PKCS#11 (Cryptoki) adalah standar yang dikembangkan oleh RSA Laboratories untuk menginteroperasikan program dengan token kriptografi, kartu pintar, dan perangkat serupa lainnya menggunakan antarmuka pemrograman terpadu yang diimplementasikan melalui perpustakaan.
Standar PKCS#11 untuk kriptografi Rusia didukung oleh komite standardisasi teknis “Perlindungan Informasi Kriptografi” ().
Jika kita berbicara tentang token yang mendukung kriptografi Rusia, maka kita dapat berbicara tentang token perangkat lunak, token perangkat lunak-perangkat keras, dan token perangkat keras.
Token kriptografi menyediakan penyimpanan sertifikat dan pasangan kunci (kunci publik dan privat) serta kinerja operasi kriptografi sesuai dengan standar PKCS#11. Tautan lemah di sini adalah penyimpanan kunci pribadi. Jika kunci publik hilang, Anda selalu dapat memulihkannya menggunakan kunci privat atau mengambilnya dari sertifikat. Hilangnya/hancurnya kunci pribadi memiliki konsekuensi yang mengerikan, misalnya, Anda tidak akan dapat mendekripsi file yang dienkripsi dengan kunci publik Anda, dan Anda tidak akan dapat membubuhkan tanda tangan elektronik (ES). Untuk membuat tanda tangan elektronik, Anda perlu membuat pasangan kunci baru dan, untuk sejumlah uang, mendapatkan sertifikat baru dari salah satu otoritas sertifikasi.
Di atas kami menyebutkan token perangkat lunak, firmware, dan perangkat keras. Namun kita dapat mempertimbangkan jenis token kriptografi lain – cloud.
Hari ini kamu tidak akan mengejutkan siapa pun . semua cloud flash drive hampir identik dengan cloud token.
Hal utama di sini adalah keamanan data yang disimpan di token cloud, terutama kunci privat. Bisakah token cloud menyediakan ini? Kami menjawab - YA!
Jadi bagaimana cara kerja token cloud? Langkah pertama adalah mendaftarkan klien di token cloud. Untuk melakukan ini, harus disediakan utilitas yang memungkinkan Anda mengakses cloud dan mendaftarkan login/nama panggilan Anda di dalamnya:
Setelah mendaftar di cloud, pengguna harus melakukan inisialisasi tokennya, yaitu mengatur label token dan yang terpenting mengatur SO-PIN dan kode PIN pengguna. Transaksi ini harus dilakukan melalui saluran yang aman/terenkripsi saja. Utilitas pk11conf digunakan untuk menginisialisasi token. Untuk mengenkripsi saluran, diusulkan untuk menggunakan algoritma enkripsi Magma-RKT (GOST R 34.13-2015).
Untuk mengembangkan kunci yang disepakati berdasarkan lalu lintas antara klien dan server yang akan dilindungi/dienkripsi, diusulkan untuk menggunakan protokol TK 26 yang direkomendasikan - .
Diusulkan untuk digunakan sebagai kata sandi yang menjadi dasar pembuatan kunci bersama . Karena kita berbicara tentang kriptografi Rusia, wajar untuk menghasilkan kata sandi satu kali menggunakan mekanisme CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC или CKM_GOSTR3411_HMAC.
Penggunaan mekanisme ini memastikan bahwa akses ke objek token pribadi di cloud melalui kode PIN SO dan USER hanya tersedia bagi pengguna yang menginstalnya menggunakan utilitas pk11conf.
Itu saja, setelah menyelesaikan langkah-langkah ini, token cloud siap digunakan. Untuk mengakses token cloud, Anda hanya perlu menginstal perpustakaan LS11CLOUD di PC Anda. Saat menggunakan token cloud dalam aplikasi pada platform Android dan iOS, SDK yang sesuai disediakan. Pustaka inilah yang akan ditentukan saat menghubungkan token cloud di browser Redfox atau ditulis dalam file pkcs11.txt. Pustaka LS11CLOUD juga berinteraksi dengan token di cloud melalui saluran aman berdasarkan SESPAKE, yang dibuat saat memanggil fungsi PKCS#11 C_Initialize!
Itu saja, sekarang Anda dapat memesan sertifikat, menginstalnya di token cloud Anda dan membuka situs web layanan pemerintah.
Sumber: www.habr.com