PKCS#11 (Cryptoki) は、ライブラリを通じて実装される統一プログラミング インターフェイスを使用して、プログラムを暗号化トークン、スマート カード、およびその他の同様のデバイスと相互運用するために RSA Laboratories によって開発された標準です。
ロシアの暗号化の PKCS#11 標準は、技術標準化委員会「暗号情報保護」によってサポートされています ().
ロシアの暗号化をサポートするトークンについて話す場合は、ソフトウェア トークン、ソフトウェア ハードウェア トークン、およびハードウェア トークンについて話すことができます。
暗号トークンは、証明書とキー ペア (公開キーと秘密キー) のストレージと、PKCS#11 標準に準拠した暗号化操作のパフォーマンスの両方を提供します。 ここでの弱点は、秘密鍵の保管場所です。 公開キーを紛失した場合は、秘密キーを使用するか、証明書から取得することでいつでも公開キーを回復できます。 秘密鍵の紛失/破壊は、公開鍵で暗号化されたファイルを復号できなくなったり、電子署名 (ES) を付けることができなくなったりするなど、悲惨な結果をもたらします。 電子署名を生成するには、新しいキー ペアを生成し、ある程度の費用をかけていずれかの認証局から新しい証明書を取得する必要があります。
上でソフトウェア、ファームウェア、ハードウェア トークンについて説明しました。 しかし、別のタイプの暗号トークン、クラウドを考慮することもできます。
今日は誰も驚かないでしょう 。 全て クラウド フラッシュ ドライブは、クラウド トークンのフラッシュ ドライブとほぼ同じです。
ここで重要なのは、クラウド トークンに保存されているデータ、主に秘密キーのセキュリティです。 クラウド トークンはこれを提供できますか? 私たちは言います - はい!
では、クラウド トークンはどのように機能するのでしょうか? 最初のステップは、クライアントをトークン クラウドに登録することです。 これを行うには、クラウドにアクセスしてログイン/ニックネームを登録できるユーティリティを提供する必要があります。
クラウドに登録した後、ユーザーはトークンを初期化する必要があります。つまり、トークン ラベルを設定し、最も重要なことに、SO-PIN コードとユーザー PIN コードを設定します。 これらのトランザクションは、安全な暗号化されたチャネル上でのみ実行する必要があります。 pk11conf ユーティリティは、トークンを初期化するために使用されます。 チャネルを暗号化するには、暗号化アルゴリズムを使用することが提案されています マグマ-CTR (GOST R 34.13-2015)。
クライアントとサーバー間のトラフィックが保護/暗号化されることに基づいて合意されたキーを開発するには、推奨される TK 26 プロトコルを使用することが提案されます。 - .
共有キーの生成に基づいてパスワードとして使用することが提案されています 。 私たちはロシアの暗号について話しているので、メカニズムを使用してワンタイムパスワードを生成するのは自然です CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC または CKM_GOSTR3411_HMAC.
このメカニズムを使用すると、SO および USER PIN コードを介してクラウド内の個人トークン オブジェクトにアクセスできるのは、ユーティリティを使用してそれらをインストールしたユーザーのみが利用できるようになります。 pk11conf.
以上です。これらの手順を完了すると、クラウド トークンを使用できるようになります。 クラウド トークンにアクセスするには、PC に LS11CLOUD ライブラリをインストールするだけです。 Android および iOS プラットフォーム上のアプリケーションでクラウド トークンを使用する場合、対応する SDK が提供されます。 Redfox ブラウザでクラウド トークンを接続するときに指定されるか、pkcs11.txt ファイルに書き込まれるのはこのライブラリです。 LS11CLOUD ライブラリは、PKCS#11 C_Initialize! を呼び出すときに作成される SESPAKE に基づく安全なチャネルを介してクラウド内のトークンとも対話します。
これで、証明書を注文してクラウド トークンにインストールし、政府サービス Web サイトにアクセスできるようになります。
出所: habr.com