saaremaa Опубликовано 19 июля, 2017 · Жалоба Используем авторизацию инженеров на серверах через сертификаты в связке Putty+Pageant. Есть проблема что ключи могут утечь до периода их замены на новые. Есть задача перейти на аппаратные средства хранения ключей. Принял смену - получил свой аппаратный ключ. Вот смотрю я на Рутокен и не понимаю какой из этих ключей мне подойдет. Делал ли кто такое внедрение? Поделитесь опытом или киньте ссылкой где почитать пожалуйста. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 19 июля, 2017 · Жалоба Подойдёт любой. Весь вопрос в количестве телодвижений для получения PKCS#11. Но в любом случае юзкейса «воткнул в любой комп и работаешь» не получится. Нужно ставить дополнительный софт. Кстати, а чем не устраивает «второй фактов» в виде TOTP (Google Authenticator и иже с ним) с телефона? P.S. Токены — жуткая помойка. Я бы посмотрел в сторону других аппаратных решений. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
edo Опубликовано 19 июля, 2017 · Жалоба P.S. Токены — жуткая помойка. Я бы посмотрел в сторону других аппаратных решений. например? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 19 июля, 2017 · Жалоба например?А кто ж его знает? Есть уubikey, но пошёл тем же путём. Хотя его стек более открытый. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tau Опубликовано 20 июля, 2017 · Жалоба Была попытка сделать подобное. Неудачно. С тех пор куча ненужного софта и библиотек захламляет рабочий ноут. Возможно, сейчас все заработает из коробки, тогда (3года назад) то ключ не определялся, то ещё что... Система - Debian. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 20 июля, 2017 · Жалоба Используем авторизацию инженеров на серверах через сертификаты в связке Putty+Pageant. Есть проблема что ключи могут утечь до периода их замены на новые. Есть задача перейти на аппаратные средства хранения ключей. Ну а что это решит? Юзер зашёл туда, завёл себе ещё 100500 акков и после сдачи ключа спокойно приконектился. Юзер поставил задание в крон которое стянуло скрипт с указанного адреса и запустило его. В любом случае последствий не избежать. Можно поставить платный софт который будет делать MitM для ссш и всё писать, кое что может даже фильтровать типа rm -rf / - но это защита от дурака, но хотя бы виновника проще найти. Путти - та ещё шняга, которую пилят студенты на курсовые/дипломы, в остальное время всем на неё похер. А потом что получилось растаскивают остальные, типа Мартина в его WinSCP. OpenSSH немного лучше, тем что Тео туда оперативно что то впиливает и фиксит, но внутри всё равно говнокода хватает. Про закрытый я промолчу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
neraverin Опубликовано 20 июля, 2017 · Жалоба P.S. Токены — жуткая помойка. Я бы посмотрел в сторону других аппаратных решений. А чем так плохи именно токены? Может вы просто не умеете их готовить? Юзер зашёл туда, завёл себе ещё 100500 акков Что мешает правильно настроить права и не разрешать создавать доп. акааунты? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 20 июля, 2017 · Жалоба А чем так плохи именно токены? Может вы просто не умеете их готовить? Я так понял - удручающе кривой 'стандартизацией'. В результате которой чего-нибудь обязательно несовместимо оказывается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 20 июля, 2017 · Жалоба Спасибо за информацию для размышлений. Есть над чем подумать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 20 июля, 2017 · Жалоба Что мешает правильно настроить права и не разрешать создавать доп. акааунты? Что мешает придумать ещё 100500 способов нагадить? И собственно если права зажать - как потом работать? (туда же админы ходят а не хомяки в 1с поработать) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
neraverin Опубликовано 20 июля, 2017 (изменено) · Жалоба Что мешает придумать ещё 100500 способов нагадить? И собственно если права зажать - как потом работать? (туда же админы ходят а не хомяки в 1с поработать) Обычно использованием токенов защищаются даже не столько от самих админов, который ключ скопируют, а от ситуации, когда ключ утекает, как и писал топикстартер. От этого токены вполне спасают, ведь без физического ключа доступа нет. Что касается права зажать и работать, зависит от прямоты рук. Неоднократно встречал ситуацию, когда есть админы которые настраивают и админы сверху, с полными правами, которые проверяют их работу. Зависит от критичности инфраструктуры. Изменено 20 июля, 2017 пользователем neraverin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 20 июля, 2017 · Жалоба На официальном форуме ответили "понадобится токен, который работает с не извлекаемыми ключами. Это модели Рутокен ЭЦП 2.0 или Рутокен ЭЦП PKI." Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 20 июля, 2017 (изменено) · Жалоба А чем так плохи именно токены? Может вы просто не умеете их готовить?