Re: и ещё про шифрование
Maxim Tyurin <[EMAIL PROTECTED]> wrote: > Andrey Melnikoff writes: > > Maxim Tyurin <[EMAIL PROTECTED]> wrote: > >> Andrey Melnikoff writes: > > > >> > То, что там можно хранить сертификаты - это я понял.. а вот что делать с > >> > паролями из той-же мозилы - непонятно. > > > >> Firefox и thunderbird умеют работать с токеном. > > Я правильно понимаю - что на токене можено держать свой персональный ключ > > для ssh, сертификаты и пароли к мозиле ? > На токене можно держать сертификат. > А вот этим сертификатом умеет пользоваться ssh как персональным > ключем, мозиллы как мастер-паролем и т.д. Тогда последний вопрос - а можно там держать отдельно файлик в text/plain и работать с ним через мидл-варь ? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: и ещё про шифрование
Andrey Melnikoff writes: > Maxim Tyurin <[EMAIL PROTECTED]> wrote: >> Andrey Melnikoff writes: > >> > То, что там можно хранить сертификаты - это я понял.. а вот что делать с >> > паролями из той-же мозилы - непонятно. > >> Firefox и thunderbird умеют работать с токеном. > Я правильно понимаю - что на токене можено держать свой персональный ключ > для ssh, сертификаты и пароли к мозиле ? На токене можно держать сертификат. А вот этим сертификатом умеет пользоваться ssh как персональным ключем, мозиллы как мастер-паролем и т.д. -- With Best Regards, Maxim Tyurin JID:[EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: и ещё про шифрование
Maxim Tyurin <[EMAIL PROTECTED]> wrote: > Andrey Melnikoff writes: > > То, что там можно хранить сертификаты - это я понял.. а вот что делать с > > паролями из той-же мозилы - непонятно. > Firefox и thunderbird умеют работать с токеном. Я правильно понимаю - что на токене можено держать свой персональный ключ для ssh, сертификаты и пароли к мозиле ? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: и ещё про шифрование
Andrey Melnikoff writes: > То, что там можно хранить сертификаты - это я понял.. а вот что делать с > паролями из той-же мозилы - непонятно. Firefox и thunderbird умеют работать с токеном. -- With Best Regards, Maxim Tyurin JID:[EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: и ещё про шифрование
Maxim Tyurin <[EMAIL PROTECTED]> wrote: > Andrey Melnikoff writes: > > Maxim Tyurin <[EMAIL PROTECTED]> wrote: > >> Andrey Melnikoff writes: > > > >> > Pavel Ammosov <[EMAIL PROTECTED]> wrote: > >> >> On Thu, Mar 13, 2008 at 09:55:06PM +0300, sergio wrote: > >> > > >> > [] > >> > > >> >> Если нужна защита, то существует IBM 4758 > >> >> (http://www.ibm.com/security/cryptocards/) > >> >> Это PCI-карта, представляющая защищённое хранилище ключей (от > >> >> физического взлома, от нагрева, охлаждения, рентгеновского излучения) с > >> >> собственной батарейкой, генератор случайных чисел, сама шифровалка, > >> >> разграничение доступа и тп и тд :) > >> > А что есть для хранения ключей/паролей ? i.e. есть кучка паролей, > >> > логинов, > >> > ssh ключей - их надо где-то хранить, причем более-менее секурно. > > > >> Перейти на авторизацию по смарт-картам. > >> Открытая часть ssh ключа делается из открытой части сертификата. > >> Секретная часть сертификата лежит на смарте. > > Что-то ненаблюдаю ридеров для смарт-карт в лбой помойной компутерной лавке. > > Я думал про такой вариант. но увы - если её некуда втыкать. > Есть достаточно много смарт карт в формате USB брелка (сразу с > ридером). > В нашей деревеньке проще всего найти Aladdin eToken Pro. > eToken Pro 32k у меня отлично работает. Да фиг с ним, с доступностью. Можно и из-за бугра притащить если сильно захочется. То, что там можно хранить сертификаты - это я понял.. а вот что делать с паролями из той-же мозилы - непонятно. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: и ещё про шифрование
