Вторник, 2 Мая 2017 г.
LS11CLOUD - облачная реализация PKCS#11 с поддержкой ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012, ГОСТ Р 34.12-2015 и ГОСТ Р 34.13-2015

LS11CLOUD является облачной реализацией ООО «ЛИССИ-Софт» стандарта PKCS#11 v.2.40, дополненного поддержкой российских криптографических алгоритмов в соответствии со спецификациями, выработанными Техническим комитетом по стандартизации (ТК 26) «Криптографическая защита информации.

LS11CLOUD поддерживает алгоритмы ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012, ГОСТ Р 34.11-94, ГОСТ Р 34.11-2012, ГОСТ 28147-89, ГОСТ Р 34.12-2015 и ГОСТ Р 34.13-2015, а также сопутствующие алгоритмы и параметры, определенные руководящими документами ТК 26.

Обеспечение безопасного удаленного взаимодействия с защищенным личным контейнером криптографических объектов (токеном) по шифрованному сетевому каналу осуществляется с применением протокола аутентификации SESPAKE (Security Evaluated Standardized Password-Authenticated Key Exchange), рекомендованному ТК 26.

На стороне пользователя основная функциональность обеспечивается динамической библиотекой ls11cloud со стандартным программным интерфейсом PKCS#11 v.2.40. Предварительная регистрация пользователя на сервере и обслуживание учетной записи производятся утилитой ls11cloud_config. Удаленная инициализация и конфигурирование личного токена на сервере выполняются утилитойp11conf,работающей через интерфейсы библиотеки ls11cloud.

Пароль SESPAKE и значения PIN никак не связаны между собой. Пароль SESPAKE используется для двустороннейаутентификации пользователя и сервера. А значения PIN предназначены для доступа к токену. Использование пароля SESPAKE и PIN усиливает безопасность облачного токена.

Все сообщения, передаваемые между клиентом и сервером, шифруются ключами, выработанными в результате выполнения протокола аутентификации SESPAKE. Шифрование производится с использованием алгоритма «Кузнечик».

Приватные объекты токена шифруются на сервере также с использованием алгоритма «Кузнечик». Случайное значение мастер-ключа шифрования, в свою очередь, шифруется ключом, сгенерированным на USER PIN и защищается имитовставкой.

Значения закрытых ключей с атрибутами неизвлекаемости никогда не покидают сервер. Все операции с такими объектами выполняются на сервере, а пользователю передаются только результаты выполнения операций.

Следует отметить, что некоторые механизмы и другие конструкции pkcs11 v.2.40 для новых российских алгоритмов пока еще не утверждены в ТК 26 окончательно, поэтому в следующие версии проекта могут быть внесены соответствующие изменения.

Облачный сервис LS11CLOUD доступен в интернет для всеобщего тестирования.