PKCS#11 (Cryptoki) 是由 RSA 實驗室開發的標準,用於使用通過庫實現的統一編程接口使程序與加密令牌、智能卡和其他類似設備進行交互。
俄羅斯密碼學的 PKCS#11 標準得到“密碼信息保護”標準化技術委員會的支持().
如果我們談論支持俄羅斯密碼學的代幣,那麼我們可以談論軟件代幣、軟件和硬件代幣以及硬件代幣。
加密令牌提供證書和密鑰對(公鑰和私鑰)的存儲以及根據 PKCS#11 標準的加密操作的性能。 這裡的薄弱環節是私鑰的存儲。 如果公鑰丟失,則始終可以使用私鑰或從證書中獲取來恢復。 私鑰的丟失/破壞會帶來悲慘的後果,例如,您將無法解密使用公鑰加密的文件,您將無法進行電子簽名(ES)。 要生成ES,您需要生成新的密鑰對,並在其中一個認證中心花費一定的費用獲得新的證書。
上面我們提到了軟件、軟件-硬件和硬件代幣。 但您可以考慮另一種類型的加密令牌 - 雲令牌。
今天你不會讓任何人感到驚訝 ... 一切 雲閃存驅動器幾乎是雲令牌固有的一一對應的。
這裡最主要的是雲令牌中存儲的數據(主要是私鑰)的安全性。 這個雲代幣可以提供嗎? 我們說是!
那麼雲代幣是如何運作的呢? 第一步是在令牌雲中註冊客戶端。 為此,應提供一個實用程序,允許您訪問云並在其中註冊您的登錄名/暱稱:
在雲端註冊後,用戶必須初始化其令牌,即設置令牌標籤,最重要的是設置 SO-PIN 和用戶 PIN 碼。 這些操作只能通過安全/加密的通道進行。 pk11conf 實用程序用於初始化令牌。 為了加密通道,建議使用加密算法 岩漿-CTR (GOST R 34.13-2015)。
為了開發商定的密鑰,在此基礎上保護/加密客戶端和服務器之間的流量,建議使用 TC 26 推薦的協議 - .
作為生成共享密鑰的密碼,建議使用 。 既然我們談論的是俄羅斯密碼學,那麼使用機制生成一次性密碼是很自然的 CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC 或 CKM_GOSTR3411_HMAC.
使用此機制可確保只有使用該實用程序安裝它們的用戶才能通過 SO 和用戶 PIN 訪問云中的個人令牌對象 PK11會議.
一切,完成這些步驟後,雲令牌就可以使用了。 要訪問云令牌,只需在 PC 上安裝 LS11CLOUD 庫即可。 在Android和iOS平台的應用程序中使用云通證時,會提供相應的SDK。 在Redfox瀏覽器中連接雲令牌時會指示或寫入pkcs11.txt文件中的就是這個庫。 LS11CLOUD 庫還通過基於 SESPAKE 的安全通道與雲中的令牌進行交互,SESPAKE 是通過調用 PKCS#11 C_Initialize 創建的!
就這樣,現在您可以訂購證書,將其安裝在您的雲令牌中,然後轉到 > 政府服務網站。
來源: www.habr.com