Konstantin Matyukhin -> debian-russian@lists.debian.org @ Thu, 27 Mar 2008 22:00:23 +0300: >> >> А что есть для хранения ключей/паролей ? i.e. есть кучка >> >> паролей, логинов, ssh ключей - их надо где-то хранить, причем >> >> более-менее секурно. >> KM> aptitude install revelation >> >> Гном. Отказать. KM> Что ж, идущим в альтернативном направлении могу посоветовать KM> MyPasswordSafe. Спасибо, у меня свой есть. -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] Байкер - тоже паровоз, Но всего с двумя колес... (С)энта -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: и ещё про шифрование
Andrey Melnikoff writes: > Maxim Tyurin <[EMAIL PROTECTED]> wrote: >> Andrey Melnikoff writes: > >> > Pavel Ammosov <[EMAIL PROTECTED]> wrote: >> >> On Thu, Mar 13, 2008 at 09:55:06PM +0300, sergio wrote: >> > >> > [] >> > >> >> Если нужна защита, то существует IBM 4758 >> >> (http://www.ibm.com/security/cryptocards/) >> >> Это PCI-карта, представляющая защищённое хранилище ключей (от >> >> физического взлома, от нагрева, охлаждения, рентгеновского излучения) с >> >> собственной батарейкой, генератор случайных чисел, сама шифровалка, >> >> разграничение доступа и тп и тд :) >> > А что есть для хранения ключей/паролей ? i.e. есть кучка паролей, логинов, >> > ssh ключей - их надо где-то хранить, причем более-менее секурно. > >> Перейти на авторизацию по смарт-картам. >> Открытая часть ssh ключа делается из открытой части сертификата. >> Секретная часть сертификата лежит на смарте. > Что-то ненаблюдаю ридеров для смарт-карт в лбой помойной компутерной лавке. > Я думал про такой вариант. но увы - если её некуда втыкать. Есть достаточно много смарт карт в формате USB брелка (сразу с ридером). В нашей деревеньке проще всего найти Aladdin eToken Pro. eToken Pro 32k у меня отлично работает. -- With Best Regards, Maxim Tyurin JID:[EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: и ещё про шифрование
Maxim Tyurin <[EMAIL PROTECTED]> wrote: > Andrey Melnikoff writes: > > Pavel Ammosov <[EMAIL PROTECTED]> wrote: > >> On Thu, Mar 13, 2008 at 09:55:06PM +0300, sergio wrote: > > > > [] > > > >> Если нужна защита, то существует IBM 4758 > >> (http://www.ibm.com/security/cryptocards/) > >> Это PCI-карта, представляющая защищённое хранилище ключей (от > >> физического взлома, от нагрева, охлаждения, рентгеновского излучения) с > >> собственной батарейкой, генератор случайных чисел, сама шифровалка, > >> разграничение доступа и тп и тд :) > > А что есть для хранения ключей/паролей ? i.e. есть кучка паролей, логинов, > > ssh ключей - их надо где-то хранить, причем более-менее секурно. > Перейти на авторизацию по смарт-картам. > Открытая часть ssh ключа делается из открытой части сертификата. > Секретная часть сертификата лежит на смарте. Что-то ненаблюдаю ридеров для смарт-карт в лбой помойной компутерной лавке. Я думал про такой вариант. но увы - если её некуда втыкать. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: и ещё про шифрование
andrey i. mavlyanov <[EMAIL PROTECTED]> wrote: > Konstantin Matyukhin пишет: > >> >> А что есть для хранения ключей/паролей ? i.e. есть кучка паролей, > >> логинов, > >> >> ssh ключей - их надо где-то хранить, причем более-менее секурно. > >> KM> aptitude install revelation > >> > >> Гном. Отказать. > > Что ж, идущим в альтернативном направлении могу посоветовать MyPasswordSafe. > > > KeePassX !!! > работает везде от винды до наладонников и mac os x. Ага. Только на флешку, где будет лежать 10 килобайт паролей надо насывать еще софта метров под 100. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: и ещё про шифрование
Andrey Melnikoff writes: > Pavel Ammosov <[EMAIL PROTECTED]> wrote: >> On Thu, Mar 13, 2008 at 09:55:06PM +0300, sergio wrote: > > [] > >> Если нужна защита, то существует IBM 4758 >> (http://www.ibm.com/security/cryptocards/) >> Это PCI-карта, представляющая защищённое хранилище ключей (от >> физического взлома, от нагрева, охлаждения, рентгеновского излучения) с >> собственной батарейкой, генератор случайных чисел, сама шифровалка, >> разграничение доступа и тп и тд :) > А что есть для хранения ключей/паролей ? i.e. есть кучка паролей, логинов, > ssh ключей - их надо где-то хранить, причем более-менее секурно. Перейти на авторизацию по смарт-картам. Открытая часть ssh ключа делается из открытой части сертификата. Секретная часть сертификата лежит на смарте. -- With Best Regards, Maxim Tyurin JID:[EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: и ещё про шифрование
