Re: выбираю USB-токен или что-то подобное
On Thu, 03 Jun 2010 20:22:15 +0300
Maxim Tyurin <mrkooll@bungarus.info> wrote:
> Denis Feklushkin writes:
>
> > У меня имеются в наличии секреты:
> >
> > 2 ключа RSA (java cryptoprovider) от банков
> > 1 ключ RSA от моего корпоративного самостийного CA
> > 1 ключ RSA для SSL, подписан за деньги чужим CA (нафиг не нужен, но пусть будет для комплекта)
> > 4 ключа от сайтов с SSL–аутентификацией по сертификату пользователя (в том числе там онлайновая бухгалтерия)
> > 3 ключа gpg для ЭЦП е–майлов (зачем так много? — так получилось)
> > 1 сертификат для PKINIT (это такая штука для получения по сертификату krb5 TGT. его у меня ещё нет но точно будет)
> >
> > И я совершил грех — я не смог запомнить все пароли и начал их лепить повторяющимися или вообще не ставить! (но /home криптованный)
> >
> > Вопрос:
> >
> > Есть ли такой честный USB–токен или другой девайс чтобы под линуксом
> > все эти секреты хранились на нём, а для того чтобы ими
> > воспользоваться требовался один единственный пароль (пин–код)? И
> > желательна возможность бэкапить такой ключ (могу ведь потерять),
> > защитив бэкап длинным паролем.
>
> Чтоб хранить все это такого не знаю.
> Из того что щупал:
> 1) Aladdin eToken PRO - честный PKCS#12 токен. В него можно запихнуть
> сертификаты. Продукты Mozilla с ним умеют работать. Кроме них его у
> меня используют OpenSSH, OpenVPN и PAM. Еще на него подвязаны
> шифрованные ФС (EncFS и LUKS). Как с ним работает GnuPG мне не
> понравилось.
а подробнее?
> Потому появился второй пункт :)
> 2) OpenPGP Card - отлично работает с GnuPG. Можно на нее также PAM
> привязать и для шифрованных ФС использовать.
>
> Смарт-карты не дают делать бекап секретного ключа. Иначе зачем они
> нужны бы были?
Чтобы безопасно использовать секретный ключ. А бэкап делать по админскому пинкоду, например
> > А если появится ещё пара ключей от банка но в формате ГОСТ?
> >
> > Или отговорите - скажите что я всё делаю не так
>
> Я не знаю смарт-карт которые позволяют работать со всем этим.
> Может смотреть на защищенные флешки? Вроде есть с нормальным
> шифрованием информации (по конкретным моделям пусть более знающие
> товарищи просветят).
О, первый раз слышу. Надо погуглить
В прниципе, защищённой флешкой может называться токен сам, т.к. даже от не поддерживаемых протоколов секреты умеет отдавать по пин-коду
Reply to: