PKCS#11 (Cryptoki) è uno standard sviluppato da RSA Laboratories per l'interoperabilità di programmi con token crittografici, smart card e altri dispositivi simili utilizzando un'interfaccia di programmazione unificata implementata tramite librerie.
Lo standard PKCS#11 per la crittografia russa è supportato dal comitato di standardizzazione tecnica “Cryptographic Information Protection” ().
Se parliamo di token che supportano la crittografia russa, allora possiamo parlare di token software, token software-hardware e token hardware.
I token crittografici forniscono sia la memorizzazione di certificati e coppie di chiavi (chiavi pubbliche e private) sia l'esecuzione di operazioni crittografiche in conformità con lo standard PKCS#11. L'anello debole qui è la memorizzazione della chiave privata. Se la chiave pubblica viene persa, puoi sempre recuperarla utilizzando la chiave privata o prelevarla dal certificato. La perdita/distruzione di una chiave privata ha conseguenze disastrose, ad esempio non sarai in grado di decrittografare i file crittografati con la tua chiave pubblica e non sarai in grado di inserire una firma elettronica (ES). Per generare una firma elettronica, dovrai generare una nuova coppia di chiavi e, pagando una somma di denaro, ottenere un nuovo certificato da una delle autorità di certificazione.
Sopra abbiamo menzionato software, firmware e token hardware. Ma possiamo considerare un altro tipo di token crittografico: il cloud.
Oggi non sorprenderai nessuno . tutto le unità flash cloud sono quasi identiche a quelle di un token cloud.
La cosa principale qui è la sicurezza dei dati archiviati nel token cloud, principalmente le chiavi private. Un token cloud può fornire questo? Diciamo: SÌ!
Quindi, come funziona un token cloud? Il primo passo è registrare il client nel token cloud. Per fare ciò è necessario fornire un'utilità che consenta di accedere al cloud e registrare al suo interno il proprio login/nickname:
Dopo la registrazione nel cloud, l'utente deve inizializzare il proprio token, ovvero impostare l'etichetta del token e, soprattutto, impostare i codici SO-PIN e PIN utente. Queste transazioni devono essere condotte esclusivamente su un canale sicuro/crittografato. L'utilità pk11conf viene utilizzata per inizializzare il token. Per crittografare il canale, si propone di utilizzare un algoritmo di crittografia Magma-CTR (GOST R 34.13-2015).
Per sviluppare una chiave concordata in base alla quale il traffico tra client e server verrà protetto/crittografato, si propone di utilizzare il protocollo consigliato TK 26 - .
Si propone di utilizzare come password in base alla quale verrà generata la chiave condivisa . Dato che stiamo parlando della crittografia russa, è naturale generare password monouso utilizzando meccanismi CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC o CKM_GOSTR3411_HMAC.
L'utilizzo di questo meccanismo garantisce che l'accesso agli oggetti token personali nel cloud tramite codici SO e PIN UTENTE sia disponibile solo per l'utente che li ha installati tramite l'utility pk11conf.
Questo è tutto, dopo aver completato questi passaggi, il token cloud è pronto per l'uso. Per accedere al token cloud ti basterà installare la libreria LS11CLOUD sul tuo PC. Quando si utilizza un token cloud nelle applicazioni sulle piattaforme Android e iOS, viene fornito un SDK corrispondente. È questa libreria che verrà specificata quando si collega un token cloud nel browser Redfox o scritta nel file pkcs11.txt per. La libreria LS11CLOUD interagisce anche con il token nel cloud tramite un canale sicuro basato su SESPAKE, creato quando si chiama la funzione PKCS#11 C_Initialize!
Questo è tutto, ora puoi ordinare un certificato, installarlo nel tuo token cloud e andare al sito web dei servizi governativi.
Fonte: habr.com