PKCS#11 (Cryptoki) est une norme développée par RSA Laboratories pour l'interopérabilité des programmes avec des jetons cryptographiques, des cartes à puce et d'autres appareils similaires à l'aide d'une interface de programmation unifiée implémentée via des bibliothèques.
La norme PKCS#11 pour la cryptographie russe est soutenue par le comité de normalisation technique « Protection des informations cryptographiques » ().
Si nous parlons de jetons prenant en charge la cryptographie russe, nous pouvons alors parler de jetons logiciels, de jetons logiciels et matériels et de jetons matériels.
Les jetons cryptographiques assurent à la fois le stockage des certificats et des bi-clés (clés publiques et privées) et la réalisation d'opérations cryptographiques conformément à la norme PKCS#11. Le maillon faible ici est le stockage de la clé privée. Si la clé publique est perdue, vous pouvez toujours la récupérer à l'aide de la clé privée ou la récupérer à partir du certificat. La perte/destruction d'une clé privée a des conséquences désastreuses, par exemple, vous ne pourrez pas décrypter les fichiers cryptés avec votre clé publique, et vous ne pourrez pas apposer une signature électronique (ES). Pour générer une signature électronique, vous devrez générer une nouvelle bi-clé et, moyennant de l'argent, obtenir un nouveau certificat auprès de l'une des autorités de certification.
Ci-dessus, nous avons mentionné les jetons logiciels, micrologiciels et matériels. Mais on peut envisager un autre type de jeton cryptographique : le cloud.
Aujourd'hui tu ne surprendra personne . tous les clés USB cloud sont presque identiques à celles d'un jeton cloud.
L'essentiel ici est la sécurité des données stockées dans le token cloud, principalement les clés privées. Un jeton cloud peut-il fournir cela ? Nous disons - OUI !
Alors, comment fonctionne un jeton cloud ? La première étape consiste à enregistrer le client dans le cloud de jetons. Pour ce faire, il faut fournir un utilitaire qui vous permet d'accéder au cloud et d'y enregistrer votre login/pseudo :
Après s'être inscrit dans le cloud, l'utilisateur doit initialiser son token, à savoir définir l'étiquette du token et, surtout, définir les codes SO-PIN et PIN utilisateur. Ces transactions doivent être effectuées uniquement via un canal sécurisé/crypté. L'utilitaire pk11conf est utilisé pour initialiser le jeton. Pour chiffrer la chaîne, il est proposé d'utiliser un algorithme de chiffrement Magma-CTR (GOST R 34.13-2015).
Pour développer une clé convenue sur la base de laquelle le trafic entre le client et le serveur sera protégé/crypté, il est proposé d'utiliser le protocole recommandé TK 26. - .
Il est proposé d'utiliser comme mot de passe sur la base duquel la clé partagée sera générée . Puisque nous parlons de cryptographie russe, il est naturel de générer des mots de passe à usage unique à l'aide de mécanismes CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC ou CKM_GOSTR3411_HMAC.
L'utilisation de ce mécanisme garantit que l'accès aux objets de jeton personnel dans le cloud via les codes PIN SO et USER n'est disponible que pour l'utilisateur qui les a installés à l'aide de l'utilitaire. pk11conf.
Voilà, après avoir terminé ces étapes, le jeton cloud est prêt à être utilisé. Pour accéder au token cloud, il vous suffit d'installer la bibliothèque LS11CLOUD sur votre PC. Lors de l'utilisation d'un jeton cloud dans des applications sur les plateformes Android et iOS, un SDK correspondant est fourni. C'est cette bibliothèque qui sera précisée lors de la connexion d'un token cloud dans le navigateur Redfox ou écrite dans le fichier pkcs11.txt pour. La bibliothèque LS11CLOUD interagit également avec le token dans le cloud via un canal sécurisé basé sur SESPAKE, créé lors de l'appel de la fonction PKCS#11 C_Initialize !
C'est tout, vous pouvez désormais commander un certificat, l'installer dans votre token cloud et vous rendre sur le site des services gouvernementaux.
Source: habr.com