Среда, 23 Октября 2013 г.
Использование USB-ключей для хранения личных сертификатов на платформе Android

В инфраструктуре PKI (инфраструктура открытых ключей – ИОК) USB-ключи используются для безопасного хранения личных сертификатов (ключевая пара и сертификат) пользователя. В идеале пользователь может использовать личные сертификаты, хранящиеся на USB-ключе,  на любой платформе. Одной из таких платформ является платформа Android.

На сегодняшний день действительно кроссплатформенным USB-ключом является USB-ключ Рутокен Lite (форм-фактор USB ключ, форм-фактор Micro SD Card) производства компании  «Актив-Софт». Он поддерживается платформами Linux, MS Windows, OS X, Android, iOS. Для его использования в инфраструктуре PKI специалистами ООО «ЛИССИ-Софт» разработана высокоуровневая библиотека PKCS#11 ls_rtpkcs11ecp. Данная библиотека является кроссплатформенной и работает на всех вышеуказанных платформах:

Библиотека ls_rtpkcs11ecp и USB-ключи Рутокен Lite могут использоваться в любых приложениях, где используется интерфейс PKCS#11 с поддержкой российской криптографии, а именно: Mozilla Firefox, Mozilla Thunderbird, SeaMonkey, ПК «ЛИССИ-CSP», КриптоПлагины, ПК «SignMaker», включая платформу Android:

Для использования USB-ключей Рутокен Lite на платформе Android  необходимо установить  новую версию «SignMaker-A» и запустить приложение. После первого запуска приложения «SignMaker-A»  необходимо установить пакет service.apk , находящийся в папке /sdcard/lissi .

Использование USB-ключей/смарт-карт через библиотеки LS_HW11 (общее название этого семейства библиотек) возможно только после их лицензирования. Лицензирование осуществляется один раз независимо от платформы, на которой будут использоваться USB-ключи/смарт-карты. Лицензирование проводится через веб-сервис лицензирования, а на платформе Android для этого используется приложение «PKCS11Manager-A», которое можно скачать здесь или на google-play.

После запуска «PKCS11Manager-A» (предварительно необходимо вставить USB-ключ Рутокен Lite или Рутокен ЭЦП в устройство) и выбора библиотеки ls_rtpkcs11ecp приложение проверит наличие лицензии на USB-ключе. 

Если лицензия есть, то работа продолжается в обычном режиме. При отсутствии лицензии будет предложено её получить:

Лицензии выдаются на 1 год или бессрочно. Можно также единовременно получить двухнедельную тестовую лицензию. Для получения лицензии достаточно нажать кнопку «Получить лицензию».

В случае успешного получения лицензии приложение «PKCS11Manager-A» позволит провести конфигурирование USB-ключа.

Получив лицензию на USB-ключ, становится возможным его использование в приложении «SignMaker-A» в штатном режиме: 

Для лицензирования  USB-ключей на традиционных платформах (MS Windows, Linux, OS X) удобно воспользоваться веб-сервисом «Активация лицензии на использование токена»:

Аналогичные библиотеки разработаны для USB-ключей/смарт-карт компаний  «Аладдин Р.Д.» и «МультиСофт».

В настоящее время также завершается подготовка бета-версии приложений «SignMaker-I» и «PKCS11Manager-I» для платформы iOS. На платформе iOS тоже будет доступно использование USB-ключей Рутокен Lite: