Denis Feklushkin пишет:
On Wed, 2 Jun 2010 23:37:33 +0800 Denis Feklushkin
denis.feklush...@gmail.com wrote:
Вопрос:
Есть ли такой честный USB–токен или другой девайс чтобы под линуксом все
эти секреты хранились на нём, а для того чтобы ими воспользоваться
требовался один единственный пароль (пин–код)? И желательна возможность
бэкапить такой ключ (могу ведь потерять), защитив бэкап длинным паролем.
А если появится ещё пара ключей от банка но в формате ГОСТ?
Или отговорите - скажите что я всё делаю не так
Я прогуглил eToken и rutoken. Какие ещё есть нормальные?
Краткое резюме (имхо): если ты не мартышка безмозглая то названные токены
УХУДШАЮТ безопасность хранения ключей.
Дело в том что пинкод юзера не шифрует ключ на смарткарте, значит ключ на
ней защищён только аппаратным security through obscurity смарткарты. Такая
схема отлично подходит чтобы аутентифицировать кассира на кассе в
супермаркете но плохо пригодна для хранения CA key, который на 10 лет
выписывается. (А ведь наша компания через 5 лет планирует затмить гугл!)
Зачем тебе с собой таскать CA key? Его нужно хранить в несгораемом сейфе.
ИМХО, паттерн применения токенов несколько отличается от твоих пожеланий.
Нужно придерживаться политики: потерял токен - связанные с ним секреты протухли.
Другой безопасности такой токен тоже не добавляет. Например, при
использовании его на не доверенной машине никто не мешает жулику подсунуть
на подпись всё что угодно (токен не имеет, например, экрана, чтобы
показать что подписываемый документ это ххх а не ууу)
А на доверенной и так всё хорошо, там /home закриптован честным 20-значным
паролем
Отдельно порадовал русский саппорт eToken (alad...@aladdin.ru) -
отвечают только на удобные им вопросы и начисто игнорируют остальные
--
С уважением, Любимец Андрей Алексеевич
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4c086b9d.5090...@nskes.ru
