выбираю USB-токен или что-то подобное
Denis Feklushkin
2 ключа RSA (java cryptoprovider) от банков
1 ключ RSA от моего корпоративного самостийного CA
1 ключ RSA для SSL, подписан за деньги чужим CA (нафиг не нужен, но пусть будет для комплекта)
4 ключа от сайтов с SSL–аутентификацией по сертификату пользователя (в том числе там онлайновая бухгалтерия)
3 ключа gpg для ЭЦП е–майлов (зачем так много? — так получилось)
1 сертификат для PKINIT (это такая штука для получения по сертификату krb5 TGT. его у меня ещё нет но точно будет)
И я совершил грех — я не смог запомнить все пароли и начал их лепить повторяющимися или вообще не ставить! (но /home криптованный)
Вопрос:
Есть ли такой честный USB–токен или другой девайс чтобы под линуксом все эти секреты хранились на нём, а для того чтобы ими воспользоваться требовался один единственный пароль (пин–код)? И желательна возможность бэкапить такой ключ (могу ведь потерять), защитив бэкап длинным паролем.
А если появится ещё пара ключей от банка но в формате ГОСТ?
Или отговорите - скажите что я всё делаю не так
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/20100602233...@gmail.com
Andrey Rahmatullin
> Смарт-карты не дают делать бекап секретного ключа. Иначе зачем они
> нужны бы были?
> > А если появится ещё пара ключей от банка но в формате ГОСТ?
Рутокены умеют ГОСТ и по идее должны (старые, не "ЭЦП") уметь бэкапить
RSA-ключи, т.к. не умеют генерить и использовать их нативно. Ну а ЭЦП уже
скоро три года как сделан, но не продаётся, т.к. "нет софта".
--
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(6):
Кстати... можете не проверять, я и так знаю, что эта версия
сломана, ждите сразу следующую.
-- pilot in sisyphus@
Maxim Tyurin
> У меня имеются в наличии секреты:
>
> 2 ключа RSA (java cryptoprovider) от банков
> 1 ключ RSA от моего корпоративного самостийного CA
> 1 ключ RSA для SSL, подписан за деньги чужим CA (нафиг не нужен, но пусть будет для комплекта)
> 4 ключа от сайтов с SSL–аутентификацией по сертификату пользователя (в том числе там онлайновая бухгалтерия)
> 3 ключа gpg для ЭЦП е–майлов (зачем так много? — так получилось)
> 1 сертификат для PKINIT (это такая штука для получения по сертификату krb5 TGT. его у меня ещё нет но точно будет)
>
> И я совершил грех — я не смог запомнить все пароли и начал их лепить повторяющимися или вообще не ставить! (но /home криптованный)
>
> Вопрос:
>
> Есть ли такой честный USB–токен или другой девайс чтобы под линуксом
> все эти секреты хранились на нём, а для того чтобы ими
> воспользоваться требовался один единственный пароль (пин–код)? И
> желательна возможность бэкапить такой ключ (могу ведь потерять),
> защитив бэкап длинным паролем.
Из того что щупал:
1) Aladdin eToken PRO - честный PKCS#12 токен. В него можно запихнуть
сертификаты. Продукты Mozilla с ним умеют работать. Кроме них его у
меня используют OpenSSH, OpenVPN и PAM. Еще на него подвязаны
шифрованные ФС (EncFS и LUKS). Как с ним работает GnuPG мне не
понравилось. Потому появился второй пункт :)
2) OpenPGP Card - отлично работает с GnuPG. Можно на нее также PAM
привязать и для шифрованных ФС использовать.
Смарт-карты не дают делать бекап секретного ключа. Иначе зачем они
нужны бы были?
>
> Или отговорите - скажите что я всё делаю не так
шифрованием информации (по конкретным моделям пусть более знающие
товарищи просветят).
