PKCS # 11 (Cryptoki) is in standert ûntwikkele troch RSA Laboratories foar de ynteraksje fan programma's mei kryptografyske tokens, smart cards en oare ferlykbere apparaten mei help fan in unifoarme programmearring ynterface dat wurdt útfierd fia biblioteken.
De PKCS#11 standert foar Russyske kryptografy wurdt stipe troch de technyske kommisje foar standerdisearring "Cryptographic Information Protection" ().
As wy prate oer tokens mei stipe foar Russyske kryptografy, dan kinne wy prate oer software tokens, software en hardware tokens en hardware tokens.
Kryptografyske tokens jouwe sawol de opslach fan sertifikaten en kaaipearen (iepenbiere en partikuliere kaaien) en de prestaasjes fan kryptografyske operaasjes yn oerienstimming mei de PKCS#11-standert. De swakke keppeling hjir is de opslach fan 'e privee kaai. As de iepenbiere kaai ferlern is, dan kin it altyd wersteld wurde mei de privee kaai of nommen út it sertifikaat. It ferlies / ferneatiging fan in privee kaai hat tryste gefolgen, bygelyks, do silst net by steat wêze om te ûntsiferjen triemmen fersifere mei jo iepenbiere kaai, do silst net by steat wêze om te setten in elektroanyske hântekening (ES). Om in ES te generearjen, moatte jo in nij kaaipaar generearje en in nij sertifikaat krije by ien fan 'e sertifikaasjesintra foar in bepaald bedrach jild.
Hjirboppe neamden wy software, software-hardware en hardware tokens. Mar jo kinne in oar type kryptografysk token beskôgje - in wolk.
Hjoed sille jo gjinien ferrasse ... Alles wolk flash-driven binne hast ien op ien inherent oan 'e wolk token.
It wichtichste ding hjir is de feiligens fan 'e gegevens opslein yn' e wolk token, primêr privee kaaien. Kin dit wolktoken leverje? Wy sizze JA!
En dus hoe wurket it wolketoken? De earste stap is om de kliïnt te registrearjen yn 'e tokenwolk. Om dit te dwaan, moat in hulpprogramma levere wurde wêrmei jo tagong krije ta de wolk en jo oanmelding / bynamme dêryn registrearje:
Nei it registrearjen yn 'e wolk moat de brûker syn token inisjalisearje, nammentlik it tokenlabel ynstelle en, it wichtichste, de SO-PIN en brûker PIN-koades ynstelle. Dizze operaasjes moatte allinich wurde útfierd oer in feilich / fersifere kanaal. It pk11conf-hulpprogramma wurdt brûkt om it token te inisjalisearjen. Om it kanaal te fersiferjen, wurdt foarsteld om in fersiferingsalgoritme te brûken Magma-CTR (GOST R 34.13-2015).
Om in oerienkommen kaai te ûntwikkeljen, op basis wêrfan it ferkear tusken de kliïnt en de tsjinner beskerme / fersifere sil wurde, wurdt foarsteld it protokol te brûken oanrikkemandearre troch TC 26 - .
As wachtwurd, op basis wêrfan de dielde kaai sil wurde oanmakke, wurdt it foarsteld om te brûken . Sûnt wy it oer Russyske kryptografy hawwe, is it natuerlik om ienmalige wachtwurden te generearjen mei meganismen CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC of CKM_GOSTR3411_HMAC.
It gebrûk fan dit meganisme soarget derfoar dat tagong ta persoanlike token-objekten yn 'e wolk fia SO en USER PIN's allinich beskikber is foar de brûker dy't se ynstalleare mei it helpprogramma pk11 konf.
Alles, nei it foltôgjen fan dizze stappen, is de wolk token klear foar gebrûk. Om tagong te krijen ta it wolketoken is it genôch om de LS11CLOUD-bibleteek op 'e PC te ynstallearjen. As jo in wolktoken brûke yn applikaasjes op Android- en iOS-platfoarms, wurdt de oerienkommende SDK levere. It is dizze bibleteek dy't sil wurde oanjûn by it ferbinen fan de wolk token yn de Redfox browser of skreaun yn de pkcs11.txt triem foar. De LS11CLOUD-bibleteek ynteraksje ek mei it token yn 'e wolk fia in feilich kanaal basearre op SESPAKE, makke troch de PKCS#11 C_Initialize!
Dat is alles, no kinne jo in sertifikaat bestelle, it ynstallearje yn jo wolktoken en gean nei de > webside fan oerheidstsjinsten.
Boarne: www.habr.com