PKCS#11 (Cryptoki), kütüphaneler aracılığıyla uygulanan birleşik bir programlama arayüzünü kullanarak kriptografik belirteçler, akıllı kartlar ve diğer benzer cihazlarla birlikte çalışan programlar için RSA Laboratories tarafından geliştirilen bir standarttır.
Rus kriptografisine yönelik PKCS#11 standardı, "Şifreleme Bilgilerinin Korunması" teknik standardizasyon komitesi tarafından desteklenmektedir ().
Rus kriptografisini destekleyen tokenlardan bahsedecek olursak o zaman yazılım tokenlarından, yazılım-donanım tokenlarından ve donanım tokenlarından bahsedebiliriz.
Kriptografik belirteçler, hem sertifikaların ve anahtar çiftlerinin (genel ve özel anahtarlar) depolanmasını hem de PKCS#11 standardına uygun olarak şifreleme işlemlerinin gerçekleştirilmesini sağlar. Buradaki zayıf halka özel anahtarın saklanmasıdır. Genel anahtarın kaybolması durumunda, onu her zaman özel anahtarı kullanarak kurtarabilir veya sertifikadan alabilirsiniz. Özel anahtarın kaybı/imhası ciddi sonuçlara yol açar; örneğin, genel anahtarınızla şifrelenmiş dosyaların şifresini çözemezsiniz ve elektronik imza (ES) koyamazsınız. Elektronik imza oluşturmak için yeni bir anahtar çifti oluşturmanız ve bir miktar para karşılığında sertifika yetkililerinden birinden yeni bir sertifika almanız gerekecektir.
Yukarıda yazılım, ürün yazılımı ve donanım belirteçlerinden bahsetmiştik. Ancak başka bir kriptografik belirteç türünü de düşünebiliriz: bulut.
Bugün kimseyi şaşırtmayacaksınız . Tüm bulut flash sürücüleri, bulut belirtecininkilerle neredeyse aynıdır.
Burada asıl önemli olan, başta özel anahtarlar olmak üzere bulut tokende saklanan verilerin güvenliğidir. Bir bulut belirteci bunu sağlayabilir mi? Diyoruz ki - EVET!
Peki bir bulut belirteci nasıl çalışır? İlk adım, istemciyi token bulutuna kaydetmektir. Bunu yapmak için, buluta erişmenize ve kullanıcı adınızı/takma adınızı buluta kaydetmenize olanak tanıyan bir yardımcı program sağlanmalıdır:
Buluta kaydolduktan sonra kullanıcının jetonunu başlatması, yani jeton etiketini ayarlaması ve en önemlisi SO-PIN ve kullanıcı PIN kodlarını ayarlaması gerekir. Bu işlemler yalnızca güvenli/şifreli bir kanal üzerinden gerçekleştirilmelidir. Belirteci başlatmak için pk11conf yardımcı programı kullanılır. Kanalı şifrelemek için bir şifreleme algoritması kullanılması önerilmektedir. Magma-TO (GOSTR 34.13-2015).
İstemci ile sunucu arasındaki trafiğin korunacağı/şifreleneceği esasına göre üzerinde anlaşmaya varılan bir anahtar geliştirmek için önerilen TK 26 protokolünün kullanılması önerilmektedir. - .
Paylaşılan anahtarın oluşturulacağı temel olarak şifre olarak kullanılması önerilmektedir. . Rus kriptografisinden bahsettiğimiz için mekanizmalar kullanarak tek kullanımlık şifreler oluşturmak doğaldır. CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC veya CKM_GOSTR3411_HMAC.
Bu mekanizmanın kullanılması, buluttaki kişisel belirteç nesnelerine SO ve KULLANICI PIN kodları aracılığıyla erişimin yalnızca bunları yardımcı programı kullanarak yükleyen kullanıcı tarafından mümkün olmasını sağlar. pk11conf.
İşte bu, bu adımları tamamladıktan sonra bulut tokenı kullanıma hazır. Bulut belirtecine erişmek için PC'nize LS11CLOUD kitaplığını yüklemeniz yeterlidir. Android ve iOS platformlarındaki uygulamalarda bulut belirteci kullanıldığında, buna karşılık gelen bir SDK sağlanır. Redfox tarayıcısına bir bulut tokeni bağlanırken belirtilecek veya pkcs11.txt dosyasına yazılacak olan bu kütüphanedir. LS11CLOUD kitaplığı ayrıca PKCS#11 C_Initialize işlevi çağrılırken oluşturulan SESPAKE tabanlı güvenli bir kanal aracılığıyla buluttaki belirteçle etkileşime girer!
Hepsi bu, artık bir sertifika sipariş edebilir, onu bulut belirtecinize yükleyebilir ve devlet hizmetleri web sitesine gidebilirsiniz.
Kaynak: habr.com