PKCS#11 (Cryptoki) je standard koji je razvio RSA Laboratories za međuoperativne programe s kriptografskim tokenima, pametnim karticama i drugim sličnim uređajima koji koriste jedinstveno programsko sučelje koje se implementira kroz biblioteke.
Standard PKCS#11 za rusku kriptografiju podržava komitet za tehničku standardizaciju “Kriptografska zaštita informacija” ().
Ako govorimo o tokenima koji podržavaju rusku kriptografiju, onda možemo govoriti o softverskim tokenima, softversko-hardverskim tokenima i hardverskim tokenima.
Kriptografski tokeni omogućuju i pohranjivanje certifikata i parova ključeva (javni i privatni ključevi) i izvođenje kriptografskih operacija u skladu sa standardom PKCS#11. Slaba karika ovdje je pohrana privatnog ključa. Ako se javni ključ izgubi, uvijek ga možete vratiti pomoću privatnog ključa ili ga preuzeti iz certifikata. Gubitak/uništenje privatnog ključa ima strašne posljedice, na primjer, nećete moći dešifrirati datoteke šifrirane vašim javnim ključem i nećete moći staviti elektronički potpis (ES). Za generiranje elektroničkog potpisa morat ćete generirati novi par ključeva i uz određeni novac nabaviti novi certifikat od nekog od certifikacijskih tijela.
Gore smo spomenuli softver, firmware i hardver tokene. Ali možemo razmotriti drugu vrstu kriptografskog tokena – oblak.
Danas nikoga nećete iznenaditi ... svi flash diskovi u oblaku gotovo su identični onima kod tokena u oblaku.
Ovdje je glavna stvar sigurnost podataka pohranjenih u tokenu oblaka, prvenstveno privatnih ključeva. Može li token u oblaku to pružiti? Mi kažemo – DA!
Dakle, kako funkcionira token u oblaku? Prvi korak je registracija klijenta u oblaku tokena. Da biste to učinili, mora se osigurati uslužni program koji vam omogućuje pristup oblaku i registraciju vaše prijave/nadimka u njemu:
Nakon registracije u oblaku korisnik mora inicijalizirati svoj token, odnosno postaviti oznaku tokena i što je najvažnije postaviti SO-PIN i korisnički PIN kod. Ove se transakcije moraju provoditi samo preko sigurnog/kriptiranog kanala. Uslužni program pk11conf koristi se za inicijalizaciju tokena. Za šifriranje kanala predlaže se korištenje algoritma za šifriranje Magma-CTR (GOST R 34.13-2015).
Za razvoj dogovorenog ključa na temelju kojeg će promet između klijenta i poslužitelja biti zaštićen/kriptiran, predlaže se korištenje preporučenog TK 26 protokola - .
Predlaže se koristiti kao lozinku na temelju koje će se generirati zajednički ključ . Budući da govorimo o ruskoj kriptografiji, prirodno je generirati jednokratne lozinke pomoću mehanizama CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC ili CKM_GOSTR3411_HMAC.
Korištenje ovog mehanizma osigurava da je pristup objektima osobnih tokena u oblaku putem SO i USER PIN kodova dostupan samo korisniku koji ih je instalirao pomoću uslužnog programa pk11conf.
To je to, nakon dovršetka ovih koraka, cloud token je spreman za korištenje. Za pristup tokenu oblaka, samo trebate instalirati biblioteku LS11CLOUD na svoje računalo. Prilikom korištenja tokena u oblaku u aplikacijama na platformama Android i iOS, pruža se odgovarajući SDK. Upravo će ta biblioteka biti navedena prilikom povezivanja tokena oblaka u pregledniku Redfox ili zapisana u datoteci pkcs11.txt za. Biblioteka LS11CLOUD također komunicira s tokenom u oblaku putem sigurnog kanala temeljenog na SESPAKE-u, stvorenom prilikom pozivanja funkcije PKCS#11 C_Initialize!
To je sve, sada možete naručiti certifikat, instalirati ga u svoj cloud token i otići na web mjesto državnih službi.
Izvor: www.habr.com