θα πρέπει να εκτελούνται μόνο μέσω ασφαλούς/κρυπτογραφημένου καναλιού. Το βοηθητικό πρόγραμμα pk11conf χρησιμοποιείται για την προετοιμασία του διακριτικού. Για την κρυπτογράφηση του καναλιού, προτείνεται η χρήση αλγόριθμου κρυπτογράφησης Magma-CTR (GOST R 34.13-2015).
Για την ανάπτυξη ενός συμφωνημένου κλειδιού, βάσει του οποίου η κίνηση μεταξύ του πελάτη και του διακομιστή θα προστατεύεται / κρυπτογραφείται, προτείνεται η χρήση του πρωτοκόλλου που προτείνει το TC 26 - .
Ως κωδικός πρόσβασης, βάσει του οποίου θα δημιουργηθεί το κοινό κλειδί, προτείνεται να χρησιμοποιηθεί . Εφόσον μιλάμε για ρωσική κρυπτογραφία, είναι φυσικό να δημιουργούμε κωδικούς πρόσβασης μίας χρήσης χρησιμοποιώντας μηχανισμούς CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC ή CKM_GOSTR3411_HMAC.
Η χρήση αυτού του μηχανισμού διασφαλίζει ότι η πρόσβαση σε προσωπικά αντικείμενα διακριτικών στο cloud μέσω SO και USER PIN είναι διαθέσιμη μόνο στον χρήστη που τα εγκατέστησε χρησιμοποιώντας το βοηθητικό πρόγραμμα pk11conf.
Όλα, αφού ολοκληρώσετε αυτά τα βήματα, το διακριτικό cloud είναι έτοιμο για χρήση. Για να αποκτήσετε πρόσβαση στο διακριτικό cloud, αρκεί να εγκαταστήσετε τη βιβλιοθήκη LS11CLOUD στον υπολογιστή. Όταν χρησιμοποιείτε ένα διακριτικό cloud σε εφαρμογές σε πλατφόρμες Android και iOS, παρέχεται το αντίστοιχο SDK. Είναι αυτή η βιβλιοθήκη που θα υποδεικνύεται κατά τη σύνδεση του διακριτικού cloud στο πρόγραμμα περιήγησης Redfox ή γραμμένο στο αρχείο pkcs11.txt για. Η βιβλιοθήκη LS11CLOUD αλληλεπιδρά επίσης με το διακριτικό στο cloud μέσω ενός ασφαλούς καναλιού που βασίζεται στο SESPAKE, που δημιουργήθηκε καλώντας το PKCS#11 C_Initialize!
Αυτό είναι όλο, τώρα μπορείτε να παραγγείλετε ένα πιστοποιητικό, να το εγκαταστήσετε στο διακριτικό cloud και να μεταβείτε στον ιστότοπο > κυβερνητικών υπηρεσιών.
Πηγή: www.habr.com