PKCS#11 (Cryptoki) ir RSA Laboratories izstrÄdÄts standarts programmu sadarboÅ”anai ar kriptogrÄfijas marÄ·ieriem, viedkartÄm un citÄm lÄ«dzÄ«gÄm ierÄ«cÄm, izmantojot vienotu programmÄÅ”anas interfeisu, kas tiek ieviests caur bibliotÄkÄm.
PKCS#11 standartu Krievijas kriptogrÄfijai atbalsta tehniskÄs standartizÄcijas komiteja "KriptogrÄfiskÄs informÄcijas aizsardzÄ«ba" (
Ja mÄs runÄjam par tokeniem, kas atbalsta krievu kriptogrÄfiju, tad mÄs varam runÄt par programmatÅ«ras marÄ·ieriem, programmatÅ«ras-aparatÅ«ras marÄ·ieriem un aparatÅ«ras marÄ·ieriem.
KriptogrÄfiskie marÄ·ieri nodroÅ”ina gan sertifikÄtu un atslÄgu pÄru (publisko un privÄto atslÄgu) glabÄÅ”anu, gan kriptogrÄfisko darbÄ«bu veikÅ”anu saskaÅÄ ar PKCS#11 standartu. VÄjais posms Å”eit ir privÄtÄs atslÄgas glabÄÅ”ana. Ja publiskÄ atslÄga ir pazaudÄta, vienmÄr varat to atgÅ«t, izmantojot privÄto atslÄgu vai izÅemt to no sertifikÄta. PrivÄtÄs atslÄgas nozaudÄÅ”ana/iznÄ«cinÄÅ”ana rada Å”ausmÄ«gas sekas, piemÄram, jÅ«s nevarÄsit atÅ”ifrÄt failus, kas Å”ifrÄti ar jÅ«su publisko atslÄgu, un jÅ«s nevarÄsit ievietot elektronisko parakstu (ES). Lai Ä£enerÄtu elektronisko parakstu, jums bÅ«s jÄÄ£enerÄ jauns atslÄgu pÄris un par nelielu naudu jÄiegÅ«st jauns sertifikÄts no vienas no sertifikÄcijas iestÄdÄm.
IepriekÅ” mÄs minÄjÄm programmatÅ«ras, programmaparatÅ«ras un aparatÅ«ras marÄ·ierus. Bet mÄs varam apsvÄrt citu kriptogrÄfijas marÄ·iera veidu - mÄkoni.
Å odien jÅ«s nevienu nepÄrsteigsiet
Å eit galvenais ir mÄkoÅa marÄ·ierÄ saglabÄto datu, galvenokÄrt privÄto atslÄgu, droŔība. Vai mÄkoÅa marÄ·ieris to var nodroÅ”inÄt? MÄs sakÄm - JÄ!
TÄtad, kÄ darbojas mÄkoÅa marÄ·ieris? Pirmais solis ir reÄ£istrÄt klientu marÄ·ieru mÄkonÄ«. Lai to izdarÄ«tu, ir jÄnodroÅ”ina utilÄ«ta, kas ļauj piekļūt mÄkonim un reÄ£istrÄt tajÄ savu pieteikumvÄrdu/segvÄrdu:
PÄc reÄ£istrÄÅ”anÄs mÄkonÄ« lietotÄjam ir jÄinicializÄ savs marÄ·ieris, proti, jÄiestata marÄ·iera etiÄ·ete un, pats galvenais, jÄiestata SO-PIN un lietotÄja PIN kodi. Å ie darÄ«jumi ir jÄveic tikai droÅ”Ä/Å”ifrÄtÄ kanÄlÄ. Lai inicializÄtu marÄ·ieri, tiek izmantota utilÄ«ta pk11conf. Lai Å”ifrÄtu kanÄlu, tiek piedÄvÄts izmantot Å”ifrÄÅ”anas algoritmu Magma-VKS (GOST R 34.13-2015).
Lai izstrÄdÄtu saskaÅotu atslÄgu, uz kuras pamata tiks aizsargÄta/Å”ifrÄta trafika starp klientu un serveri, tiek piedÄvÄts izmantot ieteicamo TK 26 protokolu.
Tiek ierosinÄts izmantot kÄ paroli, uz kuras pamata tiks Ä£enerÄta koplietotÄ atslÄga
Å Ä« mehÄnisma izmantoÅ”ana nodroÅ”ina, ka piekļuve personÄ«gajiem marÄ·iera objektiem mÄkonÄ«, izmantojot SO un USER PIN kodus, ir pieejama tikai lietotÄjam, kurÅ” tos instalÄja, izmantojot utilÄ«tu. pk11conf.
Tas arÄ« viss. PÄc Å”o darbÄ«bu veikÅ”anas mÄkoÅa marÄ·ieris ir gatavs lietoÅ”anai. Lai piekļūtu mÄkoÅa pilnvarai, datorÄ vienkÄrÅ”i jÄinstalÄ bibliotÄka LS11CLOUD. Izmantojot mÄkoÅa marÄ·ieri Android un iOS platformu lietojumprogrammÄs, tiek nodroÅ”inÄts atbilstoÅ”s SDK. TieÅ”i Ŕī bibliotÄka tiks norÄdÄ«ta, pievienojot mÄkoÅa marÄ·ieri Redfox pÄrlÅ«kprogrammÄ vai rakstÄ«ta failÄ pkcs11.txt. LS11CLOUD bibliotÄka arÄ« mijiedarbojas ar mÄkonÄ« esoÅ”o marÄ·ieri, izmantojot droÅ”u kanÄlu, kura pamatÄ ir SESPAKE, kas izveidots, izsaucot funkciju PKCS#11 C_Initialize!
Tas arÄ« viss. Tagad varat pasÅ«tÄ«t sertifikÄtu, instalÄt to savÄ mÄkoÅa marÄ·ierÄ un doties uz valdÄ«bas pakalpojumu vietni.
Avots: www.habr.com