في عام 2016 ، تم نشر مقالة
"PKCS # 11 Cloud Token - Myth or Reality؟" . . بعد ستة أشهر ، والآن على الإنترنت ، ظهرت سحابة (خدمة سحابية) ، حيث يمكن لأي شخص الحصول على رمز سحابي شخصي PKCS # 11 مع دعم التشفير الروسي.
مقدمة
تذكر أن PKCS # 11 (Cryptoki) هو معيار تم تطويره بواسطة RSA Laboratories لتفاعل البرامج مع الرموز المشفرة والبطاقات الذكية والأجهزة المماثلة الأخرى باستخدام واجهة برنامج موحدة يتم تنفيذها من خلال المكتبات.
توفر الرموز المميزة للتشفير تخزين الشهادات وأزواج المفاتيح (المفاتيح العامة والخاصة) ، بالإضافة إلى عمليات التشفير وفقًا لمعيار PKCS # 11.
لذلك ، على الإنترنت ، ظهرت خدمة السحابة LS11CLOUD ، وهي عبارة عن تطبيق سحابي لمعيار
PKCS # 11 v.2.40 ، مدعومًا بدعم خوارزميات التشفير الروسية وفقًا للمواصفات التي طورتها اللجنة الفنية للتوحيد القياسي (
TC 26 ) "حماية معلومات التشفير". تدعم الخدمة السحابية LS11CLOUD الخوارزميات GOST R 34.10-2012 و GOST R 34.11-2012 و GOST R 34.12-2015 و GOST R 34.13-2015 ، بالإضافة إلى الخوارزميات والمعلمات ذات الصلة المحددة في المستندات الحاكمة لـ TC 26.
إن الميزة التي لا شك فيها لرمز السحابة هي أنه الآن لا يحتاج المستخدم إلى حمل رمز / بطاقة ذكية ، والعناية بسلامتها. من خلال وجود رمز شخصي في السحابة ، يمكن للمستخدم الوصول إليه من جهاز الكمبيوتر في المنزل ، والكمبيوتر المحمول ، والجهاز المحمول.
يتم
ضمان التفاعل عن بعد الآمن مع حاوية شخصية محمية من كائنات التشفير (الرمز المميز) عبر قناة شبكة مشفرة باستخدام بروتوكول المصادقة
SESPAKE (تقييم الأمان المصادق على كلمة المرور القياسية المصدق عليها) الذي يوصي به TC 26.
من ناحية المستخدم ، يتم توفير الوظائف الأساسية من خلال مكتبة ديناميكية ls11cloud مع واجهة برمجة pkcs # 11 القياسية. لتلقي رمز سحابي شخصي ، يجب على المستخدم التسجيل في خدمة السحابة الإلكترونية LS11CLOUD ، ثم تهيئة وتكوين الرمز الشخصي على الخدمة السحابية.
تسجيل المستخدم على الخدمة السحابية
بادئ ذي بدء ، نلاحظ أن الرمز المميز للسحابة LS11CLOUD موجود في pkcs11.ru ويقبل طلبات المنفذ 4444.
كما ذكرنا من قبل ، يتم تسجيل المستخدم على الخادم وصيانة حسابه بواسطة الأداة المساعدة
ls11cloud_config :
$ ./ls11cloud_config LS11CLOUD User Utility Usage: ls11cloud_config <command> [-p <password>] [-n <new password>] NB: Use -n <new password> with change_pswd command only! Commands: register <host> <port> <id> - register new user on the server duplicate <host> <port> <id> - duplicate user account on other computer change_pswd - change SESPAKE authentication password status - display current configuration data log - display server log file recreate - re-create token to initial empty state unregister - remove all user files from the server NB: Don't use non-latin letters to avoid encoding problems! $
أثناء تسجيل المستخدم ، يُشار إلى موقع الخدمة السحابية (حقل "المضيف") ، والمنفذ (حقل "المنفذ") الذي يتم من خلاله الاتصال بالعالم الخارجي ، واللقب (حقل "المعرف") للمستخدم:
bash-4.3$ ls11cloud_config register pkcs11.ru 4444 HABRAHABR
للتسجيل من منصات Linux و Windows و OS X (macOS) ، هناك أداة رسومية ذات واجهة سهلة الاستخدام guils11cloud_conf لهذه الأداة:
يمكن للمستخدم الحصول على توزيعات
لذا ، فلنبدأ في اختبار تنفيذ التشفير الروسي في الرمز السحابي PKCS # 11.
