PKCS#11 (Cryptoki) yra RSA Laboratories sukurtas standartas, skirtas programų sąveikai su kriptografiniais žetonais, intelektualiosiomis kortelėmis ir kitais panašiais įrenginiais, naudojant vieningą programavimo sąsają, kuri įgyvendinama per bibliotekas.
Rusijos kriptografijos standartą PKCS#11 palaiko techninio standartizacijos komitetas „Kriptografinės informacijos apsauga“ ().
Jei kalbame apie žetonus su Rusijos kriptografijos palaikymu, tai galime kalbėti apie programinės įrangos žetonus, programinės įrangos ir aparatūros žetonus bei aparatūros žetonus.
Kriptografiniai žetonai suteikia tiek sertifikatų ir raktų porų (viešųjų ir privačių raktų) saugojimą, tiek kriptografinių operacijų atlikimą pagal PKCS#11 standartą. Silpna grandis čia yra privataus rakto saugojimas. Jei pametate viešąjį raktą, visada galite jį atkurti naudodami privatų raktą arba paimti iš sertifikato. Privataus rakto praradimas / sunaikinimas turi skaudžių pasekmių, pavyzdžiui, negalėsite iššifruoti failų, užšifruotų jūsų viešuoju raktu, ir negalėsite įdėti elektroninio parašo (ES). Norėdami sugeneruoti elektroninį parašą, turėsite sugeneruoti naują raktų porą ir už šiek tiek pinigų gauti naują sertifikatą iš vienos iš sertifikavimo institucijų.
Aukščiau paminėjome programinės įrangos, programinės įrangos ir aparatinės įrangos prieigos raktus. Tačiau galime apsvarstyti kitą kriptografinio žetono tipą - debesį.
Šiandien nieko nenustebinsi ... Viskas debesies „flash drives“ yra beveik identiškos debesies atpažinimo atmintinėms.
Svarbiausia čia yra debesies prieigos rakte saugomų duomenų, visų pirma privačių raktų, saugumas. Ar debesies prieigos raktas gali tai suteikti? Mes sakome - TAIP!
Taigi, kaip veikia debesies prieigos raktas? Pirmas žingsnis yra užregistruoti klientą žetonų debesyje. Norėdami tai padaryti, turi būti pateikta programa, leidžianti pasiekti debesį ir jame užregistruoti savo prisijungimo vardą / slapyvardį:
Prisiregistravęs debesyje vartotojas turi inicijuoti savo žetoną, būtent nustatyti žetono etiketę ir, svarbiausia, nustatyti SO-PIN ir vartotojo PIN kodus. Šios operacijos turi būti atliekamos tik saugiu / užšifruotu kanalu. Ženklui inicijuoti naudojama pk11conf programa. Kanalui užšifruoti siūloma naudoti šifravimo algoritmą Magma-PR (GOST R 34.13-2015).
Norint sukurti sutartą raktą, kurio pagrindu bus apsaugotas/šifruojamas srautas tarp kliento ir serverio, siūloma naudoti rekomenduojamą TK 26 protokolą. - .
Siūloma naudoti kaip slaptažodį, kurio pagrindu bus generuojamas bendras raktas . Kadangi kalbame apie rusišką kriptografiją, natūralu vienkartinius slaptažodžius generuoti naudojant mechanizmus CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC arba CKM_GOSTR3411_HMAC.
Šio mechanizmo naudojimas užtikrina, kad prieiga prie asmeninių žetonų objektų debesyje per SO ir USER PIN kodus būtų prieinama tik vartotojui, kuris juos įdiegė naudodamasis programa pk11conf.
Tai viskas, atlikus šiuos veiksmus debesies prieigos raktas yra paruoštas naudoti. Norėdami pasiekti debesies prieigos raktą, tiesiog savo kompiuteryje turite įdiegti LS11CLOUD biblioteką. Naudojant debesies prieigos raktą programose Android ir iOS platformose, pateikiamas atitinkamas SDK. Būtent ši biblioteka bus nurodyta prijungiant debesies prieigos raktą „Redfox“ naršyklėje arba įrašoma į pkcs11.txt failą. LS11CLOUD biblioteka taip pat sąveikauja su prieigos raktu debesyje per saugų kanalą, pagrįstą SESPAKE, sukurtą iškviečiant funkciją PKCS#11 C_Initialize!
Tai viskas, dabar galite užsisakyti sertifikatą, įdiegti jį savo debesies prieigos rakte ir apsilankyti vyriausybės paslaugų svetainėje.
Šaltinis: www.habr.com