--
With Best Regards, Maxim Tyurin
JID: MrK...@jabber.pibhe.com
Denis Feklushkin
Maxim Tyurin <mrk...@bungarus.info> wrote:
> Denis Feklushkin writes:
>
> > У меня имеются в наличии секреты:
> >
> > 2 ключа RSA (java cryptoprovider) от банков
> > 1 ключ RSA от моего корпоративного самостийного CA
> > 1 ключ RSA для SSL, подписан за деньги чужим CA (нафиг не нужен, но пусть будет для комплекта)
> > 4 ключа от сайтов с SSL–аутентификацией по сертификату пользователя (в том числе там онлайновая бухгалтерия)
> > 3 ключа gpg для ЭЦП е–майлов (зачем так много? — так получилось)
> > 1 сертификат для PKINIT (это такая штука для получения по сертификату krb5 TGT. его у меня ещё нет но точно будет)
> >
> > И я совершил грех — я не смог запомнить все пароли и начал их лепить повторяющимися или вообще не ставить! (но /home криптованный)
> >
> > Вопрос:
> >
> > Есть ли такой честный USB–токен или другой девайс чтобы под линуксом
> > все эти секреты хранились на нём, а для того чтобы ими
> > воспользоваться требовался один единственный пароль (пин–код)? И
> > желательна возможность бэкапить такой ключ (могу ведь потерять),
> > защитив бэкап длинным паролем.
>
> Чтоб хранить все это такого не знаю.
> Из того что щупал:
> 1) Aladdin eToken PRO - честный PKCS#12 токен. В него можно запихнуть
> сертификаты. Продукты Mozilla с ним умеют работать. Кроме них его у
> меня используют OpenSSH, OpenVPN и PAM. Еще на него подвязаны
> шифрованные ФС (EncFS и LUKS). Как с ним работает GnuPG мне не
> понравилось.
а подробнее?
> Потому появился второй пункт :)
> 2) OpenPGP Card - отлично работает с GnuPG. Можно на нее также PAM
> привязать и для шифрованных ФС использовать.
>
> Смарт-карты не дают делать бекап секретного ключа. Иначе зачем они
> нужны бы были?
Чтобы безопасно использовать секретный ключ. А бэкап делать по админскому пинкоду, например
> > А если появится ещё пара ключей от банка но в формате ГОСТ?
> >
> > Или отговорите - скажите что я всё делаю не так
>
> Я не знаю смарт-карт которые позволяют работать со всем этим.
> Может смотреть на защищенные флешки? Вроде есть с нормальным
> шифрованием информации (по конкретным моделям пусть более знающие
> товарищи просветят).
О, первый раз слышу. Надо погуглить
В прниципе, защищённой флешкой может называться токен сам, т.к. даже от не поддерживаемых протоколов секреты умеет отдавать по пин-коду
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Denis Feklushkin
Andrey Rahmatullin <wr...@altlinux.org> wrote:
> On Thu, Jun 03, 2010 at 08:22:15PM +0300, Maxim Tyurin wrote:
> > Смарт-карты не дают делать бекап секретного ключа. Иначе зачем они
> > нужны бы были?
> > > А если появится ещё пара ключей от банка но в формате ГОСТ?
> > Я не знаю смарт-карт которые позволяют работать со всем этим.
> Рутокены умеют ГОСТ и по идее должны (старые, не "ЭЦП") уметь бэкапить
> RSA-ключи, т.к. не умеют генерить и использовать их нативно.
Хотелось бы и то и другое чтоб нативно умели
> Ну а ЭЦП уже
> скоро три года как сделан, но не продаётся, т.к. "нет софта".
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Denis Feklushkin
Denis Feklushkin <denis.fe...@gmail.com> wrote:
> Вопрос:
>
> Есть ли такой честный USB–токен или другой девайс чтобы под линуксом все эти секреты хранились на нём, а для того чтобы ими воспользоваться требовался один единственный пароль (пин–код)? И желательна возможность бэкапить такой ключ (могу ведь потерять), защитив бэкап длинным паролем.
>
> А если появится ещё пара ключей от банка но в формате ГОСТ?
>
> Или отговорите - скажите что я всё делаю не так
Я прогуглил eToken и rutoken. Какие ещё есть нормальные?
Краткое резюме (имхо): если ты не мартышка безмозглая то названные токены УХУДШАЮТ безопасность хранения ключей.
Дело в том что пинкод юзера не шифрует ключ на смарткарте, значит ключ на ней защищён только аппаратным security through obscurity смарткарты.
Такая схема отлично подходит чтобы аутентифицировать кассира на кассе в супермаркете но плохо пригодна для хранения CA key, который на 10 лет выписывается. (А ведь наша компания через 5 лет планирует затмить гугл!)