В корп. среде, когда нужно обмазаться бумажками, что не верблюд — сойдет. А вот если для дела... Закрытый программный стек (начиная от прошивки и заканчивая прикладными библиотеками). До недавнего времени — необходимость ставить драйвера. Необходимость приобретать «SDK» для любого использования, отличного от «стандартного» (читай проприетарного). Удручающий «комитетский» дизайн, когда вроде бы на каждом уровне всё стандартизовано, но толку с этого... (Это примерно как связка RADIUS + EAP + WPA2 или как VoIP-решения). Яростная надрачивание на «защищённое» железо. Просто какая-то клиника. «Этой же путёй» пошла Yubico, хотя у них стек несколько более открытый И ЕСТЬ АППАРАТНАЯ КНОПКА, мать её. Да-да-да, токены нужно вытаскивать из портов, иначе они превращаются в тыкву. Если честно, проще купить дешёвый смартфон и использовать его в качестве TOTP токена. Даже по деньгам не сильно дороже выйдет. Изменено 20 июля, 2017 пользователем Macil Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 20 июля, 2017 · Жалоба «Этой же путёй» пошла Yubico, хотя у них стек несколько более открытый А разве в U2F варианте не полностью открытый? Оно, конечно, несколько по идеологии от x.509 отличается, но для авторизации должно работать. Для этого и придумывалось. И даже "комитетский" дизайн немного удавить получилось. На официальном форуме ответили "понадобится токен, который работает с не извлекаемыми ключами. Это модели Рутокен ЭЦП 2.0 или Рутокен ЭЦП PKI." Есть подозрение, что либо немного врут, либо в требованиях (исходных, а не как сформулировано) разбираться не хотят. Ну вот зачем за сертифицированность по ГОСТ-у переплачивать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 20 июля, 2017 · Жалоба А разве в U2F варианте не полностью открытый?Прикладное ПО у них открыто. Как я понимаю, даже реализация PKCS#11. Но, я никогда не держал его в руках. Так что врать не буду. А вот всё что уровнем ниже — проприетарщина, прардон, «защищённый криптографический процессор», но про него мы вам не расскажем потому что у вас докУменты (NDA) не подписаны. Это касается всей линейки, даже «третьей» версии, где открыт только апплет для JavaCard. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 20 июля, 2017 · Жалоба Ну вот зачем за сертифицированность по ГОСТ-у переплачивать? Видимо это модно везде ГОСТ впихивать. Нам ГОСТ не нужен. RSA-2048 достаточно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 20 июля, 2017 · Жалоба Видимо это модно везде ГОСТ впихивать. Нам ГОСТ не нужен. RSA-2048 достаточно.Не «модно», а очень и очень актуально. Для корпоративного сектора, ессно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 21 июля, 2017 · Жалоба Не «модно», а очень и очень актуально. Для корпоративного сектора, ессно. Оно актуально только если ЭЦП нужно. Или для всяких авторизаций тоже ГОСТ требуют? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
neraverin Опубликовано 21 июля, 2017 · Жалоба Чет вы тут все в кучу собрали и половина не имеет отношения к Рутокен. Ему правильно посоветовали Рутокен PKI - он не сертифицирован и за сертификат переплачивать не надо. Хочешь ГОСТ, хочешь RSA. Большая часть нужного софта открыта и библиотека PKCS11. есть под все линуксы. SDK - абсолютно бесплатный. Плюс готовые инструкции есть на сайте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlexBT Опубликовано 21 июля, 2017 · Жалоба Берите РуТокен PKI или РуТокен ЭЦП 2.0 и работайте с ним как со смарткартой с неизвлекаемой ключевой информацией RSA. Полностью совместимо с OpenSSL и всем тем, к чему можно прикрутить PKCS#11. Ключевая информация может быть как самоподписанная, так и с подписью от сервера сертификатов. С серверами сертификатов проблем никаких нет - их масса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 21 июля, 2017 · Жалоба Или для всяких авторизаций тоже ГОСТ требуют?ГОСТ требуют для всего что подпадает под понятие «юридически значимый». Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 21 июля, 2017 · Жалоба Если честно, проще купить дешёвый смартфон и использовать его в качестве TOTP токена. Даже по деньгам не сильно дороже выйдет. Ну нафик, прощенадёжнее самому что слабать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 21 июля, 2017 · Жалоба Ну нафик, прощенадёжнее самому что слабать.Ну, можно и самому... Только оно без экранчика и аккумулятора будет, да и камера для чтения штрих-кодов не лишняя. Весь вопрос для самоделок (и смартфонов) упирается в связь с компом. Эх-х-х помню благословенные времена, когда в каждом первом ноутбуке и каждом телефоне среднего ценового диапазона стояли ИК-порты. И ещё крутые девайсы: ИК-порты под ком-порт. И кому мешали? Всё зохавали богомерзкий ЮСБ с синезубом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 21 июля, 2017 · Жалоба ИК то конечно было удобно и круто, но для передачи сообщений в токен как то не очень смотрится с тз перехвата. А связь обычную, если лабать по быстрому то USB-COM переходник распаять прямо на плате и дальше контроллер по ком чисто текстом/потоком байт будет что то принимать на подпись и возвращать. Правда для всяких RSA и ECDSA совсем дерьмовые контроллеры не подойдут, ибо и память и скорость нужна а то подписи не дождёшься. ИМХО от 256кб уже хватит оперативы, для ECDSA/ГОСТ2001-2012 точно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 22 июля, 2017 · Жалоба по ком чисто текстом/потоком байт будет что то принимать наНу, никто так не делает. Просто потому что нет смысла. Достаточно передать хеш и получить ЭЦП. Со схемой Диффи-Хеллмана аналогично: отдай открытый ключ получателя, получи назад сессионный ключ. И для схемы шифрования Эль-Гамаля всё то же: отдай сессионный ключ и открытый ключ получателя, и получи назад эфемерный открытый ключ отправителя и зашифрованный сессионный ключ. В токенах начинка едва-едва тянет на *современный* микроконтроллер, так железяка начала 90-х. И низкая скорость криптографических операций скорее «фича», нежели чем «баг». Я лично проблему перехвата чего-либо через аппаратный интерфейс не рассматриваю как проблему. Т.е. если атакующий подобрался настолько близко, то это наименьшая из проблем. Даже обычная флешка — чисто как отчуждаемый носитель — уже громадный шаг вперёд. Слишком много внимания уделяется принципу «неизвлекаемости». Совершенно незаслуженно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...