On Thu, 03 Jun 2010 20:22:15 +0300 Maxim Tyurin <[email protected]> wrote:
> Denis Feklushkin writes: > > > У меня имеются в наличии секреты: > > > > 2 ключа RSA (java cryptoprovider) от банков > > 1 ключ RSA от моего корпоративного самостийного CA > > 1 ключ RSA для SSL, подписан за деньги чужим CA (нафиг не нужен, но пусть > > будет для комплекта) > > 4 ключа от сайтов с SSL–аутентификацией по сертификату пользователя (в том > > числе там онлайновая бухгалтерия) > > 3 ключа gpg для ЭЦП е–майлов (зачем так много? — так получилось) > > 1 сертификат для PKINIT (это такая штука для получения по сертификату krb5 > > TGT. его у меня ещё нет но точно будет) > > > > И я совершил грех — я не смог запомнить все пароли и начал их лепить > > повторяющимися или вообще не ставить! (но /home криптованный) > > > > Вопрос: > > > > Есть ли такой честный USB–токен или другой девайс чтобы под линуксом > > все эти секреты хранились на нём, а для того чтобы ими > > воспользоваться требовался один единственный пароль (пин–код)? И > > желательна возможность бэкапить такой ключ (могу ведь потерять), > > защитив бэкап длинным паролем. > > Чтоб хранить все это такого не знаю. > Из того что щупал: > 1) Aladdin eToken PRO - честный PKCS#12 токен. В него можно запихнуть > сертификаты. Продукты Mozilla с ним умеют работать. Кроме них его у > меня используют OpenSSH, OpenVPN и PAM. Еще на него подвязаны > шифрованные ФС (EncFS и LUKS). Как с ним работает GnuPG мне не > понравилось. а подробнее? > Потому появился второй пункт :) > 2) OpenPGP Card - отлично работает с GnuPG. Можно на нее также PAM > привязать и для шифрованных ФС использовать. > > Смарт-карты не дают делать бекап секретного ключа. Иначе зачем они > нужны бы были? Чтобы безопасно использовать секретный ключ. А бэкап делать по админскому пинкоду, например > > А если появится ещё пара ключей от банка но в формате ГОСТ? > > > > Или отговорите - скажите что я всё делаю не так > > Я не знаю смарт-карт которые позволяют работать со всем этим. > Может смотреть на защищенные флешки? Вроде есть с нормальным > шифрованием информации (по конкретным моделям пусть более знающие > товарищи просветят). О, первый раз слышу. Надо погуглить В прниципе, защищённой флешкой может называться токен сам, т.к. даже от не поддерживаемых протоколов секреты умеет отдавать по пин-коду -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
