PKCS#11 (Cryptoki) ialah piawaian yang dibangunkan oleh RSA Laboratories untuk program antara operasi dengan token kriptografi, kad pintar dan peranti lain yang serupa menggunakan antara muka pengaturcaraan bersatu yang dilaksanakan melalui perpustakaan.
Piawaian PKCS#11 untuk kriptografi Rusia disokong oleh jawatankuasa penyeragaman teknikal "Perlindungan Maklumat Kriptografi" ().
Jika kita bercakap tentang token yang menyokong kriptografi Rusia, maka kita boleh bercakap tentang token perisian, token perisian-perkakasan dan token perkakasan.
Token kriptografi menyediakan kedua-dua storan sijil dan pasangan kunci (kunci awam dan peribadi) dan prestasi operasi kriptografi mengikut piawaian PKCS#11. Pautan lemah di sini ialah penyimpanan kunci peribadi. Jika kunci awam hilang, anda sentiasa boleh memulihkannya menggunakan kunci persendirian atau mengambilnya daripada sijil. Kehilangan/kemusnahan kunci persendirian mempunyai akibat yang teruk, contohnya, anda tidak akan dapat menyahsulit fail yang disulitkan dengan kunci awam anda dan anda tidak akan dapat meletakkan tandatangan elektronik (ES). Untuk menjana tandatangan elektronik, anda perlu menjana pasangan kunci baharu dan, untuk sedikit wang, dapatkan sijil baharu daripada salah satu pihak berkuasa pensijilan.
Di atas kami menyebut perisian, perisian tegar dan token perkakasan. Tetapi kita boleh mempertimbangkan satu lagi jenis token kriptografi - awan.
Hari ini anda tidak akan mengejutkan sesiapa pun . Semua pemacu kilat awan hampir sama dengan token awan.
Perkara utama di sini ialah keselamatan data yang disimpan dalam token awan, terutamanya kunci peribadi. Bolehkah token awan memberikan ini? Kami berkata - YA!
Jadi bagaimana token awan berfungsi? Langkah pertama ialah mendaftarkan pelanggan dalam awan token. Untuk melakukan ini, utiliti mesti disediakan yang membolehkan anda mengakses awan dan mendaftar log masuk/nama panggilan anda di dalamnya:
Selepas mendaftar di awan, pengguna mesti memulakan tokennya, iaitu menetapkan label token dan, yang paling penting, menetapkan SO-PIN dan kod PIN pengguna. Urus niaga ini mesti dijalankan melalui saluran selamat/disulitkan sahaja. Utiliti pk11conf digunakan untuk memulakan token. Untuk menyulitkan saluran, adalah dicadangkan untuk menggunakan algoritma penyulitan Magma-CTR (GOST R 34.13-2015).
Untuk membangunkan kunci yang dipersetujui berdasarkan trafik antara klien dan pelayan akan dilindungi/disulitkan, adalah dicadangkan untuk menggunakan protokol TK 26 yang disyorkan - .
Ia dicadangkan untuk digunakan sebagai kata laluan berdasarkan kunci yang dikongsi akan dijana . Oleh kerana kita bercakap tentang kriptografi Rusia, adalah wajar untuk menjana kata laluan sekali menggunakan mekanisme CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC atau CKM_GOSTR3411_HMAC.
Penggunaan mekanisme ini memastikan bahawa akses kepada objek token peribadi di awan melalui SO dan kod PIN PENGGUNA hanya tersedia kepada pengguna yang memasangnya menggunakan utiliti. pk11conf.
Itu sahaja, selepas melengkapkan langkah ini, token awan sedia untuk digunakan. Untuk mengakses token awan, anda hanya perlu memasang perpustakaan LS11CLOUD pada PC anda. Apabila menggunakan token awan dalam aplikasi pada platform Android dan iOS, SDK yang sepadan disediakan. Pustaka inilah yang akan ditentukan apabila menyambungkan token awan dalam penyemak imbas Redfox atau ditulis dalam fail pkcs11.txt untuk. Pustaka LS11CLOUD juga berinteraksi dengan token dalam awan melalui saluran selamat berdasarkan SESPAKE, dibuat apabila memanggil fungsi PKCS#11 C_Initialize!
Itu sahaja, kini anda boleh memesan sijil, memasangnya dalam token awan anda dan pergi ke tapak web perkhidmatan kerajaan.
Sumber: www.habr.com