Re: выбираю USB-токен или что-то подобное
On Fri, 04 Jun 2010 09:57:33 +0700
Andrey Lyubimets <andrey@nskes.ru> wrote:
> Denis Feklushkin пишет:
> > On Wed, 2 Jun 2010 23:37:33 +0800 Denis Feklushkin
> > <denis.feklushkin@gmail.com> wrote:
> >
> >> Вопрос:
> >>
> >> Есть ли такой честный USB–токен или другой девайс чтобы под линуксом все
> >> эти секреты хранились на нём, а для того чтобы ими воспользоваться
> >> требовался один единственный пароль (пин–код)? И желательна возможность
> >> бэкапить такой ключ (могу ведь потерять), защитив бэкап длинным паролем.
> >>
> >>
> >> А если появится ещё пара ключей от банка но в формате ГОСТ?
> >>
> >> Или отговорите - скажите что я всё делаю не так
> >
> > Я прогуглил eToken и rutoken. Какие ещё есть нормальные?
> >
> > Краткое резюме (имхо): если ты не мартышка безмозглая то названные токены
> > УХУДШАЮТ безопасность хранения ключей.
> >
> > Дело в том что пинкод юзера не шифрует ключ на смарткарте, значит ключ на
> > ней защищён только аппаратным security through obscurity смарткарты. Такая
> > схема отлично подходит чтобы аутентифицировать кассира на кассе в
> > супермаркете но плохо пригодна для хранения CA key, который на 10 лет
> > выписывается. (А ведь наша компания через 5 лет планирует затмить гугл!)
> Зачем тебе с собой таскать CA key? Его нужно хранить в несгораемом сейфе.
Ну дык токен будет лежать в сейфе... )
> ИМХО, паттерн применения токенов несколько отличается от твоих пожеланий.
> Нужно придерживаться политики: потерял токен - связанные с ним секреты протухли.
Согласен, об этом и говорю, для другого токены предназначены...
А вот если бы вместо пин-кода там был пароль да ещё бы токен имел индикатор того что мы собираемся в данный момент подписать (какой? тоже вопрос!), то токен был бы по сути маленьким честным компьютером с доверенной средой, который безопасно мог бы работать в недоверенной среде и всё такое.
Идеал просто! Такой бы я купил
Reply to: