On Fri, 04 Jun 2010 11:50:56 +0700 Andrey Lyubimets <[email protected]> wrote:
> Denis Feklushkin пишет: > > On Fri, 04 Jun 2010 09:57:33 +0700 Andrey Lyubimets <[email protected]> > > wrote: > > > >> Denis Feklushkin пишет: > >>> On Wed, 2 Jun 2010 23:37:33 +0800 Denis Feklushkin > >>> <[email protected]> wrote: > >>> > >>>> Вопрос: > >>>> > >>>> Есть ли такой честный USB--токен или другой девайс чтобы под линуксом > >>>> все эти секреты хранились на нём, а для того чтобы ими > >>>> воспользоваться требовался один единственный пароль (пин--код)? И > >>>> желательна возможность бэкапить такой ключ (могу ведь потерять), > >>>> защитив бэкап длинным паролем. > >>>> > >>>> > >>>> А если появится ещё пара ключей от банка но в формате ГОСТ? > >>>> > >>>> Или отговорите - скажите что я всё делаю не так > >>> Я прогуглил eToken и rutoken. Какие ещё есть нормальные? > >>> > >>> Краткое резюме (имхо): если ты не мартышка безмозглая то названные > >>> токены УХУДШАЮТ безопасность хранения ключей. > >>> > >>> Дело в том что пинкод юзера не шифрует ключ на смарткарте, значит ключ > >>> на ней защищён только аппаратным security through obscurity > >>> смарткарты. Такая схема отлично подходит чтобы аутентифицировать > >>> кассира на кассе в супермаркете но плохо пригодна для хранения CA key, > >>> который на 10 лет выписывается. (А ведь наша компания через 5 лет > >>> планирует затмить гугл!) > >> Зачем тебе с собой таскать CA key? Его нужно хранить в несгораемом > >> сейфе. > > > > Ну дык токен будет лежать в сейфе... ) > равнобезопасно положить в сейф любой зашифрованный носитель информации > > > >> ИМХО, паттерн применения токенов несколько отличается от твоих > >> пожеланий. Нужно придерживаться политики: потерял токен - связанные с > >> ним секреты протухли. > > > > Согласен, об этом и говорю, для другого токены предназначены... > > > > А вот если бы вместо пин-кода там был пароль да ещё бы токен имел > > индикатор того что мы собираемся в данный момент подписать (какой? тоже > > вопрос!), то токен был бы по сути маленьким честным компьютером с > > доверенной средой, который безопасно мог бы работать в недоверенной среде > > и всё такое. > Интересно, а как часто может возникать спонтанная необходимость подписывать > документы в недоверенной среде? так же часто как и необходимость поставить обычную подпись. ну или показать ксиву милиционеру > Если часто - можно с собой таскать доверенную среду в виде ноутбука, если > редко - не факт, что токен с собой окажется в нужный момент. > > > > Идеал просто! Такой бы я купил > > > > > > -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