Другой безопасности такой токен тоже не добавляет. Например, при использовании его на не доверенной машине никто не мешает жулику подсунуть на подпись всё что угодно (токен не имеет, например, экрана, чтобы показать что подписываемый документ это ххх а не ууу)
А на доверенной и так всё хорошо, там /home закриптован честным 20-значным паролем
Отдельно "порадовал" русский саппорт eToken (ala...@aladdin.ru) - отвечают только на удобные им вопросы и начисто игнорируют остальные
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Andrey Rahmatullin
> > > Смарт-карты не дают делать бекап секретного ключа. Иначе зачем они
> > > нужны бы были?
> > > > А если появится ещё пара ключей от банка но в формате ГОСТ?
> > > Я не знаю смарт-карт которые позволяют работать со всем этим.
> > Рутокены умеют ГОСТ и по идее должны (старые, не "ЭЦП") уметь бэкапить
> > RSA-ключи, т.к. не умеют генерить и использовать их нативно.
> Хотелось бы и то и другое чтоб нативно умели
http://forum.rutoken.ru/topic/1262/
--
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(6):
<cthulhoed> вот на нормальном форуме забанят и дело с концом. а здесь морально
уничтожают не доставая плюсомёт
<cthulhoed> за это нас и не любят
Andrey Lyubimets
> On Wed, 2 Jun 2010 23:37:33 +0800 Denis Feklushkin
> <denis.fe...@gmail.com> wrote:
>
>> Вопрос:
>>
>> Есть ли такой честный USB–токен или другой девайс чтобы под линуксом все
>> эти секреты хранились на нём, а для того чтобы ими воспользоваться
>> требовался один единственный пароль (пин–код)? И желательна возможность
>> бэкапить такой ключ (могу ведь потерять), защитив бэкап длинным паролем.
>>
>>
>> А если появится ещё пара ключей от банка но в формате ГОСТ?
>>
>> Или отговорите - скажите что я всё делаю не так
>
> Я прогуглил eToken и rutoken. Какие ещё есть нормальные?
>
> Краткое резюме (имхо): если ты не мартышка безмозглая то названные токены
> УХУДШАЮТ безопасность хранения ключей.
>
> Дело в том что пинкод юзера не шифрует ключ на смарткарте, значит ключ на
> ней защищён только аппаратным security through obscurity смарткарты. Такая
> схема отлично подходит чтобы аутентифицировать кассира на кассе в
> супермаркете но плохо пригодна для хранения CA key, который на 10 лет
> выписывается. (А ведь наша компания через 5 лет планирует затмить гугл!)
ИМХО, паттерн применения токенов несколько отличается от твоих пожеланий.
Нужно придерживаться политики: потерял токен - связанные с ним секреты протухли.
>
> Другой безопасности такой токен тоже не добавляет. Например, при
> использовании его на не доверенной машине никто не мешает жулику подсунуть
> на подпись всё что угодно (токен не имеет, например, экрана, чтобы
> показать что подписываемый документ это ххх а не ууу)
>
> А на доверенной и так всё хорошо, там /home закриптован честным 20-значным
> паролем
>
>
> Отдельно "порадовал" русский саппорт eToken (ala...@aladdin.ru) -
> отвечают только на удобные им вопросы и начисто игнорируют остальные
>
>
--
С уважением, Любимец Андрей Алексеевич
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Denis Feklushkin
Andrey Lyubimets <and...@nskes.ru> wrote:
> Denis Feklushkin пишет:
> > On Wed, 2 Jun 2010 23:37:33 +0800 Denis Feklushkin
> > <denis.fe...@gmail.com> wrote:
> >
> >> Вопрос:
> >>
> >> Есть ли такой честный USB–токен или другой девайс чтобы под линуксом все
> >> эти секреты хранились на нём, а для того чтобы ими воспользоваться
> >> требовался один единственный пароль (пин–код)? И желательна возможность
> >> бэкапить такой ключ (могу ведь потерять), защитив бэкап длинным паролем.
> >>
> >>
> >> А если появится ещё пара ключей от банка но в формате ГОСТ?
> >>
> >> Или отговорите - скажите что я всё делаю не так
> >
> > Я прогуглил eToken и rutoken. Какие ещё есть нормальные?
> >
> > Краткое резюме (имхо): если ты не мартышка безмозглая то названные токены
> > УХУДШАЮТ безопасность хранения ключей.
