PKCS#11 (Cryptoki) on standard, mille on välja töötanud RSA Laboratories programmide interaktsiooniks krüptograafiliste žetoonide, kiipkaartide ja muude sarnaste seadmetega, kasutades ühtset programmeerimisliidest, mida rakendatakse teekide kaudu.
Vene krüptograafia standardit PKCS#11 toetab tehniline standardimiskomitee "Krüptograafilise teabe kaitse" ().
Kui rääkida Vene krüptograafia toega žetoonidest, siis saab rääkida tarkvara-, tarkvara- ja riistvara- ning riistvara-märkidest.
Krüptograafilised märgid võimaldavad nii sertifikaatide ja võtmepaaride (avalikud ja privaatvõtmed) salvestamist kui ka krüptograafiliste toimingute sooritamist vastavalt PKCS#11 standardile. Nõrk lüli on siin privaatvõtme salvestamine. Kui avalik võti kaob, saab selle alati privaatvõtme abil taastada või sertifikaadist võtta. Privaatvõtme kaotsiminekul/hävimisel on kurvad tagajärjed, näiteks ei saa sa oma avaliku võtmega krüpteeritud faile lahti krüpteerida, ei saa panna elektroonilist allkirja (ES). ES-i genereerimiseks peate looma uue võtmepaari ja hankima ühes sertifitseerimiskeskuses teatud rahasumma eest uue sertifikaadi.
Eespool mainisime tarkvara, tarkvara-riistvara ja riistvaramärke. Kuid võite kaaluda teist tüüpi krüptomärki – pilvemärki.
Täna ei üllata te kedagi . Kõik pilvemälupulgad on peaaegu üks ühele pilvemärgile omased.
Peamine on siin pilvemärgisse salvestatud andmete, eelkõige privaatvõtmete turvalisus. Kas see pilvemärk võib pakkuda? Me ütleme JAH!
Ja kuidas siis pilvemärk töötab? Esimene samm on kliendi registreerimine tokenpilve. Selleks tuleks pakkuda utiliit, mis võimaldab juurdepääsu pilvele ja registreerida selles oma sisselogimise / hüüdnime:
Peale pilves registreerumist peab kasutaja oma token’i initsialiseerima, nimelt määrama tokeni sildi ja mis kõige tähtsam – määrama SO-PIN ja kasutaja PIN-koodid. Neid toiminguid tuleks teha ainult turvalise/krüptitud kanali kaudu. Tokeni lähtestamiseks kasutatakse utiliiti pk11conf. Kanali krüptimiseks tehakse ettepanek kasutada krüpteerimisalgoritmi Magma-CTR (GOST R 34.13-2015).
Kokkulepitud võtme väljatöötamiseks, mille alusel kliendi ja serveri vahelist liiklust kaitstakse / krüpteeritakse, on soovitatav kasutada TC 26 soovitatud protokolli. - .
Paroolina, mille alusel jagatud võti genereeritakse, on soovitatav kasutada . Kuna me räägime vene krüptograafiast, on loomulik genereerida ühekordseid paroole mehhanismide abil CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC või CKM_GOSTR3411_HMAC.
Selle mehhanismi kasutamine tagab, et juurdepääs pilves olevatele isiklikele märgiobjektidele SO ja USER PIN-koodide kaudu on saadaval ainult kasutajale, kes need utiliidi abil installis. pk11conf.
Kõik, pärast nende toimingute sooritamist on pilvemärk kasutamiseks valmis. Pilvemärgile juurdepääsu saamiseks piisab, kui installite arvutisse LS11CLOUD teegi. Pilvemärgi kasutamisel Androidi ja iOS-i platvormide rakendustes on vastav SDK olemas. Just seda teeki näidatakse pilvemärgi ühendamisel Redfoxi brauseris või kirjutatakse faili pkcs11.txt. LS11CLOUD teek suhtleb ka pilves oleva märgiga turvalise kanali kaudu, mis põhineb SESPAKE-l, mis on loodud PKCS#11 C_Initialize!
See on kõik, nüüd saate tellida sertifikaadi, installida selle oma pilvemärgisse ja minna > riigiteenuste veebisaidile.
Allikas: www.habr.com