2008/3/27 andrey i. mavlyanov <[EMAIL PROTECTED]>: > Konstantin Matyukhin пишет: > > >> >> А что есть для хранения ключей/паролей ? i.e. есть кучка паролей, > >> логинов, > >> >> ssh ключей - их надо где-то хранить, причем более-менее секурно. > >> KM> aptitude install revelation > >> > >> Гном. Отказать. > > Что ж, идущим в альтернативном направлении могу посоветовать > MyPasswordSafe. > > > KeePassX !!! > > работает везде от винды до наладонников и mac os x. # apt-cache search KeePassX # Увы! -- С уважением, Константин Матюхин
Re: и ещё про шифрование
> >> А что есть для хранения ключей/паролей ? i.e. есть кучка паролей, > логинов, > >> ssh ключей - их надо где-то хранить, причем более-менее секурно. > KM> aptitude install revelation > > Гном. Отказать. Что ж, идущим в альтернативном направлении могу посоветовать MyPasswordSafe. -- С уважением, Константин Матюхин
Re: и ещё про шифрование
> Konstantin Matyukhin -> debian-russian@lists.debian.org @ Thu, 27 Mar 2008 > > >> А что есть для хранения ключей/паролей ? i.e. есть кучка паролей, > логинов, > >> ssh ключей - их надо где-то хранить, причем более-менее секурно. passwords.txt.cpt - текстовый файл, зашифрованный ccrypt.
Re: и ещё про шифрование
Konstantin Matyukhin -> debian-russian@lists.debian.org @ Thu, 27 Mar 2008 10:32:19 -0400: >> А что есть для хранения ключей/паролей ? i.e. есть кучка паролей, логинов, >> ssh ключей - их надо где-то хранить, причем более-менее секурно. KM> aptitude install revelation Гном. Отказать. -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] The Eclipse Platform is an open and extensible platform for anything and yet nothing in particular. -- apt-cache show eclipse-platform -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: и ещё про шифрование
> А что есть для хранения ключей/паролей ? i.e. есть кучка паролей, логинов, > ssh ключей - их надо где-то хранить, причем более-менее секурно. aptitude install revelation -- С уважением, Константин Матюхин
Re: и ещё про шифрование
Andrey Melnikoff -> debian-russian@lists.debian.org @ Thu, 27 Mar 2008 00:42:16 +0300: >> Если нужна защита, то существует IBM 4758 >> (http://www.ibm.com/security/cryptocards/) >> Это PCI-карта, представляющая защищённое хранилище ключей (от >> физического взлома, от нагрева, охлаждения, рентгеновского излучения) с >> собственной батарейкой, генератор случайных чисел, сама шифровалка, >> разграничение доступа и тп и тд :) AM> А что есть для хранения ключей/паролей ? i.e. есть кучка паролей, AM> логинов, ssh ключей - их надо где-то хранить, причем более-менее AM> секурно. Если более-менее - то в файлике, зашифрованном с помощью такой хреновины. Я, впрочем, не выпендриваюсь, и у меня есть самописная софтинка, которая шифрует пароли с логинами на едином пароле. База в наладоннике. >> Только в Россию ты её не привезёшь, потому что у нас есть сексуальные >> меньшинства с гостом и странным оборудованием, органично переплетшиеся с >> госструктурами. Они сами не могут нормально сделать и другим не дают. AM> Да-да... там такие занятные генетические уродцы встречаются... В Америке ничуть не хуже... -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] Нужны две программы - одна с интерфейсом, а другая чтобы работу делала. Victor Wagner в <[EMAIL PROTECTED]> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: и ещё про шифрование
