PKCS#11 (Cryptoki) استانداردی است که توسط آزمایشگاههای RSA برای تعامل برنامهها با توکنهای رمزنگاری، کارتهای هوشمند و سایر دستگاههای مشابه با استفاده از یک رابط برنامهنویسی یکپارچه که از طریق کتابخانهها پیادهسازی میشود، توسعه یافته است.
استاندارد PKCS#11 برای رمزنگاری روسی توسط کمیته فنی استانداردسازی "محافظت از اطلاعات رمزنگاری" پشتیبانی می شود ().
اگر در مورد توکن هایی با پشتیبانی از رمزنگاری روسی صحبت کنیم، می توانیم در مورد توکن های نرم افزاری، توکن های نرم افزاری و سخت افزاری و توکن های سخت افزاری صحبت کنیم.
توکنهای رمزنگاری هم ذخیرهسازی گواهیها و جفتهای کلید (کلیدهای عمومی و خصوصی) و هم عملکرد عملیات رمزنگاری را مطابق با استاندارد PKCS#11 فراهم میکنند. لینک ضعیف در اینجا ذخیره سازی کلید خصوصی است. اگر کلید عمومی گم شود، همیشه می توان آن را با استفاده از کلید خصوصی بازیابی کرد یا از گواهی برداشت. از بین رفتن/از بین رفتن یک کلید خصوصی عواقب غم انگیزی دارد، به عنوان مثال، شما نمی توانید فایل های رمزگذاری شده با کلید عمومی خود را رمزگشایی کنید، نمی توانید امضای الکترونیکی (ES) قرار دهید. برای تولید یک ES، باید یک جفت کلید جدید ایجاد کنید و با مبلغ مشخصی در یکی از مراکز صدور گواهینامه گواهینامه جدید دریافت کنید.
در بالا به نرم افزار، نرم افزار-سخت افزار و توکن های سخت افزاری اشاره کردیم. اما می توانید نوع دیگری از رمز رمزنگاری را در نظر بگیرید - یک رمزنگاری ابری.
امروز هیچ کس را غافلگیر نخواهید کرد . همه درایوهای فلش ابری تقریباً یک به یک ذاتی در رمز ابری هستند.
نکته اصلی در اینجا امنیت داده های ذخیره شده در رمز ابری، در درجه اول کلیدهای خصوصی است. آیا این توکن ابری می تواند ارائه دهد؟ ما می گوییم بله!
و پس توکن ابری چگونه کار می کند؟ اولین قدم ثبت مشتری در ابر توکن است. برای انجام این کار، باید ابزاری ارائه شود که به شما امکان می دهد به ابر دسترسی داشته باشید و نام کاربری / نام مستعار خود را در آن ثبت کنید:
پس از ثبت نام در فضای ابری، کاربر باید توکن خود را مقداردهی اولیه کند، یعنی برچسب توکن را تنظیم کند و مهمتر از همه، کدهای SO-PIN و پین کاربر را تنظیم کند. این عملیات فقط باید از طریق یک کانال امن/رمزگذاری شده انجام شود. ابزار pk11conf برای مقداردهی اولیه توکن استفاده می شود. برای رمزگذاری کانال، استفاده از یک الگوریتم رمزگذاری پیشنهاد شده است Magma-CTR (GOST R 34.13-2015).
برای ایجاد یک کلید توافق شده، که بر اساس آن ترافیک بین مشتری و سرور محافظت / رمزگذاری می شود، پیشنهاد می شود از پروتکل توصیه شده توسط TC 26 استفاده کنید. - .
به عنوان یک رمز عبور، که بر اساس آن کلید مشترک تولید می شود، پیشنهاد می شود از آن استفاده کنید . از آنجایی که ما در مورد رمزنگاری روسی صحبت می کنیم، طبیعی است که رمزهای عبور یک بار مصرف را با استفاده از مکانیزم ها تولید کنیم CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC یا CKM_GOSTR3411_HMAC.
استفاده از این مکانیسم تضمین میکند که دسترسی به اشیاء رمز شخصی در ابر از طریق پینهای SO و USER فقط برای کاربری که آنها را با استفاده از ابزار نصب کرده است در دسترس است. pk11conf.
همه چیز، پس از انجام این مراحل، توکن ابری آماده استفاده است. برای دسترسی به رمز ابری، کافی است کتابخانه LS11CLOUD را روی رایانه شخصی نصب کنید. هنگام استفاده از رمز ابری در برنامه های کاربردی در سیستم عامل های اندروید و iOS، SDK مربوطه ارائه می شود. این کتابخانه است که هنگام اتصال رمز ابری در مرورگر Redfox یا نوشته شده در فایل pkcs11.txt برای نشان داده می شود. کتابخانه LS11CLOUD همچنین از طریق یک کانال امن مبتنی بر SESPAKE که با فراخوانی PKCS#11 C_Initialize ایجاد شده است، با توکن موجود در ابر تعامل دارد!
این همه است، اکنون می توانید یک گواهی سفارش دهید، آن را در رمز ابری خود نصب کنید و به وب سایت خدمات دولتی > بروید.
منبع: www.habr.com