PKCS#11 (Cryptoki) é un estándar desenvolvido por RSA Laboratories para a interacción de programas con tokens criptográficos, tarxetas intelixentes e outros dispositivos similares mediante unha interface de programación unificada que se implementa a través de bibliotecas.
O estándar PKCS#11 para a criptografía rusa está apoiado polo comité técnico de normalización "Protección da información criptográfica" ().
Se falamos de tokens con soporte para a criptografía rusa, entón podemos falar de tokens de software, tokens de software e hardware e tokens de hardware.
Os tokens criptográficos proporcionan tanto o almacenamento de certificados e pares de claves (chaves públicas e privadas) como a realización de operacións criptográficas de acordo co estándar PKCS#11. A ligazón débil aquí é o almacenamento da clave privada. Se a chave pública se perde, sempre se pode restaurar usando a clave privada ou tirada do certificado. A perda/destrución dunha chave privada ten tristes consecuencias, por exemplo, non poderás descifrar ficheiros cifrados coa túa clave pública, non poderás poñer unha firma electrónica (ES). Para xerar un ES, terás que xerar un novo par de claves e obter un novo certificado nun dos centros de certificación por unha determinada cantidade de diñeiro.
Arriba mencionamos software, software-hardware e tokens de hardware. Pero pode considerar outro tipo de token criptográfico: un de nube.
Hoxe non sorprenderás a ninguén . Todo As unidades flash na nube son case un a un inherentes ao token da nube.
O principal aquí é a seguridade dos datos almacenados no token da nube, principalmente as claves privadas. Pode proporcionar este token de nube? Nós dicimos que SI!
E entón, como funciona o token da nube? O primeiro paso é rexistrar o cliente na nube de tokens. Para iso, debe proporcionarse unha utilidade que lle permita acceder á nube e rexistrar nela o seu inicio de sesión/alcume:
Despois de rexistrarse na nube, o usuario debe inicializar o seu token, é dicir, establecer a etiqueta do token e, o máis importante, establecer os códigos SO-PIN e PIN do usuario. Estas operacións só deben realizarse a través dunha canle segura/cifrada. A utilidade pk11conf úsase para inicializar o token. Para cifrar a canle, proponse utilizar un algoritmo de cifrado Magma-CTR (GOST R 34.13-2015).
Para desenvolver unha clave acordada, en base á cal o tráfico entre o cliente e o servidor estará protexido/cifrado, proponse utilizar o protocolo recomendado polo TC 26. - .
Como contrasinal, en base ao cal se xerará a clave compartida, proponse o seu uso . Xa que estamos a falar de criptografía rusa, é natural xerar contrasinais únicos mediante mecanismos CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC ou CKM_GOSTR3411_HMAC.
O uso deste mecanismo garante que o acceso aos obxectos token persoais na nube a través de SO e PIN de USUARIO estea dispoñible só para o usuario que os instalou mediante a utilidade. pk11conf.
Todo, despois de completar estes pasos, o token da nube está listo para o seu uso. Para acceder ao token da nube, abonda con instalar a biblioteca LS11CLOUD no PC. Cando se utiliza un token de nube en aplicacións en plataformas Android e iOS, ofrécese o SDK correspondente. É esta biblioteca a que se indicará ao conectar o token de nube no navegador Redfox ou escribir no ficheiro pkcs11.txt para. A biblioteca LS11CLOUD tamén interactúa co token na nube a través dunha canle segura baseada en SESPAKE, creada chamando ao PKCS#11 C_Initialize!
Iso é todo, agora podes solicitar un certificado, instalalo no teu token de nube e ir ao > sitio web dos servizos gobernamentais.
Fonte: www.habr.com