Mākoņa marķieris PKCS#11 – mīts vai realitāte?

PKCS#11 (Cryptoki) ir RSA Laboratories izstrādāts standarts programmu sadarbošanai ar kriptogrāfijas marķieriem, viedkartēm un citām līdzīgām ierīcēm, izmantojot vienotu programmēšanas interfeisu, kas tiek ieviests caur bibliotēkām.

PKCS#11 standartu Krievijas kriptogrāfijai atbalsta tehniskās standartizācijas komiteja "Kriptogrāfiskās informācijas aizsardzība" (TK 26).

Ja mēs runājam par tokeniem, kas atbalsta krievu kriptogrāfiju, tad mēs varam runāt par programmatūras marķieriem, programmatūras-aparatūras marķieriem un aparatūras marķieriem.

Kriptogrāfiskie marķieri nodrošina gan sertifikātu un atslēgu pāru (publisko un privāto atslēgu) glabāšanu, gan kriptogrāfisko darbību veikšanu saskaņā ar PKCS#11 standartu. Vājais posms šeit ir privātās atslēgas glabāšana. Ja publiskā atslēga ir pazaudēta, vienmēr varat to atgūt, izmantojot privāto atslēgu vai izņemt to no sertifikāta. Privātās atslēgas nozaudēšana/iznīcināšana rada šausmīgas sekas, piemēram, jūs nevarēsit atšifrēt failus, kas šifrēti ar jūsu publisko atslēgu, un jūs nevarēsit ievietot elektronisko parakstu (ES). Lai ģenerētu elektronisko parakstu, jums būs jāģenerē jauns atslēgu pāris un par nelielu naudu jāiegūst jauns sertifikāts no vienas no sertifikācijas iestādēm.

Iepriekš mēs minējām programmatūras, programmaparatūras un aparatūras marķierus. Bet mēs varam apsvērt citu kriptogrāfijas marķiera veidu - mākoni.

Šodien jūs nevienu nepārsteigsiet mākoņa zibatmiņas disks. Viss Priekšrocības un trūkumi mākoņa zibatmiņas diski ir gandrīz identiski mākoņa marķieriem.

Šeit galvenais ir mākoņa marķierā saglabāto datu, galvenokārt privāto atslēgu, drošība. Vai mākoņa marķieris to var nodrošināt? Mēs sakām - JĀ!

Tātad, kā darbojas mākoņa marķieris? Pirmais solis ir reģistrēt klientu marķieru mākonī. Lai to izdarītu, ir jānodrošina utilīta, kas ļauj piekļūt mākonim un reģistrēt tajā savu pieteikumvārdu/segvārdu:


Pēc reģistrēšanās mākonī lietotājam ir jāinicializē savs marķieris, proti, jāiestata marķiera etiķete un, pats galvenais, jāiestata SO-PIN un lietotāja PIN kodi. Šie darījumi ir jāveic tikai drošā/šifrētā kanālā. Lai inicializētu marķieri, tiek izmantota utilīta pk11conf. Lai šifrētu kanālu, tiek piedāvāts izmantot šifrēšanas algoritmu Magma-VKS (GOST R 34.13-2015).

Lai izstrādātu saskaņotu atslēgu, uz kuras pamata tiks aizsargāta/šifrēta trafika starp klientu un serveri, tiek piedāvāts izmantot ieteicamo TK 26 protokolu. SESPAKE Sākot no koplietojamo atslēgu ģenerēšanas protokols ar paroles autentifikāciju.

Tiek ierosināts izmantot kā paroli, uz kuras pamata tiks ģenerēta koplietotā atslēga vienreizējas paroles mehānisms. Tā kā mēs runājam par krievu kriptogrāfiju, ir dabiski ģenerēt vienreizējas paroles, izmantojot mehānismus CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC vai CKM_GOSTR3411_HMAC.

Šī mehānisma izmantošana nodrošina, ka piekļuve personīgajiem marķiera objektiem mākonī, izmantojot SO un USER PIN kodus, ir pieejama tikai lietotājam, kurš tos instalēja, izmantojot utilītu. pk11conf.

Tas arī viss. Pēc šo darbību veikšanas mākoņa marķieris ir gatavs lietošanai. Lai piekļūtu mākoņa pilnvarai, datorā vienkārši jāinstalē bibliotēka LS11CLOUD. Izmantojot mākoņa marķieri Android un iOS platformu lietojumprogrammās, tiek nodrošināts atbilstošs SDK. Tieši šī bibliotēka tiks norādīta, pievienojot mākoņa marķieri Redfox pārlūkprogrammā vai rakstīta failā pkcs11.txt. LS11CLOUD bibliotēka arī mijiedarbojas ar mākonī esošo marķieri, izmantojot drošu kanālu, kura pamatā ir SESPAKE, kas izveidots, izsaucot funkciju PKCS#11 C_Initialize!

Tas arī viss. Tagad varat pasūtīt sertifikātu, instalēt to savā mākoņa marķierā un doties uz valdības pakalpojumu vietni.

Avots: www.habr.com