PKCS#11 (Cryptoki) es un estándar desarrollado por RSA Laboratories para interoperar programas con tokens criptográficos, tarjetas inteligentes y otros dispositivos similares mediante una interfaz de programación unificada que se implementa a través de bibliotecas.
El estándar PKCS#11 para la criptografía rusa cuenta con el respaldo del comité de estandarización técnica "Protección de información criptográfica" ().
Si hablamos de tokens que admiten la criptografía rusa, entonces podemos hablar de tokens de software, tokens de software-hardware y tokens de hardware.
Los tokens criptográficos proporcionan tanto el almacenamiento de certificados y pares de claves (claves públicas y privadas) como la realización de operaciones criptográficas de acuerdo con el estándar PKCS#11. El eslabón débil aquí es el almacenamiento de la clave privada. Si se pierde la clave pública, siempre puedes recuperarla usando la clave privada o tomándola del certificado. La pérdida/destrucción de una clave privada tiene consecuencias nefastas, por ejemplo, no podrá descifrar archivos cifrados con su clave pública y no podrá poner una firma electrónica (ES). Para generar una firma electrónica, deberá generar un nuevo par de claves y, por algo de dinero, obtener un nuevo certificado de una de las autoridades de certificación.
Arriba mencionamos tokens de software, firmware y hardware. Pero podemos considerar otro tipo de token criptográfico: la nube.
Hoy no sorprenderás a nadie. . todos Las unidades flash en la nube son casi idénticas a las de un token en la nube.
Lo principal aquí es la seguridad de los datos almacenados en el token de la nube, principalmente las claves privadas. ¿Puede un token en la nube proporcionar esto? Decimos ¡SÍ!
Entonces, ¿cómo funciona un token en la nube? El primer paso es registrar el cliente en la nube de tokens. Para hacer esto, se debe proporcionar una utilidad que le permita acceder a la nube y registrar su nombre de usuario/apodo en ella:
Después de registrarse en la nube, el usuario debe inicializar su token, es decir, configurar la etiqueta del token y, lo más importante, configurar el SO-PIN y los códigos PIN de usuario. Estas transacciones deben realizarse únicamente a través de un canal seguro/encriptado. La utilidad pk11conf se utiliza para inicializar el token. Para cifrar el canal, se propone utilizar un algoritmo de cifrado. Magma-CTR (GOST R 34.13-2015).
Para desarrollar una clave acordada sobre la base de la cual se protegerá/cifrará el tráfico entre el cliente y el servidor, se propone utilizar el protocolo TK 26 recomendado. - .
Se propone utilizarla como contraseña a partir de la cual se generará la clave compartida. . Dado que estamos hablando de criptografía rusa, es natural generar contraseñas de un solo uso utilizando mecanismos. CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC o CKM_GOSTR3411_HMAC.
El uso de este mecanismo garantiza que el acceso a los objetos token personales en la nube a través de los códigos SO y PIN de USUARIO esté disponible solo para el usuario que los instaló mediante la utilidad. pk11conf.
Eso es todo, después de completar estos pasos, el token de la nube está listo para usar. Para acceder al token de la nube, solo necesita instalar la biblioteca LS11CLOUD en su PC. Cuando se utiliza un token de nube en aplicaciones de las plataformas Android e iOS, se proporciona el SDK correspondiente. Es esta biblioteca la que se especificará al conectar un token de nube en el navegador Redfox o se escribirá en el archivo pkcs11.txt. La biblioteca LS11CLOUD también interactúa con el token en la nube a través de un canal seguro basado en SESPAKE, creado al llamar a la función PKCS#11 C_Initialize.
Eso es todo, ahora puede solicitar un certificado, instalarlo en su token en la nube e ir al sitio web de servicios gubernamentales.
Fuente: habr.com