PKCS#11 (Cryptoki) është një standard i zhvilluar nga RSA Laboratories për programe ndërvepruese me shenja kriptografike, karta inteligjente dhe pajisje të tjera të ngjashme duke përdorur një ndërfaqe programimi të unifikuar që zbatohet përmes bibliotekave.
Standardi PKCS#11 për kriptografinë ruse mbështetet nga komiteti teknik i standardizimit "Mbrojtja e Informacionit Kriptografik" ().
Nëse flasim për argumentet që mbështesin kriptografinë ruse, atëherë mund të flasim për argumentet e softuerit, argumentet softuer-hardware dhe argumentet e harduerit.
Shenjat kriptografike ofrojnë si ruajtjen e certifikatave dhe çifteve të çelësave (çelësat publikë dhe privatë) dhe performancën e operacioneve kriptografike në përputhje me standardin PKCS#11. Lidhja e dobët këtu është ruajtja e çelësit privat. Nëse çelësi publik humbet, gjithmonë mund ta rikuperoni duke përdorur çelësin privat ose ta merrni nga certifikata. Humbja/shkatërrimi i një çelësi privat ka pasoja të tmerrshme, për shembull, ju nuk do të jeni në gjendje të deshifroni skedarët e enkriptuar me çelësin tuaj publik dhe nuk do të jeni në gjendje të vendosni një nënshkrim elektronik (ES). Për të gjeneruar një nënshkrim elektronik, do t'ju duhet të gjeneroni një çift të ri çelësash dhe, për disa para, të merrni një certifikatë të re nga një prej autoriteteve të certifikimit.
Më lart përmendëm softuerin, firmware dhe argumentet e harduerit. Por ne mund të konsiderojmë një lloj tjetër të tokenit kriptografik - cloud.
Sot nuk do të befasoni askënd ... Të gjitha flash disqet cloud janë pothuajse identike me ato të një token cloud.
Gjëja kryesore këtu është siguria e të dhënave të ruajtura në tokenin e cloud, kryesisht çelësat privatë. A mund ta sigurojë këtë një shenjë cloud? Ne themi - PO!
Pra, si funksionon një shenjë cloud? Hapi i parë është regjistrimi i klientit në renë token. Për ta bërë këtë, duhet të sigurohet një program që ju lejon të hyni në cloud dhe të regjistroni hyrjen / pseudonimin tuaj në të:
Pas regjistrimit në cloud, përdoruesi duhet të inicializojë tokenin e tij, përkatësisht të vendosë etiketën e tokenit dhe, më e rëndësishmja, të vendosë kodet SO-PIN dhe PIN të përdoruesit. Këto transaksione duhet të kryhen vetëm përmes një kanali të sigurt/të koduar. Shërbimi pk11conf përdoret për të inicializuar tokenin. Për të kriptuar kanalin, propozohet përdorimi i një algoritmi kriptimi Magma-CTR (GOST R 34.13-2015).
Për të zhvilluar një çelës të rënë dakord mbi bazën e të cilit trafiku ndërmjet klientit dhe serverit do të mbrohet/kriptohet, propozohet të përdoret protokolli i rekomanduar TK 26 - .
Propozohet të përdoret si fjalëkalim mbi bazën e të cilit do të gjenerohet çelësi i përbashkët . Meqenëse po flasim për kriptografinë ruse, është e natyrshme të gjenerohen fjalëkalime një herë duke përdorur mekanizma CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC ose CKM_GOSTR3411_HMAC.
Përdorimi i këtij mekanizmi siguron që qasja në objektet e shenjave personale në cloud përmes kodeve PIN SO dhe USER është e disponueshme vetëm për përdoruesit që i ka instaluar ato duke përdorur programin. pk11conf.
Kjo është e gjitha, pas përfundimit të këtyre hapave, tokeni i cloud është gati për përdorim. Për të hyrë në kodin cloud, ju vetëm duhet të instaloni bibliotekën LS11CLOUD në kompjuterin tuaj. Kur përdorni një token cloud në aplikacionet në platformat Android dhe iOS, ofrohet një SDK përkatëse. Është kjo bibliotekë që do të specifikohet kur lidhni një shenjë cloud në shfletuesin Redfox ose shkruhet në skedarin pkcs11.txt për të. Biblioteka LS11CLOUD gjithashtu ndërvepron me tokenin në cloud nëpërmjet një kanali të sigurt të bazuar në SESPAKE, i krijuar kur telefononi PKCS#11 C_Initialize!
Kjo është e gjitha, tani mund të porosisni një certifikatë, ta instaloni në kodin tuaj të cloud dhe të shkoni në faqen e internetit të shërbimeve qeveritare.
Burimi: www.habr.com