> >
> > Дело в том что пинкод юзера не шифрует ключ на смарткарте, значит ключ на
> > ней защищён только аппаратным security through obscurity смарткарты. Такая
> > схема отлично подходит чтобы аутентифицировать кассира на кассе в
> > супермаркете но плохо пригодна для хранения CA key, который на 10 лет
> > выписывается. (А ведь наша компания через 5 лет планирует затмить гугл!)
> Зачем тебе с собой таскать CA key? Его нужно хранить в несгораемом сейфе.
Ну дык токен будет лежать в сейфе... )
> ИМХО, паттерн применения токенов несколько отличается от твоих пожеланий.
> Нужно придерживаться политики: потерял токен - связанные с ним секреты протухли.
Согласен, об этом и говорю, для другого токены предназначены...
А вот если бы вместо пин-кода там был пароль да ещё бы токен имел индикатор того что мы собираемся в данный момент подписать (какой? тоже вопрос!), то токен был бы по сути маленьким честным компьютером с доверенной средой, который безопасно мог бы работать в недоверенной среде и всё такое.
Идеал просто! Такой бы я купил
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Denis Feklushkin
Andrey Rahmatullin <wr...@altlinux.org> wrote:
> On Fri, Jun 04, 2010 at 04:43:09AM +0800, Denis Feklushkin wrote:
> > > > Смарт-карты не дают делать бекап секретного ключа. Иначе зачем они
> > > > нужны бы были?
> > > > > А если появится ещё пара ключей от банка но в формате ГОСТ?
> > > > Я не знаю смарт-карт которые позволяют работать со всем этим.
> > > Рутокены умеют ГОСТ и по идее должны (старые, не "ЭЦП") уметь бэкапить
> > > RSA-ключи, т.к. не умеют генерить и использовать их нативно.
> > Хотелось бы и то и другое чтоб нативно умели
> http://www.rutoken.ru/products/rutokends/
> http://forum.rutoken.ru/topic/1262/
>
Аааа! Я не туда смотрел!
А что за софт они там пишут? Вроде ведь стандартный карточный интерфейс же там?
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Andrey Rahmatullin
> > http://www.rutoken.ru/products/rutokends/
> > http://forum.rutoken.ru/topic/1262/
> Аааа! Я не туда смотрел!
> А что за софт они там пишут? Вроде ведь стандартный карточный интерфейс же там?
использовать.
--
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(6):
В этом тысячелетии реально интегрировать этот патч? ;)
-- mithraen in #6288
Denis Feklushkin
Andrey Rahmatullin <wr...@altlinux.org> wrote:
> On Fri, Jun 04, 2010 at 11:05:47AM +0800, Denis Feklushkin wrote:
> > > http://www.rutoken.ru/products/rutokends/
> > > http://forum.rutoken.ru/topic/1262/
> > Аааа! Я не туда смотрел!
> > А что за софт они там пишут? Вроде ведь стандартный карточный интерфейс же там?
> Вот этого не знаю. Не исключаю, что под линуксом его уже можно
> использовать.
задал вопрос им тут http://forum.rutoken.ru/post/2759/#p2759
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Andrey Lyubimets
> On Fri, 04 Jun 2010 09:57:33 +0700 Andrey Lyubimets <and...@nskes.ru>
> wrote:
>
>> Denis Feklushkin пишет:
>>> On Wed, 2 Jun 2010 23:37:33 +0800 Denis Feklushkin
>>> <denis.fe...@gmail.com> wrote:
>>>
>>>> Вопрос:
>>>>
>>>> все эти секреты хранились на нём, а для того чтобы ими
>>>> желательна возможность бэкапить такой ключ (могу ведь потерять),
>>>> защитив бэкап длинным паролем.
>>>>
>>>>
>>>> А если появится ещё пара ключей от банка но в формате ГОСТ?
>>>>
>>>> Или отговорите - скажите что я всё делаю не так
>>> Я прогуглил eToken и rutoken. Какие ещё есть нормальные?
>>>
>>> Краткое резюме (имхо): если ты не мартышка безмозглая то названные
>>> токены УХУДШАЮТ безопасность хранения ключей.
