Re: выбираю USB-токен или что-то подобное

To: debian-russian@lists.debian.org
Subject: Re: выбираю USB-токен или что-то подобное
From: Denis Feklushkin <denis.feklushkin@gmail.com>
Date: Fri, 4 Jun 2010 04:42:34 +0800
Message-id: <20100604044234.2e992b49@gmail.com>
In-reply-to: <m38w6w116g.fsf@mrkooll.tdr.pibhe.com>
References: <20100602233733.7595ea87@gmail.com> <m38w6w116g.fsf@mrkooll.tdr.pibhe.com>

On Thu, 03 Jun 2010 20:22:15 +0300
Maxim Tyurin <mrkooll@bungarus.info> wrote:

> Denis Feklushkin writes:
> 
> > У меня имеются в наличии секреты:
> >
> > 2 ключа RSA (java cryptoprovider) от банков
> > 1 ключ RSA от моего корпоративного самостийного CA
> > 1 ключ RSA для SSL, подписан за деньги чужим CA (нафиг не нужен, но пусть будет для комплекта)
> > 4 ключа от сайтов с SSL–аутентификацией по сертификату пользователя (в том числе там онлайновая бухгалтерия) 
> > 3 ключа gpg для ЭЦП е–майлов (зачем так много? — так получилось)
> > 1 сертификат для PKINIT (это такая штука для получения по сертификату krb5 TGT. его у меня ещё нет но точно будет)
> >
> > И я совершил грех — я не смог запомнить все пароли и начал их лепить повторяющимися или вообще не ставить! (но /home криптованный) 
> >
> > Вопрос:
> >
> > Есть ли такой честный USB–токен или другой девайс чтобы под линуксом
> > все эти секреты хранились на нём, а для того чтобы ими
> > воспользоваться требовался один единственный пароль (пин–код)? И
> > желательна возможность бэкапить такой ключ (могу ведь потерять),
> > защитив бэкап длинным паролем.
> 
> Чтоб хранить все это такого не знаю.
> Из того что щупал:
> 1) Aladdin eToken PRO - честный PKCS#12 токен. В него можно запихнуть
> сертификаты. Продукты Mozilla с ним умеют работать. Кроме них его у
> меня используют OpenSSH, OpenVPN и PAM. Еще на него подвязаны
> шифрованные ФС (EncFS и LUKS). Как с ним работает GnuPG мне не
> понравилось.

а подробнее?

> Потому появился второй пункт :)
> 2) OpenPGP Card - отлично работает с GnuPG. Можно на нее также PAM
> привязать и для шифрованных ФС использовать.
> 
> Смарт-карты не дают делать бекап секретного ключа. Иначе зачем они
> нужны бы были?

Чтобы безопасно использовать секретный ключ. А бэкап делать по админскому пинкоду, например
 
> > А если появится ещё пара ключей от банка но в формате ГОСТ?
> >
> > Или отговорите - скажите что я всё делаю не так
> 
> Я не знаю смарт-карт которые позволяют работать со всем этим.
> Может смотреть на защищенные флешки? Вроде есть с нормальным
> шифрованием информации (по конкретным моделям пусть более знающие
> товарищи просветят).

О, первый раз слышу. Надо погуглить

В прниципе, защищённой флешкой может называться токен сам, т.к. даже от не поддерживаемых протоколов секреты умеет отдавать по пин-коду

Reply to:

Follow-Ups:
- Re: выбираю USB-токен или что-то подобное
  - From: Maxim Tyurin <mrkooll@bungarus.info>

References:
- выбираю USB-токен или что-то подобное
  - From: Denis Feklushkin <denis.feklushkin@gmail.com>
- Re: выбираю USB-токен или что-то подобное
  - From: Maxim Tyurin <mrkooll@bungarus.info>

Prev by Date: Re: Как настраивать команду xdg-open ?
Next by Date: Re: выбираю USB-токен или что-то подобное
Previous by thread: Re: выбираю USB-токен или что-то подобное
Next by thread: Re: выбираю USB-токен или что-то подобное
Index(es):
- Date
- Thread