PKCS#11 (Cryptoki) ստանդարտ է, որը մշակվել է RSA Laboratories-ի կողմից՝ գաղտնագրման նշաններով, խելացի քարտերով և այլ նմանատիպ սարքերով ծրագրերի փոխգործակցության համար՝ օգտագործելով միասնական ծրագրավորման ինտերֆեյս, որն իրականացվում է գրադարանների միջոցով:
Ռուսական ծածկագրության PKCS#11 ստանդարտը աջակցվում է «Գրիպտոգրաֆիկ տեղեկատվության պաշտպանություն» տեխնիկական ստանդարտացման հանձնաժողովի կողմից ().
Եթե խոսենք ռուսական գաղտնագրությանն աջակցող նշանների մասին, ապա կարող ենք խոսել ծրագրային նշանների, ծրագրային-ապարատային նշանների և ապարատային նշանների մասին:
Կրիպտոգրաֆիկ նշանները ապահովում են ինչպես վկայականների և բանալիների զույգերի (հանրային և մասնավոր բանալիների) պահպանումը, այնպես էլ գաղտնագրման գործողությունների կատարումը PKCS#11 ստանդարտին համապատասխան: Այստեղ թույլ օղակը մասնավոր բանալու պահպանումն է: Եթե հանրային բանալին կորել է, դուք միշտ կարող եք վերականգնել այն՝ օգտագործելով անձնական բանալին կամ վերցնել այն վկայականից: Մասնավոր բանալու կորուստը/ոչնչացումը սարսափելի հետևանքներ է ունենում, օրինակ՝ դուք չեք կարողանա գաղտնազերծել ձեր հանրային բանալիով կոդավորված ֆայլերը և չեք կարողանա տեղադրել էլեկտրոնային ստորագրություն (ES): Էլեկտրոնային ստորագրություն ստեղծելու համար դուք պետք է գեներացնեք նոր բանալիների զույգ և որոշ գումարի դիմաց ստանաք նոր վկայագիր սերտիֆիկացման մարմիններից մեկից:
Վերևում մենք նշեցինք ծրագրային ապահովման, որոնվածի և ապարատային նշանները: Բայց մենք կարող ենք դիտարկել կրիպտոգրաֆիկ նշանի մեկ այլ տեսակ՝ ամպ:
Այսօր ոչ ոքի չես զարմացնի . Բոլորը ամպային ֆլեշ կրիչներ գրեթե նույնական են ամպային նշանների հետ:
Այստեղ գլխավորը ամպային նշանում պահվող տվյալների, առաջին հերթին՝ մասնավոր բանալիների անվտանգությունն է։ Կարո՞ղ է արդյոք ամպային նշանն ապահովել դա: Մենք ասում ենք՝ ԱՅՈ։
Այսպիսով, ինչպես է աշխատում ամպային նշանը: Առաջին քայլը հաճախորդին գրանցելն է նշանային ամպում: Դա անելու համար պետք է տրամադրվի կոմունալ ծրագիր, որը թույլ է տալիս մուտք գործել ամպ և գրանցել ձեր մուտքի/մականունը դրանում.
Ամպում գրանցվելուց հետո օգտատերը պետք է նախաստորագրի իր նշանը, այն է՝ սահմանի նշանի պիտակը և, ամենակարևորը, սահմանի SO-PIN և օգտվողի PIN կոդերը: Այս գործարքները պետք է իրականացվեն միայն ապահով/գաղտնագրված ալիքով: Pk11conf կոմունալն օգտագործվում է նշանը սկզբնավորելու համար: Ալիքը կոդավորելու համար առաջարկվում է օգտագործել կոդավորման ալգորիթմ Magma-CTR (ԳՕՍՏ Ռ 34.13-2015):
Համաձայնեցված բանալի մշակելու համար, որի հիման վրա հաճախորդի և սերվերի միջև տրաֆիկը կպաշտպանվի/գաղտնագրվի, առաջարկվում է օգտագործել առաջարկվող TK 26 արձանագրությունը: - .
Առաջարկվում է օգտագործել որպես գաղտնաբառ, որի հիման վրա կստեղծվի ընդհանուր բանալին . Քանի որ խոսքը ռուսական ծածկագրության մասին է, բնական է մեխանիզմների միջոցով մեկանգամյա գաղտնաբառեր ստեղծելը CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC կամ CKM_GOSTR3411_HMAC.
Այս մեխանիզմի օգտագործումը երաշխավորում է, որ SO և USER PIN կոդերի միջոցով ամպի մեջ գտնվող անձնական նշանների օբյեկտների հասանելիությունը հասանելի է միայն այն օգտվողին, ով դրանք տեղադրել է կոմունալ ծրագրի միջոցով: pk11conf.
Վերջ, այս քայլերն ավարտելուց հետո ամպային նշանը պատրաստ է օգտագործման: Ամպային նշան մուտք գործելու համար պարզապես անհրաժեշտ է ձեր համակարգչի վրա տեղադրել LS11CLOUD գրադարանը: Android և iOS պլատֆորմների հավելվածներում ամպային նշան օգտագործելիս տրամադրվում է համապատասխան SDK: Հենց այս գրադարանը կհստակեցվի Redfox բրաուզերում ամպային նշանը միացնելիս կամ գրված pkcs11.txt ֆայլում: LS11CLOUD գրադարանը նաև փոխազդում է ամպի նշանի հետ SESPAKE-ի վրա հիմնված անվտանգ ալիքի միջոցով, որը ստեղծվել է PKCS#11 C_Initialize ֆունկցիան կանչելիս:
Այսքանը, այժմ դուք կարող եք պատվիրել վկայագիր, տեղադրել այն ձեր ամպային նշանում և գնալ պետական ծառայությունների կայք:
Source: www.habr.com