>>>
>>> Дело в том что пинкод юзера не шифрует ключ на смарткарте, значит ключ
>>> на ней защищён только аппаратным security through obscurity
>>> смарткарты. Такая схема отлично подходит чтобы аутентифицировать
>>> кассира на кассе в супермаркете но плохо пригодна для хранения CA key,
>>> который на 10 лет выписывается. (А ведь наша компания через 5 лет
>>> планирует затмить гугл!)
>> Зачем тебе с собой таскать CA key? Его нужно хранить в несгораемом
>> сейфе.
>
> Ну дык токен будет лежать в сейфе... )
>
>> ИМХО, паттерн применения токенов несколько отличается от твоих
>> пожеланий. Нужно придерживаться политики: потерял токен - связанные с
>> ним секреты протухли.
>
> Согласен, об этом и говорю, для другого токены предназначены...
>
> А вот если бы вместо пин-кода там был пароль да ещё бы токен имел
> индикатор того что мы собираемся в данный момент подписать (какой? тоже
> вопрос!), то токен был бы по сути маленьким честным компьютером с
> доверенной средой, который безопасно мог бы работать в недоверенной среде
> и всё такое.
документы в недоверенной среде?
Если часто - можно с собой таскать доверенную среду в виде ноутбука, если
редко - не факт, что токен с собой окажется в нужный момент.
>
> Идеал просто! Такой бы я купил
>
>
--
С уважением, Любимец Андрей Алексеевич
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Denis Feklushkin
Andrey Lyubimets <and...@nskes.ru> wrote:
так же часто как и необходимость поставить обычную подпись. ну или показать ксиву милиционеру
> Если часто - можно с собой таскать доверенную среду в виде ноутбука, если
> редко - не факт, что токен с собой окажется в нужный момент.
> >
> > Идеал просто! Такой бы я купил
> >
> >
>
>
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Maxim Tyurin
> On Wed, 2 Jun 2010 23:37:33 +0800
> Denis Feklushkin <denis.fe...@gmail.com> wrote:
>
>> Вопрос:
>>
>> Есть ли такой честный USB–токен или другой девайс чтобы под линуксом все эти секреты хранились на нём, а для того чтобы ими воспользоваться требовался один единственный пароль (пин–код)? И желательна возможность бэкапить такой ключ (могу ведь потерять), защитив бэкап длинным паролем.
>>
>> А если появится ещё пара ключей от банка но в формате ГОСТ?
>>
>> Или отговорите - скажите что я всё делаю не так
>
> Я прогуглил eToken и rutoken. Какие ещё есть нормальные?
Maxim Tyurin
>> Как с ним работает GnuPG мне не
>> понравилось.
>
> а подробнее?
>> Потому появился второй пункт :)
>> 2) OpenPGP Card - отлично работает с GnuPG. Можно на нее также PAM
>> привязать и для шифрованных ФС использовать.
>>
>> Смарт-карты не дают делать бекап секретного ключа. Иначе зачем они
>> нужны бы были?
>
> Чтобы безопасно использовать секретный ключ. А бэкап делать по админскому пинкоду, например
>
>> > А если появится ещё пара ключей от банка но в формате ГОСТ?
>> >
>> > Или отговорите - скажите что я всё делаю не так
>>
>> Я не знаю смарт-карт которые позволяют работать со всем этим.
>> Может смотреть на защищенные флешки? Вроде есть с нормальным
>> шифрованием информации (по конкретным моделям пусть более знающие
>> товарищи просветят).
>
> О, первый раз слышу. Надо погуглить
>
> В прниципе, защищённой флешкой может называться токен сам, т.к. даже от не поддерживаемых протоколов секреты умеет отдавать по пин-коду
еще софт который умеет с этим работать :)
Victor Wagner
> Зачем тебе с собой таскать CA key? Его нужно хранить в несгораемом сейфе.
Вместе с компьютером, на котором находится вся база данных CA и все
такое.
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Denis Feklushkin
а вот подкину :)
он умеет только RSA 1024, а сейчас сертификаты некоторые умники-CA разрешают делать не менее 2048 бит
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Denis Feklushkin
Maxim Tyurin <mrk...@bungarus.info> wrote:
> >> Я не знаю смарт-карт которые позволяют работать со всем этим.
> >> Может смотреть на защищенные флешки? Вроде есть с нормальным
> >> шифрованием информации (по конкретным моделям пусть более знающие
> >> товарищи просветят).
