PKCS#11 (Cryptoki) je štandard vyvinutý spoločnosťou RSA Laboratories na spoluprácu programov s kryptografickými tokenmi, čipovými kartami a inými podobnými zariadeniami pomocou jednotného programovacieho rozhrania, ktoré je implementované prostredníctvom knižníc.
Štandard PKCS#11 pre ruskú kryptografiu je podporovaný výborom technickej normalizácie „Cryptographic Information Protection“ ().
Ak hovoríme o tokenoch, ktoré podporujú ruskú kryptografiu, potom môžeme hovoriť o softvérových tokenoch, softvérovo-hardvérových tokenoch a hardvérových tokenoch.
Kryptografické tokeny poskytujú ako ukladanie certifikátov a párov kľúčov (verejné a súkromné kľúče), tak aj vykonávanie kryptografických operácií v súlade so štandardom PKCS#11. Slabým článkom je tu uloženie súkromného kľúča. Ak sa verejný kľúč stratí, môžete ho kedykoľvek obnoviť pomocou súkromného kľúča alebo ho vziať z certifikátu. Strata/zničenie súkromného kľúča má strašné následky, napríklad nebudete môcť dešifrovať súbory zašifrované vaším verejným kľúčom a nebudete môcť vložiť elektronický podpis (ES). Na vygenerovanie elektronického podpisu si budete musieť vygenerovať nový pár kľúčov a za nejaké peniaze získať nový certifikát od niektorej z certifikačných autorít.
Vyššie sme spomenuli softvér, firmvér a hardvérové tokeny. Môžeme však zvážiť iný typ kryptografického tokenu – cloud.
Dnes už nikoho neprekvapíte , Všetko cloudové flash disky sú takmer totožné s diskami cloudového tokenu.
Hlavná vec je tu bezpečnosť údajov uložených v cloudovom tokene, predovšetkým súkromných kľúčov. Môže to poskytnúť cloudový token? My hovoríme – ÁNO!
Ako teda funguje cloudový token? Prvým krokom je registrácia klienta v tokenovom cloude. Na tento účel je potrebné poskytnúť pomôcku, ktorá vám umožní pristupovať ku cloudu a zaregistrovať v ňom svoje prihlasovacie meno/prezývku:
Po registrácii v cloude musí používateľ inicializovať svoj token, a to nastaviť štítok tokenu a hlavne nastaviť SO-PIN a PIN kód používateľa. Tieto transakcie sa musia vykonávať iba cez zabezpečený/šifrovaný kanál. Na inicializáciu tokenu sa používa pomocný program pk11conf. Na šifrovanie kanála sa navrhuje použiť šifrovací algoritmus Magma-CTR (GOST R 34.13-2015).
Na vytvorenie dohodnutého kľúča, na základe ktorého bude komunikácia medzi klientom a serverom chránená/šifrovaná, sa navrhuje použiť odporúčaný protokol TK 26 - .
Navrhuje sa použiť ako heslo, na základe ktorého sa vygeneruje zdieľaný kľúč . Keďže hovoríme o ruskej kryptografii, je prirodzené generovať jednorazové heslá pomocou mechanizmov CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC alebo CKM_GOSTR3411_HMAC.
Použitie tohto mechanizmu zaisťuje, že prístup k osobným tokenovým objektom v cloude prostredníctvom SO a USER PIN kódov je dostupný iba pre používateľa, ktorý si ich nainštaloval pomocou pomôcky. pk11conf.
To je všetko, po dokončení týchto krokov je cloudový token pripravený na použitie. Na prístup ku cloudovému tokenu stačí nainštalovať knižnicu LS11CLOUD na váš počítač. Pri použití cloudového tokenu v aplikáciách na platformách Android a iOS sa poskytuje zodpovedajúca súprava SDK. Práve táto knižnica bude špecifikovaná pri pripájaní cloudového tokenu v prehliadači Redfox alebo zapísaná v súbore pkcs11.txt pre. Knižnica LS11CLOUD tiež interaguje s tokenom v cloude prostredníctvom zabezpečeného kanála založeného na SESPAKE, ktorý sa vytvorí pri volaní PKCS#11 C_Initialize!
To je všetko, teraz si môžete objednať certifikát, nainštalovať ho do svojho cloudového tokenu a prejsť na webovú stránku vládnych služieb.
Zdroj: hab.com