Pavel Ammosov <[EMAIL PROTECTED]> wrote: > On Thu, Mar 13, 2008 at 09:55:06PM +0300, sergio wrote: [] > Если нужна защита, то существует IBM 4758 > (http://www.ibm.com/security/cryptocards/) > Это PCI-карта, представляющая защищённое хранилище ключей (от > физического взлома, от нагрева, охлаждения, рентгеновского излучения) с > собственной батарейкой, генератор случайных чисел, сама шифровалка, > разграничение доступа и тп и тд :) А что есть для хранения ключей/паролей ? i.e. есть кучка паролей, логинов, ssh ключей - их надо где-то хранить, причем более-менее секурно. > Только в Россию ты её не привезёшь, потому что у нас есть сексуальные > меньшинства с гостом и странным оборудованием, органично переплетшиеся с > госструктурами. Они сами не могут нормально сделать и другим не дают. Да-да... там такие занятные генетические уродцы встречаются... -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: и ещё про шифрование
sergio -> debian-russian@lists.debian.org @ Fri, 21 Mar 2008 17:35:29 +0300: >> Ну ты уж выбери что-нибудь одно. Либо вводить ключ с помощью человека, >> предварительно проверив все, что можно, либо без помощи человека, как в >> DRM. Последний вариант скомпрометирован априори. s> да мне не сложно ввести ключ руками. по сети. s> надо только придумать простой способ проверять, что всё в порядке. Давай поставим вопрос с самого начала. Стопроцентного способа проверить, что все в порядке, не существует. Существуют способы, дающие хороший результат в тех или иных условиях. Так вот. От каких атак ты намерен защищаться? У админа хостера возможностей довольно много. Но часть из них изрядно сложны в реализации. Например, можно поднять твой хост в виртуальной машине (отдав ей диски или их образы) и мониторить память хоста этой vm. Тогда с твоей точки зрения обнаружить, что что-то не в порядке, почти нереально. -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] Will write code that writes code that writes code that writes code for money. -- on comp.lang.lisp -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: и ещё про шифрование
sergio -> debian-russian@lists.debian.org @ Fri, 14 Mar 2008 03:00:50 +0300: >> Еще swap не стоит забывать. s> Может это и не хорошо, но его просто нету. >> Здесь показанно как размещать ключ на usb: >> http://www.saout.de/tikiwiki/tiki-index.php?page=EncryptedVarWithUSBKey s> опять-же надо оказаться рядом с машиной. >> Тем же способом можно попробовать разместить ключ на удаленной машине и >> получать его по ssh (по сертификату в /boot). s> интересный вариант. хотя нет. если получить доступ к буту, s> можно будет получить ключ от раздела. Ну ты уж выбери что-нибудь одно. Либо вводить ключ с помощью человека, предварительно проверив все, что можно, либо без помощи человека, как в DRM. Последний вариант скомпрометирован априори. -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] Save the environment. Create a closure today. -- Cormac Flanagan -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: и ещё про шифрование
Nicholas wrote: Еще swap не стоит забывать. Может это и не хорошо, но его просто нету. Здесь показанно как размещать ключ на usb: http://www.saout.de/tikiwiki/tiki-index.php?page=EncryptedVarWithUSBKey опять-же надо оказаться рядом с машиной. Тем же способом можно попробовать разместить ключ на удаленной машине и получать его по ssh (по сертификату в /boot). интересный вариант. хотя нет. если получить доступ к буту, можно будет получить ключ от раздела. -- sergio. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: и ещё про шифрование
sergio wrote: При утсановке дебиана можно сделать шифрованный раздел. или даже сделать шифрованным root с отдельным boot для initrd. Еще swap не стоит забывать. Проблема только в том, что при загрузке надо ввести пароль. Здесь показанно как размещать ключ на usb: http://www.saout.de/tikiwiki/tiki-index.php?page=EncryptedVarWithUSBKey Тем же способом можно попробовать разместить ключ на удаленной машине и получать его по ssh (по сертификату в /boot). Вы могли бы делать доступным этот удаленный ресурс только тогда, когда планируете перезагрузку. -- Sincerely, Nicholas -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]