PKCS#11 (Cryptoki) este un standard dezvoltat de RSA Laboratories pentru interoperarea programelor cu jetoane criptografice, carduri inteligente și alte dispozitive similare folosind o interfață de programare unificată care este implementată prin biblioteci.
Standardul PKCS#11 pentru criptografia rusă este susținut de comitetul de standardizare tehnică „Protecția informațiilor criptografice” ().
Dacă vorbim despre jetoane cu suport pentru criptografia rusă, atunci putem vorbi despre jetoane software, jetoane software și hardware și jetoane hardware.
Tokenurile criptografice asigură atât stocarea certificatelor și perechilor de chei (chei publice și private), cât și efectuarea operațiunilor criptografice în conformitate cu standardul PKCS#11. Veriga slabă aici este stocarea cheii private. Dacă cheia publică este pierdută, o puteți recupera oricând folosind cheia privată sau o puteți lua din certificat. Pierderea/distrugerea unei chei private are consecințe groaznice, de exemplu, nu veți putea decripta fișierele criptate cu cheia dumneavoastră publică și nu veți putea pune o semnătură electronică (ES). Pentru a genera o semnătură electronică, va trebui să generați o nouă pereche de chei și, pentru niște bani, să obțineți un nou certificat de la una dintre autoritățile de certificare.
Mai sus am menționat software-ul, firmware-ul și jetoanele hardware. Dar putem lua în considerare un alt tip de token criptografic – cloud.
Astăzi nu vei surprinde pe nimeni ... Tot Unitățile flash cloud sunt aproape identice cu cele ale unui token cloud.
Principalul lucru aici este securitatea datelor stocate în token-ul cloud, în primul rând cheile private. Poate un token cloud să ofere acest lucru? Noi spunem - DA!
Deci, cum funcționează un token cloud? Primul pas este înregistrarea clientului în token cloud. Pentru a face acest lucru, trebuie furnizat un utilitar care vă permite să accesați cloud și să vă înregistrați login/nickname-ul în acesta:
După înregistrarea în cloud, utilizatorul trebuie să își inițialeze token-ul, și anume să seteze eticheta token-ului și, cel mai important, să seteze codurile SO-PIN și PIN utilizator. Aceste tranzacții trebuie efectuate numai pe un canal securizat/criptat. Utilitarul pk11conf este folosit pentru a inițializa jetonul. Pentru a cripta canalul, se propune utilizarea unui algoritm de criptare Magma-CTR (GOST R 34.13-2015).
Pentru a dezvolta o cheie agreată pe baza căreia traficul dintre client și server va fi protejat/criptat, se propune utilizarea protocolului TK 26 recomandat. - .
Se propune utilizarea ca parolă pe baza căreia va fi generată cheia partajată . Din moment ce vorbim despre criptografia rusă, este firesc să generați parole unice folosind mecanisme CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC sau CKM_GOSTR3411_HMAC.
Utilizarea acestui mecanism asigură că accesul la obiectele token personale din cloud prin codurile SO și PIN UTILIZATOR este disponibil numai utilizatorului care le-a instalat folosind utilitarul pk11conf.
Asta e, după parcurgerea acestor pași, token-ul cloud este gata de utilizare. Pentru a accesa token-ul cloud, trebuie doar să instalați biblioteca LS11CLOUD pe computer. Când utilizați un token cloud în aplicații pe platformele Android și iOS, este furnizat un SDK corespunzător. Această bibliotecă va fi specificată la conectarea unui token cloud în browserul Redfox sau scris în fișierul pkcs11.txt pentru. De asemenea, biblioteca LS11CLOUD interacționează cu token-ul din cloud printr-un canal securizat bazat pe SESPAKE, creat la apelarea funcției PKCS#11 C_Initialize!
Asta e tot, acum poți să comanzi un certificat, să-l instalezi în token-ul tău cloud și să mergi pe site-ul web al serviciilor guvernamentale.
Sursa: www.habr.com