PKCS#11 (Cryptoki) 是由 RSA 实验室开发的一种标准,用于使用通过库实现的统一编程接口使程序与加密令牌、智能卡和其他类似设备进行互操作。
俄罗斯密码学的 PKCS#11 标准得到了技术标准化委员会“密码信息保护”的支持().
如果我们谈论支持俄罗斯密码学的代币,那么我们可以谈论软件代币、软件-硬件代币和硬件代币。
加密令牌提供证书和密钥对(公钥和私钥)的存储以及根据 PKCS#11 标准的加密操作的性能。 这里的薄弱环节是私钥的存储。 如果公钥丢失,您始终可以使用私钥恢复它或从证书中获取它。 私钥丢失/损坏会带来可怕的后果,例如,您将无法解密使用公钥加密的文件,并且无法进行电子签名 (ES)。 要生成电子签名,您需要生成新的密钥对,并花费一些钱从证书颁发机构之一获取新证书。
上面我们提到了软件、固件和硬件令牌。 但我们可以考虑另一种类型的加密代币——云。
今天你不会让任何人感到惊讶 。 所有 云闪存驱动器与云令牌的驱动器几乎相同。
这里最主要的是云令牌中存储的数据(主要是私钥)的安全性。 云代币可以提供这个吗? 我们说——是的!
那么云代币是如何运作的呢? 第一步是在令牌云中注册客户端。 为此,必须提供一个实用程序,允许您访问云并在其中注册您的登录名/昵称:
在云端注册后,用户必须初始化其令牌,即设置令牌标签,最重要的是设置 SO-PIN 和用户 PIN 码。 这些交易必须仅通过安全/加密通道进行。 pk11conf 实用程序用于初始化令牌。 为了加密通道,建议使用加密算法 岩浆-CTR (GOST R 34.13-2015)。
为了开发一个商定的密钥,在此基础上保护/加密客户端和服务器之间的流量,建议使用推荐的 TK 26 协议 - .
建议用作生成共享密钥的密码 。 既然我们谈论的是俄罗斯密码学,那么使用机制生成一次性密码是很自然的 CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC или CKM_GOSTR3411_HMAC.
使用此机制可确保只有使用该实用程序安装它们的用户才能通过 SO 和用户 PIN 码访问云中的个人令牌对象 PK11会议.
就是这样,完成这些步骤后,云令牌就可以使用了。 要访问云令牌,您只需在 PC 上安装 LS11CLOUD 库即可。 Android和iOS平台的应用程序使用云通证时,都会提供相应的SDK。 在 Redfox 浏览器中连接云令牌时将指定此库,或写入 pkcs11.txt 文件中。 LS11CLOUD 库还通过基于 SESPAKE 的安全通道与云中的令牌进行交互,SESPAKE 是在调用 PKCS#11 C_Initialize 函数时创建的!
就这样,现在您可以订购证书,将其安装在云令牌中并访问政府服务网站。
来源: habr.com