PKCS#11 (Cryptoki) on RSA Laboratoriesin kehittämä standardi ohjelmien vuorovaikutukseen kryptografisten tokenien, älykorttien ja muiden vastaavien laitteiden kanssa käyttämällä yhtenäistä ohjelmointirajapintaa, joka toteutetaan kirjastojen kautta.
PKCS#11-standardia venäläiselle kryptografialle tukee tekninen standardointikomitea "Cryptographic Information Protection" ().
Jos puhumme venäläistä kryptografiaa tukevista tunnuksista, voimme puhua ohjelmistotokeneista, ohjelmisto- ja laitteistotokeneista ja laitteistotokeneista.
Kryptografiset tunnukset tarjoavat sekä sertifikaattien ja avainparien (julkiset ja yksityiset avaimet) tallennuksen että salaustoimintojen suorittamisen PKCS#11-standardin mukaisesti. Heikko lenkki tässä on yksityisen avaimen tallennus. Jos julkinen avain katoaa, se voidaan aina palauttaa yksityisellä avaimella tai ottaa varmenteesta. Yksityisen avaimen katoamisella/tuhoamisella on surullisia seurauksia, esimerkiksi et voi purkaa julkisella avaimellasi salattuja tiedostoja, et voi laittaa sähköistä allekirjoitusta (ES). ES:n luomiseksi sinun on luotava uusi avainpari ja hankittava uusi varmenne jossakin varmennekeskuksesta tietyllä rahasummalla.
Edellä mainittiin ohjelmistot, ohjelmisto-laitteistot ja laitteistotunnukset. Mutta voit harkita toisen tyyppistä kryptografista merkkiä - pilvipalvelua.
Tänään et yllätä ketään . kaikki pilvimuistitikut ovat lähes yksitellen pilvitunnukselle ominaisia.
Tärkeintä tässä on pilvitunnukseen tallennettujen tietojen, ensisijaisesti yksityisten avainten, turvallisuus. Voiko tämä pilvitunnus tarjota? Sanomme KYLLÄ!
Ja miten pilvitunnus toimii? Ensimmäinen askel on rekisteröidä asiakas tokenpilveen. Tätä varten tulisi tarjota apuohjelma, jonka avulla voit käyttää pilvipalvelua ja rekisteröidä kirjautumistunnuksesi / lempinimesi siihen:
Pilveen rekisteröitymisen jälkeen käyttäjän on alustettava tunnuksensa eli asetettava tunnuksen etiketti ja mikä tärkeintä, asetettava SO-PIN ja käyttäjän PIN-koodit. Nämä toiminnot tulisi suorittaa vain suojatun/salatun kanavan kautta. Tokenin alustamiseen käytetään pk11conf-apuohjelmaa. Kanavan salaamiseksi ehdotetaan käytettäväksi salausalgoritmia Magma-CTR (GOST R 34.13-2015).
Sovitun avaimen kehittämiseksi, jonka perusteella asiakkaan ja palvelimen välinen liikenne suojataan/salataan, suositellaan käytettäväksi TC 26:n suosittelemaa protokollaa. - .
Salasanana, jonka perusteella jaettu avain luodaan, ehdotetaan käytettäväksi . Koska puhumme venäläisestä kryptografiasta, on luonnollista luoda kertaluonteisia salasanoja mekanismeja käyttämällä CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC tai CKM_GOSTR3411_HMAC.
Tämän mekanismin käyttö varmistaa, että pääsy henkilökohtaisiin token-objekteihin pilvessä SO- ja USER PIN-koodien kautta on vain sillä käyttäjällä, joka on asentanut ne apuohjelman avulla. pk11conf.
Kaikki, näiden vaiheiden suorittamisen jälkeen pilvitunnus on valmis käytettäväksi. Pilvitunnukseen pääsemiseksi riittää, että asennat LS11CLOUD-kirjaston tietokoneeseen. Kun pilvitunnusta käytetään sovelluksissa Android- ja iOS-alustoilla, vastaava SDK toimitetaan. Tämä kirjasto ilmoitetaan, kun yhdistetään pilvitunnus Redfox-selaimessa tai kirjoitetaan pkcs11.txt-tiedostoon. LS11CLOUD-kirjasto on myös vuorovaikutuksessa pilvessä olevan tunnuksen kanssa SESPAKE-pohjaisen suojatun kanavan kautta, joka on luotu kutsumalla PKCS#11 C_Initialize!
Siinä kaikki, nyt voit tilata varmenteen, asentaa sen pilvitunnukseesi ja siirtyä > valtion palveluiden verkkosivustolle.
Lähde: will.com