> >
> > О, первый раз слышу. Надо погуглить
> >
> > В прниципе, защищённой флешкой может называться токен сам, т.к. даже от не поддерживаемых протоколов секреты умеет отдавать по пин-коду
>
> В токене можно хранить практически произвольные данные. Только нужен
> еще софт который умеет с этим работать :)
тут пришли уже к выводу что такой токен ничем не отличается от флешки + truecrypt
надо чтобы токен поддерживал "аппаратно" алгоритмы, только так...
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Andrey Rahmatullin
> тут пришли уже к выводу что такой токен ничем не отличается от флешки + truecrypt
разве нет?
> надо чтобы токен поддерживал "аппаратно" алгоритмы, только так...
Так поддерживают.
--
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(6):
before release
git-push please
-- george in #11725
Denis Feklushkin
Victor Wagner <vi...@wagner.pp.ru> wrote:
> On 2010.06.04 at 09:57:33 +0700, Andrey Lyubimets wrote:
>
> > Зачем тебе с собой таскать CA key? Его нужно хранить в несгораемом сейфе.
>
> Вместе с компьютером, на котором находится вся база данных CA и все
> такое.
Хорошо бы хранить компьютер в зашифрованном длинным паролем виде... :)
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Maxim Tyurin
>> > Я прогуглил eToken и rutoken. Какие ещё есть нормальные?
>>
>> Rainbow iKey. Сам не пользовался но гадостей про него не слышал.
>
> а вот подкину :)
> он умеет только RSA 1024, а сейчас сертификаты некоторые умники-CA разрешают делать не менее 2048 бит
eToken pro 32 и iKey 1000/1032 умеют только RSA 1024
eToken pro 64 и iKey 2032 умеют RSA 1024/2048
Maxim Tyurin
> On Fri, Jun 04, 2010 at 05:33:10PM +0800, Denis Feklushkin wrote:
>> тут пришли уже к выводу что такой токен ничем не отличается от флешки + truecrypt
> Трукрипт подбирается бесконечно, а токен - пока не кончится лимит пинов,
> разве нет?
>> надо чтобы токен поддерживал "аппаратно" алгоритмы, только так...
> Так поддерживают.
--
Denis Feklushkin
Andrey Rahmatullin <wr...@altlinux.org> wrote:
> On Fri, Jun 04, 2010 at 05:33:10PM +0800, Denis Feklushkin wrote:
> > тут пришли уже к выводу что такой токен ничем не отличается от флешки + truecrypt
> Трукрипт подбирается бесконечно, а токен - пока не кончится лимит пинов,
Лучше гарантированная (почти) бесконечность чем блокировка с теоретической возможностью прочитать
> разве нет?
Ну да, но на самом деле никто не мешает вскрыть смарткарту и прочитать что на ней. Я серьёзно.
И пинкодом они информацию на ней не шифруют (пинкод обычно маловат для этого даже) по аналогии с truecrypt. То есть, смарткарта это чистой воды security through obscurity.
Да, смарткарты типа круто защищены. Они измеряют температуру и напряжение чтоб "контроллируемый глюк" не произошёл, например. а так же имеют заливку чипа и прочие такие вещи. Но случаи вскрытия бывали, и неоднократно - аж осадочек остался...
Без физического вскрытия ещё недавно "клонировались" смарткарты от сотовых телефонов, например (правда там пинкод надо знать, но всё равно это был обход защиты для которой смарткарту в телефон и придумали ставить). Была бага в, собственно, eToken R1 - там пинкод можно было сбросить физически подключившись к токену со снятым корпусом, потом при включении он это обнаруживал, говорил "опа!" и высталял дефолтный пин (если я не путаю, но этот случай гуглится легко). Фирма сказала что это тестовая версия токена была, все ок, типа.
Ещё были случаи (точно помню лет 5 назад и раньше по ТВ показывали, можно было понять о чём речь) - жулики правили инфу в сбербанковских смарткартах (я юзал такую, там прямо на карте сумма денег записана и иногда она syn'кается с банком) - тоже как-то реверс-инжинерили их, вольтметром и матерью, наверно.
В общем, смарткарте можно доверить логин офисного планктона в рабочий комп с вконтактом и асечкой, не более (особенно тем, у кого проблемы с памятью на честные пароли длиной 8 символов - вот для таких смарткарта это просто идеальная штука)
> > надо чтобы токен поддерживал "аппаратно" алгоритмы, только так...
