محطة عمل تشفير تستند إلى معايير المفتاح العمومي. تكوين PKCS # 11 الرموز

مرة أخرى عند النظر إلى وظيفة الأداة المساعدة cryptoarmpkcs ، لاحظت أنها ، من خلال العمل بشكل رئيسي مع رموز التشفير / البطاقات الذكية PKCS # 11 ، لا تحتوي على وظيفة مضمنة لتكوينها . نحن نتحدث عن تهيئة الرموز ، ووضع رموز PIN ، إلخ. وتقرر إضافة هذه الوظيفة. كانت الخطوة الأولى هي توسيع وظائف حزمة TclPKCS11 ، التي تُكتب مكتبتها باللغة C.

ميزات TclPKCS11 الجديدة

ظهرت ثلاث ميزات جديدة في الحزمة:

::pki::pkcs11::inittoken <handle> <slotId> <SO-pin> <label for token> 

 ::pki::pkcs11::inituserpin <handle> <slotId> <SO-pin> <USER-pin> 

 ::pki::pkcs11::setpin <handle> <slotId> <so | user> <oldpin> <newpin> 

الوظيفة الأولى :: pki :: pkcs11 :: inittoken هي تهيئة الرمز المميز. يجب أن يؤخذ في الاعتبار أنه إذا تم تطبيق هذه الوظيفة على رمز مميز عامل ، فسيتم تدمير كل الكائنات الموجودة عليها.

الوظيفة الثانية :: pki :: pkcs11 :: inituserpin هي تهيئة رقم PIN للمستخدم (USER PIN).

بعد التهيئة الأولية لرمز PIN الخاص بالمستخدم ، يجب تغييره على الفور إلى رمز PIN ، والذي سيتم استخدامه في المستقبل ، وتخزينه ، مثل SO-PIN ، بعيدًا عن أعين المتطفلين. لأغراض الأمان ، لا تسمح الرموز المميزة ، كقاعدة عامة ، بتسجيل الدخول إليها باستخدام رمز PIN الأولي.

لتغيير رموز PIN ، يتم استخدام وظيفة ثالثة ، وهي :: pki :: pkcs11 :: setpin. تتيح لك هذه الوظيفة تغيير كل من PIN للمستخدم و SO-PIN.

يجب أيضًا مراعاة أن الرموز المميزة ، كقاعدة عامة ، لا تسمح باستعادة SO-PIN الأصلي (افتراضي). ولكن إذا قمت بإعادة تهيئة الرمز المميز ، فستحصل مرة أخرى على SO-PIN الافتراضي. يمكن عرض تنفيذ حزمة TclPKCS11 على جيثب .

الآن ، مع وجود حزمة TclPKCS11 مع وظائف جديدة ، لم يكن من الصعب تطبيق واجهة المستخدم الرسومية لهذه الوظائف:

رموز التدريب

ولكن قبل استخدامها ، دعنا ننتبه إلى حقيقة أنه تمت إضافة زر آخر "إنشاء الرموز" إلى وظيفة الأداة المساعدة.

ويرجع ذلك إلى حقيقة أن ليس كل شخص لديه رمز PKCS # 11 مع دعم للتشفير الروسي ، وإذا كان الأمر كذلك ، فمن المخيف استخدامه للأغراض التعليمية. وفقط حتى يمكن استخدام الأداة المساعدة بسهولة للأغراض التعليمية ، في المقام الأول ، ظهر زر "إنشاء الرموز". بالنقر فوق هذا الزر ، سترى تعليمات حول كيفية الحصول على رموز البرامج أو السحابة:



تطبق هذه الرموز المميزة أحدث توصيات TK-26 لـ PKCS # 11 v.2.40.

