PKCS#11 (Cryptoki) – кітапханалар арқылы жүзеге асырылатын бірыңғай бағдарламалау интерфейсін пайдалана отырып, криптографиялық таңбалауыштармен, смарт-карталармен және басқа ұқсас құрылғылармен бағдарламалардың өзара әрекеттесуі үшін RSA Laboratories әзірлеген стандарт.
Ресейлік криптографияға арналған PKCS#11 стандартын «Криптографиялық ақпаратты қорғау» техникалық стандарттау комитеті қолдайды ().
Егер біз ресейлік криптографияны қолдайтын таңбалауыштар туралы айтатын болсақ, онда бағдарламалық қамтамасыз ету, бағдарламалық-аппараттық токендер және аппараттық токендер туралы айтуға болады.
Криптографиялық таңбалауыштар PKCS#11 стандартына сәйкес сертификаттар мен кілт жұптарын (ашық және жабық кілттер) сақтауды және криптографиялық операциялардың орындалуын қамтамасыз етеді. Мұнда әлсіз сілтеме - жеке кілттің сақталуы. Егер ашық кілт жоғалса, оны әрқашан жеке кілт арқылы қалпына келтіруге немесе сертификаттан алуға болады. Жеке кілттің жоғалуы/жоюы ауыр зардаптарға әкеледі, мысалы, сіз ашық кілтпен шифрланған файлдардың шифрын шеше алмайсыз және электрондық қолтаңбаны (ES) қоя алмайсыз. Электрондық қолтаңбаны жасау үшін сізге жаңа кілт жұбын жасау керек және біраз ақшаға сертификаттау орталықтарының бірінен жаңа сертификат алу керек.
Жоғарыда біз бағдарламалық жасақтаманы, микробағдарламаны және аппараттық құралдарды атап өттік. Бірақ біз криптографиялық таңбалауыштың басқа түрін – бұлтты қарастыра аламыз.
Бүгін сіз ешкімді таң қалдырмайсыз . барлық бұлттық флэш-дискілер бұлттық таңбалауыштың флэш-дискілеріне ұқсас.
Мұнда ең бастысы - бұлттық таңбалауышта сақталған деректердің, ең алдымен жеке кілттердің қауіпсіздігі. Бұлтты белгі мұны қамтамасыз ете ала ма? Біз айтамыз - ИӘ!
Сонымен, бұлт белгісі қалай жұмыс істейді? Бірінші қадам - клиентті таңбалауыш бұлтында тіркеу. Мұны істеу үшін бұлтқа кіруге және оған логинді/лақап атыңызды тіркеуге мүмкіндік беретін утилита болуы керек:
Бұлтта тіркелгеннен кейін пайдаланушы өзінің таңбалауышын инициализациялауы керек, атап айтқанда таңбалауыш белгісін орнатуы және, ең бастысы, SO-PIN және пайдаланушы PIN кодтарын орнатуы керек. Бұл транзакциялар тек қауіпсіз/шифрланған арна арқылы жүргізілуі керек. pk11conf утилитасы таңбалауышты инициализациялау үшін пайдаланылады. Арнаны шифрлау үшін шифрлау алгоритмін қолдану ұсынылады Магма-CTR (ГОСТ Р 34.13-2015).
Клиент пен сервер арасындағы трафик қорғалатын/шифрланатын келісілген кілтті әзірлеу үшін ұсынылған TK 26 протоколын пайдалану ұсынылады. - .
Құпия сөз ретінде пайдалану ұсынылады, оның негізінде ортақ кілт жасалады . Әңгіме ресейлік криптография туралы болғандықтан, механизмдерді пайдалана отырып, бір реттік парольдерді жасау табиғи нәрсе CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC немесе CKM_GOSTR3411_HMAC.
Бұл механизмді пайдалану SO және USER PIN кодтары арқылы бұлттағы жеке таңбалауыш нысандарына кіру тек қызметтік бағдарлама арқылы оларды орнатқан пайдаланушыға қолжетімді болуын қамтамасыз етеді. pk11conf.
Міне, осы қадамдарды орындағаннан кейін бұлттық таңбалауыш пайдалануға дайын. Бұлтты таңбалауышқа қол жеткізу үшін компьютерге LS11CLOUD кітапханасын орнату жеткілікті. Android және iOS платформаларындағы қолданбаларда бұлттық таңбалауышты пайдаланған кезде сәйкес SDK беріледі. Дәл осы кітапхана Redfox браузерінде бұлтты таңбалауышты қосу кезінде көрсетіледі немесе pkcs11.txt файлында жазылады. LS11CLOUD кітапханасы сонымен қатар PKCS#11 C_Initialize функциясын шақыру кезінде жасалған SESPAKE негізіндегі қауіпсіз арна арқылы бұлттағы таңбалауышпен өзара әрекеттеседі!
Барлығы, енді сіз сертификатқа тапсырыс бере аласыз, оны бұлттық таңбалауышыңызға орнатып, мемлекеттік қызметтердің веб-сайтына кіре аласыз.
Ақпарат көзі: www.habr.com