Token de nube PKCS # 11: ¿mito o realidad?

PKCS # 11 (Cryptoki) es un estándar desarrollado por RSA Laboratories para la interacción de programas con tokens criptográficos, tarjetas inteligentes y otros dispositivos similares que utilizan una interfaz de software unificada que se implementa a través de bibliotecas.

El estándar técnico PKCS # 11 para la criptografía rusa está respaldado por el comité técnico de estandarización "Protección de la información criptográfica" ( TC 26 ).

Si hablamos de tokens con el apoyo de la criptografía rusa, entonces podemos hablar de tokens de software, tokens de software y hardware y tokens de hardware.

Los tokens criptográficos proporcionan almacenamiento de certificados y pares de claves (claves públicas y privadas), así como operaciones criptográficas de acuerdo con el estándar PKCS # 11. El enlace débil aquí es el almacenamiento de la clave privada. Si se pierde la clave pública, siempre se puede restaurar utilizando la clave privada o extraída de un certificado. La pérdida / destrucción de la clave privada tiene tristes consecuencias, por ejemplo, no puede descifrar los archivos cifrados en su clave pública, no puede poner una firma electrónica (ES). Para crear una firma electrónica, deberá generar un nuevo par de claves y obtener un nuevo certificado por un dinero en uno de los centros de certificación.

Arriba, mencionamos software, hardware-software y tokens de hardware. Pero podemos considerar otro tipo de token criptográfico: la nube.

Hoy no sorprenderá a nadie con una unidad flash en la nube . Todas las ventajas y desventajas de una unidad flash en la nube son casi inherentes a un token de nube en la nube.

Lo principal aquí es la seguridad de los datos almacenados en un token en la nube, principalmente claves privadas. ¿Puede proporcionar este token en la nube? Nosotros decimos: ¡SÍ!

¿Y cómo funciona un token en la nube? El primer paso es registrar el cliente en la nube de tokens. Para esto, se debe proporcionar una utilidad que le permita acceder a la nube y registrar su nombre de usuario / apodo en ella:


Después de registrarse en la nube, el usuario debe inicializar su token, es decir, establecer la etiqueta del token y, lo más importante, establecer los códigos SO-PIN y PIN del usuario. Estas operaciones solo deben realizarse en un canal seguro / encriptado. La utilidad pk11conf se usa para inicializar el token. Para el cifrado de canales, se propone utilizar el algoritmo de cifrado Magma-CTR (GOST R 34.13-2015).

Para generar una clave consistente, sobre la base de qué tráfico entre el cliente y el servidor estará protegido / encriptado, se propone utilizar el protocolo SESPAKE recomendado por TC 26 , un protocolo para generar una clave compartida con autenticación basada en contraseña .

Se propone utilizar el mecanismo de contraseña de un solo uso como contraseña sobre la base de la cual se generará una clave compartida . Como estamos hablando de la criptografía rusa, es natural generar contraseñas de un solo uso utilizando los mecanismos CKM_GOSTR3411_12_256_HMAC, CKM_GOSTR3411_12_512_HMAC o CKM_GOSTR3411_HMAC .

El uso de este mecanismo garantiza que el acceso a los objetos de token personales en la nube a través de los códigos PIN de SO y USUARIO esté disponible solo para el usuario que los instaló utilizando la utilidad pk11conf .

Todo, después de realizar estos pasos, el token de la nube está listo para usar. Para acceder al token de la nube, simplemente instale la biblioteca LS11CLOUD en la PC. Cuando se usa un token en la nube en aplicaciones en plataformas Android e iOS, se proporciona un SDK apropiado. Es esta biblioteca la que se indicará cuando se conecte un token de nube en el navegador Redfox o se registre en el archivo pkcs11.txt para. La biblioteca LS11CLOUD interactúa con el token en la nube también a través de un canal seguro basado en SESPAKE creado cuando la función PKCS # 11 C_Initialize!



Eso es todo, ahora puede solicitar un certificado, instalarlo en su token en la nube e ir al sitio web de servicios públicos.

Source: https://habr.com/ru/post/es398677/