PKCS#11 (Cryptoki) нь RSA Laboratories-ээс номын сангуудаар дамжуулан хэрэгжүүлдэг нэгдсэн програмчлалын интерфейсийг ашиглан криптограф жетон, ухаалаг карт болон бусад ижил төстэй төхөөрөмжүүдтэй хамтран ажиллах программуудад зориулагдсан стандарт юм.
Оросын криптографийн PKCS №11 стандартыг "Криптографийн мэдээллийн хамгаалалт" техникийн стандартчиллын хороо дэмждэг.).
Хэрэв бид Оросын криптографийг дэмждэг токенуудын талаар ярих юм бол програм хангамжийн токенууд, програм хангамж-техникийн токенууд, техник хангамжийн жетонуудын тухай ярьж болно.
Криптографийн жетон нь PKCS#11 стандартын дагуу гэрчилгээ, түлхүүр хос (нийтийн болон хувийн түлхүүр) хадгалах, криптограф үйлдлийн гүйцэтгэлийг хоёуланг нь хангадаг. Энд байгаа сул холбоос бол хувийн түлхүүрийг хадгалах явдал юм. Хэрэв нийтийн түлхүүр алдагдсан бол та үүнийг хувийн түлхүүрээр сэргээх эсвэл гэрчилгээнээс авах боломжтой. Хувийн түлхүүрийг алдах/устгах нь аймшигтай үр дагавартай, жишээлбэл, та нийтийн түлхүүрээр шифрлэгдсэн файлын кодыг тайлах боломжгүй, цахим гарын үсэг (ES) хийх боломжгүй болно. Цахим гарын үсгийг бий болгохын тулд та шинэ түлхүүр хос үүсгэж, зарим нэг мөнгөөр баталгаажуулалтын эрх бүхий байгууллагаас шинэ гэрчилгээ авах шаардлагатай болно.
Дээр бид програм хангамж, програм хангамж, техник хангамжийн жетонуудыг дурдсан. Гэхдээ бид өөр төрлийн криптограф токеныг авч үзэх боломжтой - үүл.
Өнөөдөр та хэнийг ч гайхшруулахгүй . Бүгд үүлэн флаш дискүүд нь үүл жетонтой бараг ижил байдаг.
Энд гол зүйл бол үүлэн токенд хадгалагдсан өгөгдлийн аюулгүй байдал, ялангуяа хувийн түлхүүрүүд юм. Үүлэн токен үүнийг хангаж чадах уу? Бид хэлдэг - ТИЙМ!
Тэгэхээр үүлэн токен хэрхэн ажилладаг вэ? Эхний алхам бол токен үүлэнд үйлчлүүлэгчээ бүртгүүлэх явдал юм. Үүнийг хийхийн тулд үүлэнд нэвтэрч, нэвтрэх / хоч нэрээ бүртгүүлэх боломжтой хэрэгслийг өгөх ёстой.
Cloud-д бүртгүүлсний дараа хэрэглэгч токеноо эхлүүлэх, тухайлбал токен шошгыг тохируулах, хамгийн чухал нь SO-PIN болон хэрэглэгчийн PIN кодыг тохируулах ёстой. Эдгээр гүйлгээг зөвхөн аюулгүй/шифрлэгдсэн сувгаар хийх ёстой. Токеныг эхлүүлэхийн тулд pk11conf хэрэгслийг ашигладаг. Сувгийг шифрлэхийн тулд шифрлэлтийн алгоритмыг ашиглахыг санал болгож байна Магма-ЗС (ГОСТ R 34.13-2015).
Үйлчлүүлэгч болон серверийн хоорондох траффикийг хамгаалах/шифрлэх үндсэн дээр тохиролцсон түлхүүрийг боловсруулахын тулд санал болгож буй TK 26 протоколыг ашиглахыг санал болгож байна. - .
Хуваалцсан түлхүүрийг үүсгэсэн нууц үг болгон ашиглахыг санал болгож байна . Бид Оросын криптографийн тухай ярьж байгаа тул механизм ашиглан нэг удаагийн нууц үг үүсгэх нь зүйн хэрэг юм CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC буюу CKM_GOSTR3411_HMAC.
Энэхүү механизмыг ашигласнаар SO болон USER PIN кодоор дамжуулан үүлэн доторх хувийн жетон объектуудад хандах эрхийг зөвхөн уг хэрэгслийг ашиглан суулгасан хэрэглэгч л авах боломжтой. pk11conf.
Ингээд л эдгээр алхмуудыг хийж дууссаны дараа үүлэн токен ашиглахад бэлэн боллоо. Клоуд токен руу нэвтрэхийн тулд та LS11CLOUD номын санг компьютер дээрээ суулгахад л хангалттай. Android болон iOS платформ дээрх програмуудад үүлэн токеныг ашиглах үед холбогдох SDK-г өгдөг. Redfox хөтөч дээр үүлэн токеныг холбох эсвэл pkcs11.txt файлд бичихдээ энэ номын санд зааж өгөх болно. LS11CLOUD номын сан нь PKCS#11 C_Initialize функцийг дуудах үед үүсгэсэн SESPAKE дээр суурилсан аюулгүй сувгаар үүлэн доторх токентой харилцдаг!
Ингээд л та гэрчилгээ захиалж, үүлэн токен дээрээ суулгаж, төрийн үйлчилгээний вэбсайт руу орж болно.
Эх сурвалж: www.habr.com