再次查看
cryptoarmpkcs实用程序的功能时,我注意到它主要与PKCS#11加密令牌/智能卡一起使用,没有用于其配置的内置功能。 我们正在谈论
初始化令牌 ,设置PIN码等。 并且决定添加此功能。 第一步是扩展
TclPKCS11软件包的功能,该软件包的库是用
C编写的
。TclPKCS11的新功能
包装中出现了三个新功能:
::pki::pkcs11::inittoken <handle> <slotId> <SO-pin> <label for token>
::pki::pkcs11::inituserpin <handle> <slotId> <SO-pin> <USER-pin>
::pki::pkcs11::setpin <handle> <slotId> <so | user> <oldpin> <newpin>
第一个函数:: pki :: pkcs11 :: inittoken是初始化令牌。 必须记住,如果将此功能应用于工作令牌,则该令牌上的所有对象都会被破坏。
第二个功能:: pki :: pkcs11 :: inituserpin用于初始化用户PIN(用户PIN)。
初始初始化用户PIN码后,必须立即将其更改为PIN码,以备将来使用,并将其像SO-PIN一样存放,以免被撬开。 为了安全起见,令牌通常不允许您使用初始PIN码登录。
要更改PIN码,使用了第三个功能,即:: pki :: pkcs11 :: setpin。 此功能允许您更改用户PIN和SO-PIN。
还应记住,令牌通常不允许恢复原始的SO-PIN(默认)。 但是,如果您重新初始化令牌,您将再次获得默认的SO-PIN。 TclPKCS11软件包的实现可以在
github上查看。
现在,有了具有新功能的TclPKCS11软件包,为这些功能实现GUI并不困难:
训练令牌
但是在使用它们之前,让我们注意一个事实,即另一个“创建令牌”按钮已添加到实用程序功能中。
这是由于并非每个人都拥有支持俄罗斯加密的PKCS#11硬件令牌,如果这样的话,将其用于教育目的是令人恐惧的。 为了使该实用程序可以轻松地用于教育目的,首先出现了“创建令牌”按钮。 通过单击此按钮,您将看到有关如何获取软件或云令牌的说明:
这些令牌实现了PKCS#11 v.2.40的最新
TK-26建议。
我们将简要讨论如何获取云令牌。 下载必要的分发程序包,如有必要,请解压缩并运行它。 如果我们没有云令牌,那么我们将收到以下消息:
由于我们还没有云令牌,因此请单击“在云中注册”按钮:
填写字段后,单击“完成”按钮:
由于我们主要是在谈论培训,因此我们可以保存一个密码来访问工作场所中的云(而不是令牌):
令牌初始化
现在我们已经在云中注册,我们退出guils11cloud_conf实用程序并返回cryptoarmpkcs实用程序以配置云令牌。 此处应注意,云令牌库将保存在用户主目录中创建的ls11cloud文件夹中。 需要将此库选择为云令牌的PKCS#11库。 选择一个库之后,您可以看到支持的加密机制:
我们通过单击“令牌配置”按钮返回初始化云令牌。 我们选择操作“令牌初始化”,填写字段(请记住默认的SO-PIN为87654321),然后单击“执行操作”按钮:
所有令牌都可以使用了。 但是不要忘记更改SO-PIN并定期更改用户PIN。 使用类似的方案,您可以创建软件令牌。 有兴趣的人可以尝试:
现在,我们可以将我们的个人证书存储在它们上,签署文档,并完成本系列文章中编写的所有操作。
PKI / PKI中即将出现的创新
2019年11月7日,国家杜马通过了对“电子签名”法律的一读修正。 该
修订适用于所有组织和个体企业家,因为签发电子签名的规则将发生变化。
如果我正确理解所有内容,则法人和个体企业家将只能在联邦税务局和俄罗斯联邦中央银行的金融机构中获得合格证书。 而且只能使用这些证书进行设置
增强的合格电子签名(Cades-XLT1)。
电信和大众通信部认可的认证中心(CA)将只能向个人颁发此类证书。
此外,对CA的要求将发生巨大变化:权益应从700万增加到5亿至10亿,保险责任额将从3000万增加到300-5亿卢布,认证期限从5年减少到3年。
该法案已经引起了强烈的批评。 主要抱怨是,这些变化将导致绝大多数商业CA的关闭,需要大量预算支出来扩展和维护CA Federal Tax Service的能力以及将所有类型的风险集中在单个基础架构上,这将成为网络攻击的便捷目标。
还有一项修正案-义务不是一次签发公司文件,而是一次由两个增强的合格签字人签署。 该组织的负责人必须将法人的签名和个人的个人数字签名放在文档上。
在这里,cryptoarmpkcs实用程序将非常非常有用,因为它的功能允许您在文档下放置
多个签名 ,并查看签名者和签名时间:
PS对于那些想第一次获得实用程序的人,仍然可以在这里完成: