PKCS#11(Cryptoki)是由 RSA 實驗室開發的標準,用於使用透過函式庫實現的統一軟體介面實現程式與加密令牌、智慧卡和其他類似裝置之間的互通性。
俄羅斯密碼學的 PKCS#11 標準得到了「資訊密碼保護」標準化技術委員會的支持().
如果我們談論支援俄羅斯密碼學的代幣,我們可以談論軟體代幣、軟硬體代幣和硬體代幣。
加密令牌既提供憑證和金鑰對(公鑰和私鑰)的存儲,也提供根據 PKCS#11 標準執行加密操作的功能。這裡的薄弱環節是私鑰的儲存。如果公鑰遺失,可以隨時使用私鑰恢復或從憑證中取得。私鑰的遺失/損壞會帶來嚴重的後果,例如,您將無法解密使用公鑰加密的文件,也無法進行電子簽署(ES)。要建立 EP,您需要產生一對新金鑰,並花費一定金額從其中一個認證機構獲得新憑證。
上面我們提到了軟體、軟體硬體和硬體令牌。但我們可以考慮另一種類型的加密令牌——雲端加密令牌。
今天你不能再讓任何人感到驚訝 ... 一切 雲端快閃磁碟機與雲端令牌幾乎完全相同。
這裡最重要的是儲存在雲端令牌中的資料的安全性,主要是私鑰。雲令牌可以提供這個嗎?我們同意!
那麼雲端令牌如何運作?第一步是在令牌雲中註冊客戶端。為此,必須有一個實用程式可讓您存取雲端並在其中註冊您的登入/暱稱:
使用者在雲端註冊後,必須初始化自己的令牌,也就是設定令牌標籤,最重要的是設定SO-PIN和使用者PIN碼。這些操作必須透過安全/加密通道進行。 pk11conf 實用程式用於初始化令牌。提出使用加密演算法對通道進行加密。 Magma-CTR (GOST R 34.13-2015)。
為了產生一個約定的金鑰,客戶端和伺服器之間的通訊將在此金鑰的基礎上受到保護/加密,建議使用 TC 26 推薦的協定 .
建議使用作為密碼,在此基礎上產生通用密鑰 。既然我們討論的是俄羅斯密碼學,那麼使用機制產生一次性密碼是很自然的 CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC 或 CKM_GOSTR3411_HMAC.
使用此機制可確保只有使用此公用程式安裝個人令牌物件的使用者才能透過 SO 和 USER PIN 代碼存取雲端中的個人令牌物件。 pk11conf.
完成這些步驟後,您的雲端令牌即可使用。要存取您的雲端令牌,只需在您的電腦上安裝 LS11CLOUD 庫即可。在平台上的應用程式中使用您的雲端令牌時, Android LS11CLOUD 函式庫為 iOS 和 iOS 系統提供了對應的 SDK。在 Redfox 瀏覽器中連接雲端令牌時,需要指定此程式庫,或者也可以在 pkcs11.txt 檔案中指定。此外,LS11CLOUD 函式庫還透過呼叫 PKCS#11 C_Initialize 函數時建立的基於 SESPAKE 的安全通道與雲端令牌進行通訊!
就是這樣,現在您可以訂購證書,將其安裝在您的雲端令牌中並訪問政府服務網站。
來源: www.habr.com
