A PKCS#11 (Cryptoki) az RSA Laboratories által kifejlesztett szabvány, amely programokat kriptográfiai tokenekkel, intelligens kártyákkal és más hasonló eszközökkel együttműködő, egységes programozási felületet használ, amelyet könyvtárakon keresztül valósítanak meg.
Az orosz kriptográfiai PKCS#11 szabványt a „Cryptographic Information Protection” technikai szabványügyi bizottság támogatja ().
Ha az orosz kriptográfiát támogató tokenekről beszélünk, akkor beszélhetünk szoftver-, szoftver-hardver- és hardver-tokenekről.
A kriptográfiai tokenek mind a tanúsítványok és kulcspárok (nyilvános és privát kulcsok) tárolását, mind a kriptográfiai műveletek végrehajtását biztosítják a PKCS#11 szabványnak megfelelően. A gyenge láncszem itt a privát kulcs tárolása. Ha a nyilvános kulcs elveszett, bármikor visszaállíthatja a privát kulccsal, vagy kiveheti a tanúsítványból. A privát kulcs elvesztése/megsemmisülése súlyos következményekkel jár, például nem tudja visszafejteni a nyilvános kulccsal titkosított fájlokat, és nem tud elektronikus aláírást (ES) adni. Elektronikus aláírás létrehozásához új kulcspárt kell létrehoznia, és némi pénz ellenében új tanúsítványt kell szereznie valamelyik hitelesítés-szolgáltatótól.
Fentebb említettük a szoftvert, a firmware-t és a hardver tokeneket. De fontolóra vehetjük a kriptográfiai token egy másik típusát is – a felhőt.
Ma senkit sem fogsz meglepni ... Minden a felhő flash meghajtók szinte megegyeznek a felhő tokenével.
Itt a legfontosabb a felhő tokenben tárolt adatok, elsősorban a privát kulcsok biztonsága. Biztosíthatja ezt egy felhő token? Azt mondjuk - IGEN!
Tehát hogyan működik a felhő token? Az első lépés az ügyfél regisztrálása a token felhőben. Ehhez biztosítani kell egy segédprogramot, amely lehetővé teszi a felhő elérését és bejelentkezési/becenevének regisztrálását:
A felhőben történő regisztráció után a felhasználónak inicializálnia kell a tokenjét, nevezetesen be kell állítania a token címkéjét, és ami a legfontosabb, be kell állítania az SO-PIN és a felhasználói PIN kódokat. Ezeket a tranzakciókat csak biztonságos/titkosított csatornán kell végrehajtani. A pk11conf segédprogram a token inicializálására szolgál. A csatorna titkosításához titkosítási algoritmus használata javasolt Magma-CTR (GOST R 34.13-2015).
Egy egyeztetett kulcs kidolgozásához, amely alapján a kliens és a szerver közötti forgalmat védik/titkosítják, javasoljuk az ajánlott TK 26 protokoll használatát. - .
Javasoljuk, hogy használja azt a jelszót, amely alapján a megosztott kulcs létrejön . Mivel orosz kriptográfiáról beszélünk, természetes az egyszeri jelszavak generálása mechanizmusok segítségével CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC vagy CKM_GOSTR3411_HMAC.
Ennek a mechanizmusnak a használata biztosítja, hogy a felhőben lévő személyes token objektumokhoz SO és USER PIN kódokon keresztül csak az a felhasználó férhessen hozzá, aki a segédprogram segítségével telepítette azokat. pk11conf.
Ez az, a lépések elvégzése után a felhő token használatra kész. A felhő token eléréséhez csak telepítenie kell az LS11CLOUD könyvtárat a számítógépére. Ha felhőjogkivonatot használ Android és iOS platformon lévő alkalmazásokban, a megfelelő SDK biztosított. Ez a könyvtár lesz megadva, amikor egy felhő tokenhez kapcsolódik a Redfox böngészőben, vagy a pkcs11.txt fájlba írják. Az LS11CLOUD könyvtár a PKCS#11 C_Initialize függvény meghívásakor létrehozott SESPAKE-n alapuló biztonságos csatornán keresztül is kölcsönhatásba lép a felhőben lévő tokennel!
Ez minden, most megrendelhet tanúsítványt, telepítheti azt a felhőtokenbe, és felkeresheti a kormányzati szolgáltatások webhelyét.
Forrás: will.com