> Так поддерживают.
А вот не факт! Вопрос задан, ждём-с: http://forum.rutoken.ru/post/2764/#p2764
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Denis Feklushkin
Andrey Rahmatullin <wr...@altlinux.org> wrote:
> On Fri, Jun 04, 2010 at 05:33:10PM +0800, Denis Feklushkin wrote:
> > тут пришли уже к выводу что такой токен ничем не отличается от флешки + truecrypt
> Трукрипт подбирается бесконечно, а токен - пока не кончится лимит пинов,
> разве нет?
Неожиданно оказалось что рутокен шифрует пинкодом ключи а не хранит их на смарткарте!
http://forum.rutoken.ru/post/2770/#p2770
и в архитектуре там нет смартчипов
кажется я спасён! :)
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Andrey Rahmatullin
> кажется я спасён! :)
Ага, ещё б их продавали.
--
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(6):
На "боевую" машину можно ставить только стабильные пакеты.
-- aen in community@
Denis Feklushkin
Andrey Rahmatullin <wr...@altlinux.org> wrote:
> On Fri, Jun 04, 2010 at 08:34:19PM +0800, Denis Feklushkin wrote:
> > кажется я спасён! :)
> Ага, ещё б их продавали.
>
оно?
http://www.infosecurity.ru/cgi-bin/mart/catalog.pl?sub=et&pr=ak&item=0751&x=4
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Andrey Rahmatullin
> оно?
> http://www.infosecurity.ru/cgi-bin/mart/catalog.pl?sub=et&pr=ak&item=0751&x=4
О, спасибо.
--
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(6):
<thresh> а кто как думает, сколько мозготраха будет в бэкпортировании php5 из
4.0 в 2.4 ?
<wRAR> у тебя ж девушка
<thresh> у меня еще и работа :(
Denis Feklushkin
Andrey Rahmatullin <wr...@altlinux.org> wrote:
> On Fri, Jun 04, 2010 at 09:16:13PM +0800, Denis Feklushkin wrote:
> > оно?
> > http://www.infosecurity.ru/cgi-bin/mart/catalog.pl?sub=et&pr=ak&item=0751&x=4
> О, спасибо.
я только увидел этот магазин, так что может это кидалово какое
сайт страшный по крайней мере)
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Yuri Kozlov
Denis Feklushkin <denis.fe...@gmail.com> пишет:
> On Fri, 4 Jun 2010 19:47:54 +0600
> Andrey Rahmatullin <wr...@altlinux.org> wrote:
>
> > On Fri, Jun 04, 2010 at 09:16:13PM +0800, Denis Feklushkin wrote:
> > > оно?
> > > http://www.infosecurity.ru/cgi-bin/mart/catalog.pl?sub=et&pr=ak&item=0751&x=4
> > О, спасибо.
>
> я только увидел этот магазин, так что может это кидалово какое
> сайт страшный по крайней мере)
Смотрите список на самом rutoken.
В софткее есть, например.
--
Best Regards,
Yuri Kozlov
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/20100604183...@keeper.home.local
Denis Feklushkin
Yuri Kozlov <yu...@komyakino.ru> wrote:
> В Fri, 4 Jun 2010 21:59:56 +0800
> Denis Feklushkin <denis.fe...@gmail.com> пишет:
>
> > On Fri, 4 Jun 2010 19:47:54 +0600
> > Andrey Rahmatullin <wr...@altlinux.org> wrote:
> >
> > > On Fri, Jun 04, 2010 at 09:16:13PM +0800, Denis Feklushkin wrote:
> > > > оно?
> > > > http://www.infosecurity.ru/cgi-bin/mart/catalog.pl?sub=et&pr=ak&item=0751&x=4
> > > О, спасибо.
> >
> > я только увидел этот магазин, так что может это кидалово какое
> > сайт страшный по крайней мере)
>
> Смотрите список на самом rutoken.
> В софткее есть, например.
Нету. нам обязательно модель "rutoken ЭЦП" надо
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Andrey Rahmatullin
> Смотрите список на самом rutoken.
Тем более что там 2 или 3 дистрибьютора всего.
> В софткее есть, например.
ЭЦП - нету.
--
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(6):
Если вы соберете непонятно что, то и работать оно будет непонятно как.
