PKCS#11 (Cryptoki) — это стандарт, разработанный RSA Laboratories для взаимодействия программ с криптографическими токенами, смарт-картами и другими подобными устройствами с использованием унифицированного программного интерфейса, реализуемого через библиотеки.
Стандарт российской криптографии PKCS#11 поддерживается комитетом технической стандартизации «Криптографическая защита информации» ( ТК 26 ).
Если говорить о токенах, поддерживающих российскую криптографию, то речь может идти о программных токенах, программно-аппаратных токенах и аппаратных токенах.
Криптографические токены обеспечивают как хранение сертификатов и пар ключей (открытый и закрытый ключи), так и выполнение криптографических операций в соответствии со стандартом PKCS#11. Слабым звеном здесь является хранение закрытого ключа.
Если открытый ключ утерян, вы всегда можете восстановить его с помощью закрытого ключа или взять его из сертификата.
Потеря/уничтожение закрытого ключа имеет тяжелые последствия, например, вы не сможете расшифровать файлы, зашифрованные вашим открытым ключом, вы не сможете поставить электронную подпись (ЭP).
Для генерации ЭP вам потребуется сгенерировать новую пару ключей и за некоторые деньги получить новый сертификат от одного из удостоверяющих центров.
Выше мы упомянули программные, встроенные и аппаратные токены.
Но мы можем рассмотреть другой тип криптографического токена — облачный.
Сегодня ты никого не удивишь облачная флешка .
Все Преимущества и недостатки облачные флэш-накопители практически идентичны облачным токенам.
Главное здесь — безопасность данных, хранящихся в облачном токене, в первую очередь приватных ключей.
Может ли облачный токен обеспечить это? Мы говорим – ДА! Так как же работает облачный токен? Первым шагом является регистрация клиента в облаке токенов.
Для этого должна быть предусмотрена утилита, позволяющая получить доступ к облаку и зарегистрировать в нем свой логин/никнейм: 
После регистрации в облаке пользователь должен инициализировать свой токен, а именно установить метку токена и самое главное установить SO-PIN и PIN-коды пользователя.
Эти транзакции должны осуществляться только по безопасному/зашифрованному каналу.
Утилита pk11conf используется для инициализации токена.
Для шифрования канала предлагается использовать алгоритм шифрования Магма-CTR (ГОСТ Р 34.13-2015).
Для разработки согласованного ключа, на основе которого будет защищаться/шифроваться трафик между клиентом и сервером, предлагается использовать рекомендуемый протокол ТК 26. СЕСПАКЕ — протокол генерации общего ключа с аутентификацией по паролю .
В качестве пароля предлагается использовать, на основе которого будет генерироваться общий ключ.
механизм одноразового пароля .
Поскольку речь идет о российской криптографии, естественно генерировать одноразовые пароли с помощью механизмов CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC или CKM_ГОСТР3411_HMAC .
Использование данного механизма гарантирует, что доступ к объектам персональных токенов в облаке через SO и PIN-коды USER доступен только пользователю, установившему их с помощью утилиты.
pk11conf .
Вот и все, после выполнения этих действий облачный токен готов к использованию.
Чтобы получить доступ к облачному токену, вам просто нужно установить библиотеку LS11CLOUD на свой компьютер.
При использовании облачного токена в приложениях на платформах Android и iOS предоставляется соответствующий SDK. Именно эта библиотека будет указана при подключении облачного токена в браузере Redfox или прописана в файле pkcs11.txt для.
Библиотека LS11CLOUD также взаимодействует с токеном в облаке через защищенный канал на базе SESPAKE, создаваемый при вызове функции PKCS#11 C_Initialize! 
Вот и все, теперь вы можете заказать сертификат, установить его в свой облачный токен и перейти на сайт госуслуг.
Теги: #pkcs#11 #pkcs#11 #облачные вычисления #облачное хранилище #токен #Firefox #браузеры #информационная безопасность #криптография #ИТ-инфраструктура #облачные сервисы #ИТ-компании #ИТ-компании
-
Программное Обеспечение Для Планшетного Пк
19 Oct, 24 -
Крупные Ботнеты Разбиваются На Более Мелкие.
19 Oct, 24 -
Google Предсказывает Конец
19 Oct, 24
