PKCS#11 (Cryptoki) er en standard utviklet av RSA Laboratories for interopererende programmer med kryptografiske tokens, smartkort og andre lignende enheter som bruker et enhetlig programmeringsgrensesnitt som er implementert gjennom biblioteker.
PKCS#11-standarden for russisk kryptografi støttes av den tekniske standardiseringskomiteen "Cryptographic Information Protection" ().
Hvis vi snakker om tokens som støtter russisk kryptografi, kan vi snakke om programvare-tokens, programvare-hardware-tokens og hardware-tokens.
Kryptografiske tokens gir både lagring av sertifikater og nøkkelpar (offentlige og private nøkler) og ytelsen til kryptografiske operasjoner i samsvar med PKCS#11-standarden. Den svake lenken her er lagringen av den private nøkkelen. Hvis den offentlige nøkkelen går tapt, kan du alltid gjenopprette den ved å bruke den private nøkkelen eller ta den fra sertifikatet. Tap/ødeleggelse av en privat nøkkel har alvorlige konsekvenser, for eksempel vil du ikke kunne dekryptere filer kryptert med din offentlige nøkkel, og du vil ikke kunne sette inn en elektronisk signatur (ES). For å generere en elektronisk signatur, må du generere et nytt nøkkelpar og, for noen penger, få et nytt sertifikat fra en av sertifiseringsmyndighetene.
Ovenfor nevnte vi programvare, fastvare og maskinvare-tokens. Men vi kan vurdere en annen type kryptografisk token - sky.
I dag vil du ikke overraske noen ... Alt skyflash-stasjoner er nesten identiske med sky-tokens.
Det viktigste her er sikkerheten til dataene som er lagret i skytokenet, først og fremst de private nøklene. Kan et skytoken gi dette? Vi sier - JA!
Så hvordan fungerer et skytoken? Det første trinnet er å registrere klienten i token-skyen. For å gjøre dette, må det leveres et verktøy som lar deg få tilgang til skyen og registrere påloggingen/kallenavnet ditt i den:
Etter registrering i skyen må brukeren initialisere sin token, nemlig sette token-etiketten og, viktigst av alt, angi SO-PIN og bruker-PIN-koder. Disse transaksjonene må kun utføres over en sikker/kryptert kanal. Pk11conf-verktøyet brukes til å initialisere tokenet. For å kryptere kanalen foreslås det å bruke en krypteringsalgoritme Magma-CTR (GOST R 34.13-2015).
For å utvikle en avtalt nøkkel på grunnlag av hvilken trafikk mellom klient og server skal beskyttes/krypteres, foreslås det å bruke den anbefalte TK 26-protokollen - .
Det foreslås brukt som passord som den delte nøkkelen vil bli generert på grunnlag av . Siden vi snakker om russisk kryptografi, er det naturlig å generere engangspassord ved hjelp av mekanismer CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC eller CKM_GOSTR3411_HMAC.
Bruken av denne mekanismen sikrer at tilgang til personlige token-objekter i skyen gjennom SO og USER PIN-koder kun er tilgjengelig for brukeren som installerte dem ved hjelp av verktøyet pk11conf.
Det er det, etter å ha fullført disse trinnene, er skytokenet klart til bruk. For å få tilgang til skytokenet trenger du bare å installere LS11CLOUD-biblioteket på din PC. Når du bruker et skytoken i applikasjoner på Android- og iOS-plattformene, leveres en tilsvarende SDK. Det er dette biblioteket som vil bli spesifisert når du kobler til et skytoken i Redfox-nettleseren eller skrevet i filen pkcs11.txt for. LS11CLOUD-biblioteket samhandler også med tokenet i skyen via en sikker kanal basert på SESPAKE, opprettet når du kaller PKCS#11 C_Initialize-funksjonen!
Det er alt, nå kan du bestille et sertifikat, installere det i skytokenet ditt og gå til nettstedet for offentlige tjenester.
Kilde: www.habr.com