-- lakostis in devel-kernel@
Denis Feklushkin
Andrey Rahmatullin <wr...@altlinux.org> wrote:
> On Fri, Jun 04, 2010 at 05:33:10PM +0800, Denis Feklushkin wrote:
> > тут пришли уже к выводу что такой токен ничем не отличается от флешки + truecrypt
> Трукрипт подбирается бесконечно, а токен - пока не кончится лимит пинов,
> разве нет?
>
> > надо чтобы токен поддерживал "аппаратно" алгоритмы, только так...
> Так поддерживают.
а вот, например, такой случай:
сгенерировали пару для gnupg. потом пошли подписывать публичный ключ по друзьям-знакомым и ключ распух.
Можно его будет опять поместить на токен заменив старый публичный ключ?
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Maxim Tyurin
> On Fri, 4 Jun 2010 16:18:15 +0600
> Andrey Rahmatullin <wr...@altlinux.org> wrote:
>
>> On Fri, Jun 04, 2010 at 05:33:10PM +0800, Denis Feklushkin wrote:
>>> тут пришли уже к выводу что такой токен ничем не отличается от флешки + truecrypt
>> Трукрипт подбирается бесконечно, а токен - пока не кончится лимит пинов,
>> разве нет?
>>
>>> надо чтобы токен поддерживал "аппаратно" алгоритмы, только так...
>> Так поддерживают.
>
> а вот, например, такой случай:
>
> сгенерировали пару для gnupg. потом пошли подписывать публичный ключ по друзьям-знакомым и ключ распух.
> Можно его будет опять поместить на токен заменив старый публичный ключ?
От подписей secring не распухает, а pubring на токене хранить ИМХО нет
смысла. pubring может и сотню MB занимать.
--
With Best Regards, Maksym Tiurin
JID: MrK...@jabber.pibhe.com
Dmitry Marin
> > > А что за софт они там пишут? Вроде ведь стандартный карточный интерфейс же там?
> > Вот этого не знаю. Не исключаю, что под линуксом его уже можно
> > использовать.
>
Можно. Причем вопрос задавать было не обязательно, его уже там задавали
и на сайте есть ответ. Для работы под линуксом нужно патчить opensc (по
крайней мере год назад в дебиане дистрибутивный opensc рутокен не
понимал)
> задал вопрос им тут http://forum.rutoken.ru/post/2759/#p2759
>
>
--
С уважением, Дмитрий Марин.
cor...@corvax.ru
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/1275842799.8191.2.camel@localhost
Victor Wagner
> В Птн, 04/06/2010 в 12:07 +0800, Denis Feklushkin пишет:
>
> > > > А что за софт они там пишут? Вроде ведь стандартный карточный интерфейс же там?
> > > Вот этого не знаю. Не исключаю, что под линуксом его уже можно
> > > использовать.
> >
> Можно. Причем вопрос задавать было не обязательно, его уже там задавали
> и на сайте есть ответ. Для работы под линуксом нужно патчить opensc (по
> крайней мере год назад в дебиане дистрибутивный opensc рутокен не
> понимал)
В сентябре было достаточно сбэкпортить из тестинга.
>
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Victor Wagner
> > О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫?
>
> О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ secring О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫ pubring О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫О©╫
> О©╫О©╫О©╫О©╫О©╫О©╫. pubring О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫ MB О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫.
> --
О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫. О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫, О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ - О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫. О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫. О©╫
О©╫О©╫О©╫О©╫ - О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫,
О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫..
О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫ X.509 PKI, О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ HOME, О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫. О©╫О©╫О©╫О©╫О©╫
О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫.
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Maxim Tyurin
> On 2010.06.06 at 00:33:06 +0300, Maxim Tyurin wrote:
>
>>
>> От подписей secring не распухает, а pubring на токене хранить ИМХО нет
>> смысла. pubring может и сотню MB занимать.
>> --
> переписке - крайне удобно. Воткнул токен в машину и можешь работать. А
> если - сначала скопировать с одного носителя стомегабайтный пубринг,
> потом воткнуть токен..
>
> Мы тут решали аналогичноую задачу на базе X.509 PKI, так замучились
> добиваться того, чтобы пользователь понимал что делать, если токен не
> соответствует содержиому директории в HOME, хранящей сертификаты. Проще
> все на токен упихивать.
Согласен. Люди у которых pubring в сотню мегабайт могут следить за
содержимым HOME.