سنناقش لفترة وجيزة كيفية الحصول على رمز سحابة. قم بتنزيل حزمة التوزيع الضرورية ، وقم بفكها إذا لزم الأمر ، وقم بتشغيلها. إذا لم يكن لدينا رمز سحابة ، فسنستلم الرسالة التالية:



نظرًا لأننا لا نملك بعد رمز سحابة ، فانقر على الزر "التسجيل في السحابة":



بعد ملء الحقول ، انقر فوق الزر "إنهاء":



نظرًا لأننا نتحدث بشكل أساسي عن التدريب ، يمكننا حفظ كلمة مرور للوصول إلى السحابة (ولكن ليس الرمز المميز) في مكان العمل:

تهيئة الرمز

الآن بعد أن تم تسجيلنا في السحابة ، فإننا نخرج من الأداة المساعدة guils11cloud_conf ونعود إلى الأداة cryptoarmpkcs لتكوين الرمز المميز للسحابة. تجدر الإشارة هنا إلى أنه سيتم حفظ مكتبة الرمز المميز في السحاب في المجلد ls11cloud الذي تم إنشاؤه في الدليل الرئيسي للمستخدم. ستحتاج هذه المكتبة إلى تحديدها كمكتبة PKCS # 11 للرمز المميز السحابي. بعد اختيار مكتبة ، يمكنك رؤية آليات التشفير المدعومة:



نعود إلى تهيئة الرمز المميز للسحابة بالنقر فوق الزر "تكوين الرمز المميز". نختار العملية "تهيئة الرمز المميز" ، ونملأ الحقول (تذكر أن الرقم السري الافتراضي هو 87654321) وانقر فوق الزر "إجراء العملية":



الرمز المميز جاهز للعمل. لكن لا تنسَ تغيير رقم التعريف الشخصي SO-PIN وتغيير رقم التعريف الشخصي للمستخدم بشكل دوري. باستخدام نظام مماثل ، يمكنك إنشاء رمز مميز للبرنامج. يمكن للمهتمين تجربة:



يمكننا الآن تخزين شهاداتنا الشخصية عليها وتوقيع المستندات والقيام بكل ما كتب عنه في هذه السلسلة من المقالات.

الابتكارات القادمة في PKI / PKI

في 7 نوفمبر 2019 ، اعتمد مجلس الدوما في القراءة الأولى تعديلات على قانون "التوقيعات الإلكترونية". ينطبق هذا التعديل على جميع المنظمات وأصحاب المشاريع الفردية ، حيث ستتغير قواعد إصدار التوقيعات الإلكترونية.

إذا فهمت كل شيء بشكل صحيح ، فستتمكن الكيانات القانونية وأصحاب المشاريع الفردية من الحصول على شهادات مؤهلة فقط في دائرة الضرائب الفيدرالية ، والمؤسسات المالية في البنك المركزي للاتحاد الروسي. وباستخدام هذه الشهادات فقط يمكن ضبطها
التوقيع الإلكتروني المؤهل المحسن (Cades-XLT1).

ستكون مراكز التصديق (CA) المعتمدة من قبل وزارة الاتصالات والإعلام الجماهيري قادرة على إصدار هذه الشهادات للأفراد فقط.

علاوة على ذلك ، سوف تتغير متطلبات شهادات الاعتماد بشكل كبير: يجب زيادة حقوق الملكية من 7 مليون إلى 500 مليون - 1 مليار ، ويزيد مقدار التزام التأمين من 30 مليون إلى 300-500 مليون روبل ، يتم تخفيض فترة الاعتماد من 5 سنوات إلى 3 سنوات.

أثار مشروع القانون بالفعل انتقادات حادة. الشكاوى الرئيسية هي أن التغييرات ستؤدي إلى إغلاق الغالبية العظمى من المراجع المصدقة التجارية ، وتتطلب نفقات ميزانية كبيرة لتوسيع والحفاظ على قدرات دائرة الضرائب الفيدرالية CA ، وكذلك تركيز جميع أنواع المخاطر على بنية أساسية واحدة ، والتي سوف تصبح هدفًا مناسبًا للهجمات الإلكترونية.

هناك تعديل آخر - الالتزام بتوقيع مستندات الشركة ليس بواحد ولكن بتوقيعين مؤهلين معززين في نفس الوقت. سيتعين على رئيس المؤسسة أن يضع على المستند توقيع الكيان القانوني والتوقيع الرقمي الشخصي كفرد.

وهنا ستكون أداة cryptoarmpkcs مفيدة للغاية ، لأن وظيفتها تسمح لك بوضع العديد من التواقيع تحت المستند ، وكذلك معرفة من ومتى وقع المستند:



ملاحظة: بالنسبة لأولئك الذين يرغبون في الحصول على الأدوات المساعدة لأول مرة ، لا يزال هذا ممكنًا هنا: