PKCS#11 (Cryptoki) estas normo evoluigita fare de RSA Laboratorioj por la interagado de programoj kun ĉifrikaj ĵetonoj, inteligentaj kartoj kaj aliaj similaj aparatoj uzantaj unuigitan programan interfacon kiu estas efektivigita tra bibliotekoj.
La normo PKCS#11 por rusa kriptografio estas subtenata de la teknika komitato por normigado "Cryptographic Information Protection" ().
Se ni parolas pri ĵetonoj kun subteno por rusa kriptografio, tiam ni povas paroli pri programaro-ĵetonoj, programaro kaj aparataro-ĵetonoj kaj aparataro-ĵetonoj.
Kriptografiaj ĵetonoj disponigas kaj la stokadon de atestiloj kaj ŝlosilparoj (publikaj kaj privataj ŝlosiloj) kaj la agado de kriptografaj operacioj konforme al la PKCS#11 normo. La malforta ligo ĉi tie estas la konservado de la privata ŝlosilo. Se la publika ŝlosilo estas perdita, tiam ĝi ĉiam povas esti restarigita per la privata ŝlosilo aŭ prenita de la atestilo. La perdo/detruo de privata ŝlosilo havas malĝojajn konsekvencojn, ekzemple, vi ne povos deĉifri dosierojn ĉifritajn per via publika ŝlosilo, vi ne povos meti elektronikan subskribon (ES). Por generi ES, vi devos generi novan ŝlosilparon kaj akiri novan atestilon ĉe unu el la atestaj centroj por certa kvanto da mono.
Supre ni menciis programaron, programaron-aparataro kaj aparataron tokens. Sed vi povas konsideri alian specon de kriptografa ĵetono - nuba.
Hodiaŭ vi neniun surprizos ... Ĉio nubo-memoriloj estas preskaŭ unu al unu enecaj en la nuba ĵetono.
La ĉefa afero ĉi tie estas la sekureco de la datumoj stokitaj en la nuba ĵetono, ĉefe privataj ŝlosiloj. Ĉu ĉi tiu nuba ĵetono povas provizi? Ni diras JES!
Kaj do kiel funkcias la nuba ĵetono? La unua paŝo estas registri la klienton en la tokennubo. Por fari tion, oni devas provizi ilon, kiu ebligas al vi aliri la nubon kaj registri vian ensaluton / kromnomon en ĝi:
Post registriĝo en la nubo, la uzanto devas pravigi sian ĵetonon, nome, agordi la ĵeton-etikedon kaj, plej grave, agordi la SO-PIN kaj uzantajn PIN-kodojn. Ĉi tiuj operacioj devas esti faritaj nur per sekura/ĉifrita kanalo. La pk11conf ilo estas uzata por pravalorigi la ĵetonon. Por ĉifri la kanalon, oni proponas uzi ĉifradan algoritmon Magmo-CTR (GOST R 34.13-2015).
Por disvolvi interkonsentitan ŝlosilon, surbaze de kiu la trafiko inter la kliento kaj la servilo estos protektita / ĉifrita, oni proponas uzi la protokolon rekomenditan de TC 26. - .
Kiel pasvorton, surbaze de kiu la komuna ŝlosilo estos generita, oni proponas uzi . Ĉar ni parolas pri rusa kriptografio, estas nature generi unufojajn pasvortojn per mekanismoj CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC aŭ CKM_GOSTR3411_HMAC.
La uzo de ĉi tiu mekanismo certigas, ke aliro al personaj ĵetonaj objektoj en la nubo per SO kaj USER PIN-oj estas disponebla nur por la uzanto kiu instalis ilin uzante la ilon. pk11konf.
Ĉio, post plenumi ĉi tiujn paŝojn, la nuba ĵetono estas preta por uzo. Por aliri la nuban ĵetonon, sufiĉas instali la bibliotekon LS11CLOUD en la komputilo. Kiam vi uzas nuban ĵetonon en aplikoj en Android kaj iOS-platformoj, la responda SDK estas provizita. Estas ĉi tiu biblioteko, kiu estos indikita kiam vi konektos la nubo-ĵetonon en la retumilo Redfox aŭ skribita en la dosiero pkcs11.txt por. La LS11CLOUD-biblioteko ankaŭ interagas kun la ĵetono en la nubo per sekura kanalo bazita sur SESPAKE, kreita per vokado de la PKCS#11 C_Initialize!
Jen ĉio, nun vi povas mendi atestilon, instali ĝin en via nuba ĵetono kaj iri al la > retejo de registaraj servoj.
fonto: www.habr.com