PKCS#11 (Cryptoki) je standard, ki so ga razvili RSA Laboratories za medsebojno delovanje programov s kriptografskimi žetoni, pametnimi karticami in drugimi podobnimi napravami z uporabo poenotenega programskega vmesnika, ki se izvaja prek knjižnic.
Standard PKCS#11 za rusko kriptografijo podpira odbor za tehnično standardizacijo "Cryptographic Information Protection" ().
Če govorimo o žetonih, ki podpirajo rusko kriptografijo, potem lahko govorimo o programskih žetonih, programsko-strojnih žetonih in strojnih žetonih.
Kriptografski žetoni zagotavljajo tako shranjevanje certifikatov in parov ključev (javni in zasebni ključi) kot izvajanje kriptografskih operacij v skladu s standardom PKCS#11. Šibka povezava tukaj je shranjevanje zasebnega ključa. Če javni ključ izgubite, ga lahko vedno obnovite z zasebnim ključem ali ga vzamete iz potrdila. Izguba/uničenje zasebnega ključa ima hude posledice, na primer ne boste mogli dešifrirati datotek, šifriranih z vašim javnim ključem, in ne boste mogli dati elektronskega podpisa (ES). Za generiranje elektronskega podpisa boste morali generirati nov par ključev in za nekaj denarja pridobiti nov certifikat pri enem od overiteljev.
Zgoraj smo omenili žetone programske opreme, vdelane programske opreme in strojne opreme. Lahko pa razmislimo o drugi vrsti kriptografskega žetona – oblaku.
Danes ne boste nikogar presenetili . Vse bliskovni pogoni v oblaku so skoraj enaki tistim v žetonu v oblaku.
Glavna stvar pri tem je varnost podatkov, shranjenih v oblačnem žetonu, predvsem zasebnih ključev. Ali lahko žeton v oblaku to zagotovi? Mi pravimo - DA!
Kako torej deluje žeton v oblaku? Prvi korak je registracija stranke v oblaku žetonov. Če želite to narediti, morate zagotoviti pripomoček, ki vam omogoča dostop do oblaka in registracijo vaše prijave/vzdevka v njem:
Po registraciji v oblak mora uporabnik inicializirati svoj žeton, in sicer nastaviti oznako žetona in kar je najpomembneje, nastaviti SO-PIN in uporabniško PIN kodo. Te transakcije je treba izvajati samo po varnem/šifriranem kanalu. Pripomoček pk11conf se uporablja za inicializacijo žetona. Za šifriranje kanala je predlagana uporaba šifrirnega algoritma Magma-CTR (GOST R 34.13-2015).
Za razvoj dogovorjenega ključa, na podlagi katerega bo promet med odjemalcem in strežnikom zaščiten/šifriran, se predlaga uporaba priporočenega protokola TK 26 - .
Predlaga se, da se uporablja kot geslo, na podlagi katerega bo ustvarjen skupni ključ . Ker govorimo o ruski kriptografiji, je naravno ustvarjanje enkratnih gesel z uporabo mehanizmov CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC ali CKM_GOSR3411_HMAC.
Uporaba tega mehanizma zagotavlja, da je dostop do objektov osebnih žetonov v oblaku prek SO in USER PIN kod na voljo samo uporabniku, ki ju je namestil s pripomočkom pk11conf.
To je to, po zaključku teh korakov je žeton v oblaku pripravljen za uporabo. Za dostop do žetona v oblaku morate samo namestiti knjižnico LS11CLOUD na svoj osebni računalnik. Pri uporabi žetona v oblaku v aplikacijah na platformah Android in iOS je na voljo ustrezen SDK. To je ta knjižnica, ki bo podana pri povezovanju žetona v oblaku v brskalniku Redfox ali zapisana v datoteki pkcs11.txt za. Knjižnica LS11CLOUD prav tako komunicira z žetonom v oblaku prek varnega kanala, ki temelji na SESPAKE, ustvarjenem ob klicu funkcije PKCS#11 C_Initialize!
To je vse, zdaj lahko naročite potrdilo, ga namestite v žeton v oblaku in obiščete spletno mesto državnih služb.
Vir: www.habr.com