PKCS # 11 (Cryptoki) mangrupikeun standar anu dikembangkeun ku RSA Laboratories pikeun program interoperating sareng token cryptographic, kartu pinter, sareng alat anu sami anu nganggo antarmuka program ngahijikeun anu dilaksanakeun ngaliwatan perpustakaan.
Standar PKCS #11 pikeun kriptografi Rusia dirojong ku panitia standardisasi téknis "Perlindungan Émbaran Kriptografi" ().
Lamun urang ngobrol ngeunaan tokens nu ngarojong kriptografi Rusia, urang tiasa ngobrol ngeunaan token software, token software-hardware jeung token hardware.
token kriptografi nyadiakeun duanana neundeun sertipikat jeung pasangan konci (konci umum jeung swasta) jeung kinerja operasi cryptographic luyu jeung standar PKCS # 11. Link lemah didieu nyaeta neundeun konci swasta. Lamun konci publik leungit, anjeun salawasna bisa cageur deui maké konci swasta atawa nyokot tina sertipikat. Leungitna / karuksakan konci swasta boga konsekuensi pikareueuseun, Contona, anjeun moal bisa ngadekrip file énkripsi kalawan konci publik Anjeun, jeung anjeun moal bisa nempatkeun hiji signature éléktronik (ES). Pikeun ngahasilkeun tanda tangan éléktronik, anjeun kedah ngahasilkeun pasangan konci énggal sareng, pikeun artos, kéngingkeun sertipikat énggal ti salah sahiji otoritas sertifikasi.
Di luhur kami disebutkeun software, firmware jeung hardware tokens. Tapi urang bisa mertimbangkeun tipe séjén token cryptographic - awan.
Dinten anjeun moal kaget saha ... Sadayana awan flash drive ampir sarua jeung nu token awan.
Hal utama di dieu nyaéta kaamanan data anu disimpen dina token awan, utamina konci pribadi. Naha token awan tiasa nyayogikeun ieu? Urang sebutkeun - YES!
Janten kumaha token awan tiasa dianggo? Hambalan munggaran nyaéta ngadaptar klien dina awan token. Jang ngalampahkeun ieu, utilitas kedah disayogikeun anu ngamungkinkeun anjeun ngaksés méga sareng ngadaptarkeun login/nickname anjeun di dinya:
Saatos ngadaptar dina awan, pangguna kedah ngamimitian tokenna, nyaéta nyetél labél token sareng, anu paling penting, nyetél SO-PIN sareng kodeu PIN pangguna. Transaksi ieu kedah dilakukeun dina saluran anu aman / énkripsi wungkul. Utilitas pk11conf dianggo pikeun ngamimitian token. Pikeun énkripsi saluran, disarankeun pikeun ngagunakeun algoritma énkripsi Magma-CTR (GOST Sunda 34.13-2015).
Pikeun ngembangkeun konci anu sapuk dumasar kana lalu lintas antara klien sareng server anu bakal dijagi / énkripsi, disarankeun nganggo protokol TK 26 anu disarankeun. - .
Diusulkeun pikeun dianggo salaku kecap konci anu dumasar kana konci anu dibagikeun bakal dibangkitkeun . Kusabab urang ngobrol ngeunaan kriptografi Rusia, éta lumrah pikeun ngahasilkeun kecap akses hiji-waktos ngagunakeun mékanisme CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC atawa CKM_GOSTR3411_HMAC.
Pamakéan mékanisme ieu mastikeun yén aksés ka obyék token pribadi dina méga ngaliwatan kodeu PIN SO sareng USER ngan sayogi pikeun pangguna anu masangna nganggo utilitas. pk11conf.
Éta waé, saatos ngalengkepan léngkah-léngkah ieu, token awan parantos siap dianggo. Pikeun ngakses token awan, Anjeun ngan perlu install perpustakaan LS11CLOUD on PC Anjeun. Nalika nganggo token awan dina aplikasi dina platform Android sareng ios, SDK anu saluyu disayogikeun. Ieu perpustakaan ieu bakal dieusian nalika nyambungkeun token awan dina browser Redfox atawa ditulis dina file pkcs11.txt pikeun. Perpustakaan LS11CLOUD ogé berinteraksi sareng token dina awan via saluran aman dumasar kana SESPAKE, dijieun nalika nelepon PKCS # 11 fungsi C_Initialize!
Éta sadayana, ayeuna anjeun tiasa mesen sertipikat, pasang dina token awan anjeun sareng angkat ka situs wéb jasa pamaréntah.
sumber: www.habr.com