Pada 2016, artikel
βPKCS # 11 Cloud Token - Myth or Reality?β Diterbitkan. . Enam bulan kemudian, dan sekarang di Internet, sebuah cloud (layanan cloud) muncul, di mana siapa pun bisa mendapatkan token cloud PKCS # 11 pribadi dengan dukungan untuk kriptografi Rusia.
Kata Pengantar
Ingatlah bahwa PKCS # 11 (Cryptoki) adalah standar yang dikembangkan oleh RSA Laboratories untuk interaksi program dengan token kriptografi, kartu pintar, dan perangkat serupa lainnya menggunakan antarmuka perangkat lunak terpadu yang diimplementasikan melalui perpustakaan.
Token kriptografi menyediakan penyimpanan sertifikat dan pasangan kunci (kunci publik dan pribadi), serta operasi kriptografi sesuai dengan standar PKCS # 11.
Jadi, di Internet, layanan cloud LS11CLOUD muncul, yang merupakan implementasi cloud dari standar
PKCS # 11 v.2.40, dilengkapi dengan dukungan untuk algoritma kriptografi Rusia sesuai dengan spesifikasi yang dikembangkan oleh Komite Teknis untuk Standardisasi (
TC 26 ) "perlindungan informasi kriptografi". Layanan cloud LS11CLOUD mendukung algoritma GOST R 34.10-2012, GOST R 34.11-2012, GOST R 34.12-2015 dan GOST R 34.13-2015, serta algoritma dan parameter terkait yang ditentukan oleh dokumen yang mengatur TC 26.
Keuntungan yang tidak diragukan dari token cloud adalah bahwa sekarang pengguna tidak perlu membawa token / smart card, menjaga keamanannya. Memiliki token pribadi di cloud, pengguna dapat mengaksesnya dari komputer di rumah, laptop, dan perangkat selulernya.
Mengamankan interaksi jarak jauh dengan wadah pribadi yang dilindungi objek kriptografi (token) melalui saluran jaringan terenkripsi dapat dicapai dengan menggunakan protokol otentikasi
SESPAKE (Keamanan yang Dievaluasi dengan Sandi-Kunci Otentikasi) yang direkomendasikan oleh TC 26.
Di sisi pengguna, fungsionalitas dasar disediakan oleh perpustakaan dinamis ls11cloud dengan antarmuka pemrograman pkcs # 11 standar. Untuk menerima token cloud pribadi, pengguna harus mendaftar pada layanan cloud LS11CLOUD, dan kemudian menginisialisasi dan mengonfigurasi token pribadi pada layanan cloud.
Registrasi pengguna pada layanan cloud
Untuk memulainya, kami mencatat bahwa token cloud LS11CLOUD terletak di pkcs11.ru dan menerima permintaan untuk port 4444.
Seperti yang telah dicatat, pendaftaran pengguna di server dan pemeliharaan akunnya dilakukan oleh utilitas
ls11cloud_config :
$ ./ls11cloud_config LS11CLOUD User Utility Usage: ls11cloud_config <command> [-p <password>] [-n <new password>] NB: Use -n <new password> with change_pswd command only! Commands: register <host> <port> <id> - register new user on the server duplicate <host> <port> <id> - duplicate user account on other computer change_pswd - change SESPAKE authentication password status - display current configuration data log - display server log file recreate - re-create token to initial empty state unregister - remove all user files from the server NB: Don't use non-latin letters to avoid encoding problems! $
Saat mendaftarkan pengguna, lokasi layanan cloud (bidang "host"), port (bidang "port") di mana komunikasi dengan dunia luar dilakukan, dan nama panggilan (bidang "id") dari pengguna ditunjukkan:
bash-4.3$ ls11cloud_config register pkcs11.ru 4444 HABRAHABR
Untuk pendaftaran dari platform Linux, Windows dan OS X (macOS), ada utilitas grafis dengan antarmuka guils11cloud_conf yang intuitif untuk utilitas ini:
Pengguna bisa mendapatkan distribusi
Jadi, mari kita mulai menguji implementasi kriptografi Rusia di token cloud PKCS # 11.
Setelah mengunduh, Anda harus menjalankan utilitas grafis
guils11cloud_conf dan mengikuti instruksinya:
Jika Anda belum terdaftar dengan token cloud dari workstation ini, maka Anda akan diminta untuk membuat token atau terhubung ke yang sebelumnya dibuat (lihat screenshot). Untuk pendaftaran awal di cloud, klik tombol "Register in the cloud":
"Login pengguna" adalah login di mana pengguna akan terdaftar di cloud.
Kata sandi diperlukan untuk membuat saluran aman (protokol SESPAKE) dari aplikasi pengguna ke token pribadinya di cloud. Kata sandi akan diminta setiap kali pengguna mengakses token di cloud, kecuali jika dia menyimpannya segera setelah pendaftaran berhasil di cloud:
Setelah pendaftaran pengguna berhasil, token baru dengan SO-PIN 87654321 akan dibuat untuknya:
Inisialisasi Token
Setelah mengklik tombol "OK", sebuah formulir akan muncul di mana akan diperlukan untuk menunjukkan label token (secara default, itu cocok dengan login pengguna di cloud) dan kode PIN di mana pengguna akan memiliki akses ke token cloud:
Setelah mengklik tombol "Selesai", token cloud siap bekerja:
Di masa depan,
utilitas p11conf digunakan untuk mengkonfigurasi token cloud seperti untuk token / kartu pintar PKCS # 11 lainnya:
Jika Anda ingin menggunakan token cloud yang dibuat di komputer lain, maka, tentu saja, yang harus Anda lakukan adalah menjalankan utilitas grafis guils11cloud_config dan klik tombol "Duplikat token":
Setelah itu, ingat login tempat Anda terdaftar di cloud dan kata sandi untuk akses. Dengan mengklik tombol "Selesai", Anda akan mendapatkan akses ke token Anda:
Menginstal sertifikat pribadi pertama dalam token cloud
Sekarang kita telah mendaftar di cloud dan membuat token cloud pribadi kita di dalamnya, kita dapat mulai menggunakannya. Untuk pengujian, mari kita ambil browser
Redfox-52 dan klien email
Redfoxmail-52 , yang didasarkan pada Mozilla Firefox dan Mozilla Thunderbird, dengan dukungan untuk kriptografi Rusia pada token / kartu pintar PKCS # 11.
Kami akan melakukan pengujian pada platform WIN32.
Pertama, Anda perlu mengunduh dan menginstal Redfox-52. Untuk menginstal peramban Redfox, Anda perlu mengunduh arsip dan unzip.
Pindahkan folder Mozilla Firefox yang tidak di-zip ke lokasi yang nyaman. Kemudian buat pintasan untuk file yang dapat dieksekusi firefox.exe (terletak di dalam folder Mozilla Firefox) dan letakkan di tempat yang nyaman.
Setelah meluncurkan browser, Anda harus menghubungkan token cloud yang dibuat dengan menambahkan perpustakaan ls11cloud.dll ke perangkat:
Harap dicatat bahwa distribusi browser untuk MS Windows dibuat untuk platform Win32. Oleh karena itu, pustaka ls11cloud.dll juga harus diambil untuk platform Win32.
Setelah kami menyertakan token cloud di antara perangkat kriptografi yang digunakan browser, kami dapat mulai mengujinya. Pada tahap pertama, Anda harus mendapatkan setidaknya satu sertifikat pribadi. Untuk melakukan ini, kami menggunakan layanan dari salah satu CA pengujian:
Ketika Anda mengklik tombol Lanjutkan, CA akan menawarkan untuk memverifikasi data aplikasi, dan kemudian pilih perangkat kriptografi (token / smart card) untuk menghasilkan pasangan kunci dan menyimpan sertifikat pribadi:
Secara alami, token cloud dipilih dan setelah mengklik tombol "Lanjutkan", itu akan ditawarkan tidak hanya untuk menerima sertifikat pribadi yang dihasilkan oleh aplikasi Anda, tetapi juga untuk menginstal / menyimpan sertifikat root CA:
Anda dapat memverifikasi instalasi sertifikat dengan melihat toko sertifikat browser:
Menguji HTTPS dan PKCS # 12
Jadi, mekanisme cloud token bekerja. Sekarang mari kita periksa operasi token cloud dalam mode https resmi pada enkripsi Rusia:
Untuk menguji operasi token cloud pada
halaman pengujian CryptoPro, kami akan menggunakan sertifikat tes yang sebelumnya diperoleh di pusat tes CryptoPro dan diunggah ke wadah PKCS # 12. Pertama, Anda perlu mengunduh
sertifikat dalam format PKCS # 12 dan menginstalnya di token cloud (kata sandi untuk wadah PKCS # 12 adalah 01234567):
Sebagai perangkat penyimpanan, Anda harus memilih token cloud:
Maka Anda harus memasukkan PIN untuk mengakses token, kata sandi untuk PKCS # 12. Sebagai akibatnya, sertifikat akan berada di token:
Pada saat yang sama, jangan lupa untuk mengatur tingkat kepercayaan pada sertifikat root dari CryptoPro CA:
Sekarang Anda dapat dengan aman pergi ke halaman pengujian CryptoPro, misalnya
, di sini :
Menggunakan token cloud untuk mengatur korespondensi email aman
Sekarang mari kita lihat bagaimana token cloud bekerja di klien surat
Redfoxmail / Thunderbird .
Untuk menginstal klien email Mozilla Thunderbird pada platform WIN32, Anda perlu mengunduh arsip thunderbird-52.0-gost dan unzip. Pindahkan folder Mozilla Thunderbird yang tidak di-zip ke lokasi yang nyaman.
Kemudian buat pintasan untuk file yang dapat dieksekusi thunderbird.exe (terletak di dalam folder Mozilla Thunderbird) dan letakkan di tempat yang nyaman. Setelah memulai klien email, kami menghubungkan token cloud, mirip dengan yang kami lakukan untuk browser Redfox:
Setelah menghubungkan token cloud, sertifikat yang tersimpan di dalamnya akan tersedia. Tetapi ini mungkin tidak cukup - perlu untuk menginstal sertifikat root CA, di mana sertifikat pribadi dikeluarkan. Itu sebabnya kami menyimpan sertifikat root selama rilis:
Sekarang dalam pengaturan akun Anda perlu menginstal sertifikat yang akan digunakan untuk menandatangani dan mengenkripsi surat:
Sekarang Anda dapat dengan aman menandatangani pesan Anda:
Pesan ini dapat diterima oleh klien email yang mendukung kriptografi Rusia, misalnya,
KMail :
Kesimpulan
Jadi, kita dapat mengatakan bahwa mitos menjadi kenyataan. Ruang lingkup utama token cloud LS11CLOUD dapat berupa manajemen dokumen internal, surat aman, dan perbankan.
Layanan cloud LS11CLOUD dengan token cloud-nya dapat sangat berguna bagi pengembang aplikasi yang menggunakan token / kartu pintar PKCS # 11.
PS Saya memasukkan sertifikat pribadi saya ke token cloud, menghubungkannya ke plugin layanan publik dan membayar utang pajak melalui
portal GOSUSLOG . OC - ββLinux.