Denis Feklushkin пишет:
On Fri, 04 Jun 2010 09:57:33 +0700 Andrey Lyubimets <and...@nskes.ru>
wrote:
Denis Feklushkin пишет:
On Wed, 2 Jun 2010 23:37:33 +0800 Denis Feklushkin
<denis.feklush...@gmail.com> wrote:
Вопрос:
Есть ли такой честный USB--токен или другой девайс чтобы под линуксом
все эти секреты хранились на нём, а для того чтобы ими
воспользоваться требовался один единственный пароль (пин--код)? И
желательна возможность бэкапить такой ключ (могу ведь потерять),
защитив бэкап длинным паролем.
А если появится ещё пара ключей от банка но в формате ГОСТ?
Или отговорите - скажите что я всё делаю не так
Я прогуглил eToken и rutoken. Какие ещё есть нормальные?
Краткое резюме (имхо): если ты не мартышка безмозглая то названные
токены УХУДШАЮТ безопасность хранения ключей.
Дело в том что пинкод юзера не шифрует ключ на смарткарте, значит ключ
на ней защищён только аппаратным security through obscurity
смарткарты. Такая схема отлично подходит чтобы аутентифицировать
кассира на кассе в супермаркете но плохо пригодна для хранения CA key,
который на 10 лет выписывается. (А ведь наша компания через 5 лет
планирует затмить гугл!)
Зачем тебе с собой таскать CA key? Его нужно хранить в несгораемом
сейфе.
Ну дык токен будет лежать в сейфе... )
равнобезопасно положить в сейф любой зашифрованный носитель информации
ИМХО, паттерн применения токенов несколько отличается от твоих
пожеланий. Нужно придерживаться политики: потерял токен - связанные с
ним секреты протухли.
Согласен, об этом и говорю, для другого токены предназначены...
А вот если бы вместо пин-кода там был пароль да ещё бы токен имел
индикатор того что мы собираемся в данный момент подписать (какой? тоже
вопрос!), то токен был бы по сути маленьким честным компьютером с
доверенной средой, который безопасно мог бы работать в недоверенной среде
и всё такое.
Интересно, а как часто может возникать спонтанная необходимость подписывать
документы в недоверенной среде?
Если часто - можно с собой таскать доверенную среду в виде ноутбука, если
редко - не факт, что токен с собой окажется в нужный момент.
Идеал просто! Такой бы я купил
--
С уважением, Любимец Андрей Алексеевич
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4c088630.1040...@nskes.ru