Ang PKCS#11 (Cryptoki) ay isang pamantayang binuo ng RSA Laboratories para sa mga interoperating program na may mga cryptographic token, smart card, at iba pang katulad na device gamit ang pinag-isang interface ng programming na ipinapatupad sa pamamagitan ng mga library.
Ang pamantayan ng PKCS#11 para sa Russian cryptography ay sinusuportahan ng technical standardization committee na "Cryptographic Information Protection" ().
Kung pinag-uusapan natin ang mga token na sumusuporta sa cryptography ng Russia, maaari nating pag-usapan ang tungkol sa mga token ng software, mga token ng software-hardware at mga token ng hardware.
Ang mga cryptographic token ay nagbibigay ng parehong imbakan ng mga certificate at key pairs (pampubliko at pribadong key) at ang pagganap ng mga cryptographic na operasyon alinsunod sa pamantayan ng PKCS#11. Ang mahinang link dito ay ang storage ng private key. Kung nawala ang pampublikong susi, maaari mo itong bawiin anumang oras gamit ang pribadong key o kunin ito mula sa sertipiko. Ang pagkawala/pagkasira ng isang pribadong key ay may malalang kahihinatnan, halimbawa, hindi mo magagawang i-decrypt ang mga file na naka-encrypt gamit ang iyong pampublikong key, at hindi ka makakapaglagay ng electronic signature (ES). Para makabuo ng electronic signature, kakailanganin mong bumuo ng bagong key pair at, para sa ilang pera, kumuha ng bagong certificate mula sa isa sa mga awtoridad sa certification.
Nabanggit namin sa itaas ang mga token ng software, firmware at hardware. Ngunit maaari naming isaalang-alang ang isa pang uri ng cryptographic token - cloud.
Ngayon ay hindi ka magugulat ng sinuman . Lahat Ang mga cloud flash drive ay halos magkapareho sa mga cloud token.
Ang pangunahing bagay dito ay ang seguridad ng data na nakaimbak sa cloud token, pangunahin ang mga pribadong key. Maaari bang ibigay ito ng isang cloud token? Sabi namin - OO!
Kaya paano gumagana ang isang cloud token? Ang unang hakbang ay irehistro ang kliyente sa token cloud. Upang gawin ito, dapat magbigay ng utility na nagbibigay-daan sa iyong ma-access ang cloud at irehistro ang iyong login/palayaw dito:
Pagkatapos magrehistro sa cloud, dapat na simulan ng user ang kanyang token, ibig sabihin, itakda ang label ng token at, higit sa lahat, itakda ang SO-PIN at user PIN code. Ang mga transaksyong ito ay dapat isagawa sa isang secure/naka-encrypt na channel lamang. Ang pk11conf utility ay ginagamit upang simulan ang token. Upang i-encrypt ang channel, iminungkahi na gumamit ng algorithm ng pag-encrypt Magma-CTR (GOST R 34.13-2015).
Upang bumuo ng napagkasunduang key batay sa kung aling trapiko sa pagitan ng kliyente at server ang mapoprotektahan/mai-encrypt, iminumungkahi na gamitin ang inirerekomendang TK 26 protocol - .
Iminumungkahi na gamitin bilang password sa batayan kung saan bubuo ang nakabahaging key . Dahil pinag-uusapan natin ang tungkol sa cryptography ng Russia, natural na bumuo ng isang beses na mga password gamit ang mga mekanismo CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC o CKM_GOSTR3411_HMAC.
Ang paggamit ng mekanismong ito ay nagsisiguro na ang pag-access sa mga personal na token na bagay sa cloud sa pamamagitan ng SO at USER PIN code ay magagamit lamang sa user na nag-install ng mga ito gamit ang utility. pk11conf.
Iyon lang, pagkatapos makumpleto ang mga hakbang na ito, handa nang gamitin ang cloud token. Para ma-access ang cloud token, kailangan mo lang i-install ang LS11CLOUD library sa iyong PC. Kapag gumagamit ng cloud token sa mga application sa Android at iOS platform, may ibibigay na katumbas na SDK. Ang library na ito ang tutukuyin kapag nagkokonekta ng cloud token sa Redfox browser o nakasulat sa pkcs11.txt file para sa. Nakikipag-ugnayan din ang library ng LS11CLOUD sa token sa cloud sa pamamagitan ng secure na channel batay sa SESPAKE, na ginawa kapag tinatawag ang PKCS#11 C_Initialize function!
Iyon lang, maaari ka na ngayong mag-order ng isang sertipiko, i-install ito sa iyong cloud token at pumunta sa website ng mga serbisyo ng gobyerno.
Pinagmulan: www.habr.com