On Fri, 04 Jun 2010 09:57:33 +0700 Andrey Lyubimets <and...@nskes.ru> wrote:
> Denis Feklushkin пишет: > > On Wed, 2 Jun 2010 23:37:33 +0800 Denis Feklushkin > > <denis.feklush...@gmail.com> wrote: > > > >> Вопрос: > >> > >> Есть ли такой честный USB–токен или другой девайс чтобы под линуксом все > >> эти секреты хранились на нём, а для того чтобы ими воспользоваться > >> требовался один единственный пароль (пин–код)? И желательна возможность > >> бэкапить такой ключ (могу ведь потерять), защитив бэкап длинным паролем. > >> > >> > >> А если появится ещё пара ключей от банка но в формате ГОСТ? > >> > >> Или отговорите - скажите что я всё делаю не так > > > > Я прогуглил eToken и rutoken. Какие ещё есть нормальные? > > > > Краткое резюме (имхо): если ты не мартышка безмозглая то названные токены > > УХУДШАЮТ безопасность хранения ключей. > > > > Дело в том что пинкод юзера не шифрует ключ на смарткарте, значит ключ на > > ней защищён только аппаратным security through obscurity смарткарты. Такая > > схема отлично подходит чтобы аутентифицировать кассира на кассе в > > супермаркете но плохо пригодна для хранения CA key, который на 10 лет > > выписывается. (А ведь наша компания через 5 лет планирует затмить гугл!) > Зачем тебе с собой таскать CA key? Его нужно хранить в несгораемом сейфе. Ну дык токен будет лежать в сейфе... ) > ИМХО, паттерн применения токенов несколько отличается от твоих пожеланий. > Нужно придерживаться политики: потерял токен - связанные с ним секреты > протухли. Согласен, об этом и говорю, для другого токены предназначены... А вот если бы вместо пин-кода там был пароль да ещё бы токен имел индикатор того что мы собираемся в данный момент подписать (какой? тоже вопрос!), то токен был бы по сути маленьким честным компьютером с доверенной средой, который безопасно мог бы работать в недоверенной среде и всё такое. Идеал просто! Такой бы я купил -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100604111045.2bcd7...@gmail.com