On Fri, 04 Jun 2010 09:57:33 +0700 Andrey Lyubimets <andrey@nskes.ru>
wrote:
Denis Feklushkin пишет:
On Wed, 2 Jun 2010 23:37:33 +0800 Denis Feklushkin
<denis.feklushkin@gmail.com> wrote:
Вопрос:
Есть ли такой честный USB--токен или другой девайс чтобы под линуксом
все эти секреты хранились на нём, а для того чтобы ими
воспользоваться требовался один единственный пароль (пин--код)? И
желательна возможность бэкапить такой ключ (могу ведь потерять),
защитив бэкап длинным паролем.
А если появится ещё пара ключей от банка но в формате ГОСТ?
Или отговорите - скажите что я всё делаю не так
Я прогуглил eToken и rutoken. Какие ещё есть нормальные?
Краткое резюме (имхо): если ты не мартышка безмозглая то названные
токены УХУДШАЮТ безопасность хранения ключей.
Дело в том что пинкод юзера не шифрует ключ на смарткарте, значит ключ
на ней защищён только аппаратным security through obscurity
смарткарты. Такая схема отлично подходит чтобы аутентифицировать
кассира на кассе в супермаркете но плохо пригодна для хранения CA key,
который на 10 лет выписывается. (А ведь наша компания через 5 лет
планирует затмить гугл!)
Зачем тебе с собой таскать CA key? Его нужно хранить в несгораемом
сейфе.
Ну дык токен будет лежать в сейфе... )
ИМХО, паттерн применения токенов несколько отличается от твоих
пожеланий. Нужно придерживаться политики: потерял токен - связанные с
ним секреты протухли.
Согласен, об этом и говорю, для другого токены предназначены...
А вот если бы вместо пин-кода там был пароль да ещё бы токен имел
индикатор того что мы собираемся в данный момент подписать (какой? тоже
вопрос!), то токен был бы по сути маленьким честным компьютером с
доверенной средой, который безопасно мог бы работать в недоверенной среде
и всё такое.