بعد التنزيل ، يجب تشغيل الأداة الرسومية
guils11cloud_conf واتباع التعليمات الخاصة بها:
إذا لم تكن مسجلاً باستخدام رمز سحابي من محطة العمل هذه ، فستتم مطالبتك بإنشاء رمز مميز أو الاتصال برمز تم إنشاؤه مسبقًا (انظر لقطة الشاشة). للتسجيل الأولي في السحابة ، انقر على زر "التسجيل في السحابة":
"تسجيل دخول المستخدم" هو تسجيل الدخول الذي سيتم بموجبه تسجيل المستخدم في السحابة.
كلمة المرور مطلوبة لإنشاء قناة آمنة (بروتوكول SESPAKE) من تطبيق المستخدم إلى رمزه الشخصي في السحابة. سيتم طلب كلمة مرور في كل مرة يدخل فيها المستخدم إلى رمز مميز في السحابة ، إلا إذا قام بحفظه فورًا بعد تسجيل ناجح في السحابة:
عند تسجيل المستخدم بنجاح ، سيتم إنشاء رمز مميز جديد له SO-PIN 87654321:
تهيئة الرمز المميز
بعد النقر على الزر "موافق" ، سيظهر نموذج سيكون من الضروري فيه الإشارة إلى تسمية الرمز المميز (بشكل افتراضي ، فإنه يطابق تسجيل دخول المستخدم في السحابة) ورمز PIN الذي سيتمكن المستخدم من الوصول إلى الرمز السحابي:
بعد النقر فوق الزر "إنهاء" ، يصبح الرمز المميز للسحابة جاهزًا للعمل:
في المستقبل ،
يتم استخدام
الأداة المساعدة p11conf لتكوين الرمز السحابي مثل أي رمز مميز / بطاقة ذكية PKCS # 11 أخرى:
إذا كنت تريد استخدام الرمز السحابي الذي تم إنشاؤه على جهاز كمبيوتر آخر ، فبطبيعة الحال ، كل ما عليك فعله هو تشغيل الأداة الرسومية guils11cloud_config والنقر على زر "Duplicate token":
بعد ذلك ، تذكر تسجيل الدخول الذي قمت بتسجيله في السحابة وكلمة المرور للوصول. بالنقر على زر "إنهاء" ، ستتمكن من الوصول إلى الرمز المميز الخاص بك:
تثبيت أول شهادة شخصية في رمز سحابي
الآن بعد أن سجلنا في السحابة وأنشأنا رمز السحابة الشخصية الخاص بنا فيه ، يمكننا البدء في استخدامه. للاختبار ،
لنأخذ متصفح
Redfox-52 وعميل البريد الإلكتروني
Redfoxmail-52 ، اللذين
يعتمدان على Mozilla Firefox و Mozilla Thunderbird ، مع دعم التشفير الروسي على الرموز المميزة PKCS # 11 / البطاقات الذكية.
سنجري الاختبار على منصة WIN32.
تحتاج أولاً إلى تنزيل وتثبيت Redfox-52. لتثبيت متصفح Redfox ، تحتاج إلى تنزيل الأرشيف وفك ضغطه.
انقل مجلد Mozilla Firefox غير المضغوط إلى مكان ملائم. ثم قم بإنشاء اختصار للملف القابل للتنفيذ في firefox.exe (الموجود داخل مجلد Mozilla Firefox) ووضعه في أي مكان مناسب.
بعد تشغيل المتصفح ، تحتاج إلى توصيل الرمز السحابي الذي تم إنشاؤه عن طريق إضافة مكتبة ls11cloud.dll إلى الأجهزة:
يرجى ملاحظة أن توزيع المستعرض لـ MS Windows مصمم لنظام Win32 الأساسي. لذلك ، يجب أيضًا أخذ مكتبة ls11cloud.dll للنظام الأساسي Win32.
بعد أن قمنا بتضمين رمز سحابي بين أجهزة التشفير التي يعمل بها المتصفح ، يمكننا البدء في اختبارها. في المرحلة الأولى ، يجب أن تحصل على شهادة شخصية واحدة على الأقل. للقيام بذلك ، نستخدم خدمات أحد CAs الاختبار:
عند النقر فوق الزر متابعة ، سيعرض المرجع المصدق التحقق من بيانات التطبيق ، ثم حدد جهاز التشفير (البطاقة المميزة / البطاقة الذكية) لإنشاء زوج مفاتيح وتخزين شهادة شخصية:
وبطبيعة الحال ، يتم تحديد رمز سحابي ، وبعد النقر فوق الزر "متابعة" ، سيتم تقديمه ليس فقط لاستلام شهادة شخصية تم إنشاؤها بواسطة التطبيق الخاص بك ، ولكن أيضًا لتثبيت / حفظ شهادة الجذر CA:
يمكنك التحقق من تثبيت الشهادة عن طريق عرض مخزن شهادات المستعرض:
اختبار HTTPS و PKCS # 12
لذلك ، تعمل آليات الرمز السحابي. الآن دعنا نتحقق من عمل الرمز السحابي في وضع https المعتمد على التشفيرات الروسية:
لاختبار عمل الرمز السحابي على
صفحات اختبار CryptoPro ، سنستخدم شهادة الاختبار التي تم الحصول عليها مسبقًا في مركز اختبار CryptoPro وتحميلها إلى حاوية PKCS # 12. تحتاج أولاً إلى تنزيل
الشهادة بتنسيق PKCS # 12 وتثبيتها على رمز سحابي (كلمة المرور لحاوية PKCS # 12 هي 01234567):
كجهاز تخزين ، يجب عليك تحديد رمز سحابي:
بعد ذلك ، ستحتاج إلى إدخال رمز PIN للوصول إلى الرمز المميز وكلمة المرور لـ PKCS # 12. ونتيجة لذلك ، ستكون الشهادة على الرمز المميز:
في الوقت نفسه ، لا تنس تعيين مستوى الثقة في الشهادة الجذرية لـ CryptoPro CA:
الآن يمكنك الانتقال بأمان إلى صفحات اختبار CryptoPro ، على سبيل المثال
، هنا :
استخدام رمز سحابي لتنظيم مراسلات البريد الإلكتروني الآمنة
الآن دعونا نرى كيف يعمل الرمز السحابي في عميل بريد
Redfoxmail / Thunderbird .
لتثبيت عميل بريد Mozilla Thunderbird على النظام الأساسي WIN32 ، تحتاج إلى تنزيل أرشيف thunderbird-52.0-gost وفك ضغطه. انقل مجلد Mozilla Thunderbird غير المضغوط إلى مكان ملائم.
ثم قم بإنشاء اختصار للملف القابل للتنفيذ للملف thunderbird.exe (الموجود داخل مجلد Mozilla Thunderbird) وضعه في أي مكان مناسب. بعد بدء برنامج البريد ، نقوم بتوصيل الرمز السحابي ، على غرار الطريقة التي قمنا بها لمتصفح Redfox:
بعد توصيل رمز سحابي ، ستصبح الشهادات المخزنة عليه متاحة. لكن هذا قد لا يكون كافيًا - من الضروري تثبيت شهادات الجذر CA ، التي يتم إصدار الشهادات الشخصية عليها. هذا هو السبب في أننا حفظنا شهادة الجذر أثناء الإصدار:
تحتاج الآن في إعدادات الحساب إلى تثبيت شهادة سيتم استخدامها لتوقيع وتشفير الحروف:
الآن يمكنك تسجيل رسائلك بأمان:
يمكن قبول هذه الرسالة من قبل أي عميل بريد إلكتروني يدعم التشفير الروسي ، على سبيل المثال ،
KMail :
الخلاصة
لذا ، يمكننا القول أن الأسطورة أصبحت حقيقة. يمكن أن يكون النطاق الرئيسي للرمز المميز للسحابة LS11CLOUD هو إدارة المستندات الداخلية والبريد الآمن والخدمات المصرفية.
يمكن أن تكون الخدمة السحابية LS11CLOUD مع الرموز المميزة السحابية مفيدة جدًا لمطوري التطبيقات الذين يستخدمون الرموز المميزة / البطاقات الذكية PKCS # 11.
ملحوظة: لقد وضعت شهادتي الشخصية في رمز سحابي ،
وقمت بتوصيلها بالبرنامج الإضافي للخدمات العامة ودفعت الدين الضريبي من خلال
بوابة GOSUSLOG . OC - لينكس.