Перейти к содержимому
Калькуляторы

Используем авторизацию инженеров на серверах через сертификаты в связке Putty+Pageant. Есть проблема что ключи могут утечь до периода их замены на новые. Есть задача перейти на аппаратные средства хранения ключей. Принял смену - получил свой аппаратный ключ. Вот смотрю я на Рутокен и не понимаю какой из этих ключей мне подойдет. Делал ли кто такое внедрение? Поделитесь опытом или киньте ссылкой где почитать пожалуйста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подойдёт любой. Весь вопрос в количестве телодвижений для получения PKCS#11. Но в любом случае юзкейса «воткнул в любой комп и работаешь» не получится. Нужно ставить дополнительный софт.

 

Кстати, а чем не устраивает «второй фактов» в виде TOTP (Google Authenticator и иже с ним) с телефона?

 

P.S. Токены — жуткая помойка. Я бы посмотрел в сторону других аппаратных решений.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

P.S. Токены — жуткая помойка. Я бы посмотрел в сторону других аппаратных решений.

например?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

например?
А кто ж его знает? Есть уubikey, но пошёл тем же путём. Хотя его стек более открытый.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Была попытка сделать подобное. Неудачно. С тех пор куча ненужного софта и библиотек захламляет рабочий ноут. Возможно, сейчас все заработает из коробки, тогда (3года назад) то ключ не определялся, то ещё что... Система - Debian.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Используем авторизацию инженеров на серверах через сертификаты в связке Putty+Pageant. Есть проблема что ключи могут утечь до периода их замены на новые. Есть задача перейти на аппаратные средства хранения ключей.

Ну а что это решит?

Юзер зашёл туда, завёл себе ещё 100500 акков и после сдачи ключа спокойно приконектился.

Юзер поставил задание в крон которое стянуло скрипт с указанного адреса и запустило его.

 

В любом случае последствий не избежать.

Можно поставить платный софт который будет делать MitM для ссш и всё писать, кое что может даже фильтровать типа rm -rf / - но это защита от дурака, но хотя бы виновника проще найти.

 

Путти - та ещё шняга, которую пилят студенты на курсовые/дипломы, в остальное время всем на неё похер. А потом что получилось растаскивают остальные, типа Мартина в его WinSCP.

OpenSSH немного лучше, тем что Тео туда оперативно что то впиливает и фиксит, но внутри всё равно говнокода хватает. Про закрытый я промолчу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

P.S. Токены — жуткая помойка. Я бы посмотрел в сторону других аппаратных решений.

А чем так плохи именно токены? Может вы просто не умеете их готовить?

 

Юзер зашёл туда, завёл себе ещё 100500 акков

Что мешает правильно настроить права и не разрешать создавать доп. акааунты?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А чем так плохи именно токены? Может вы просто не умеете их готовить?

Я так понял - удручающе кривой 'стандартизацией'. В результате которой чего-нибудь обязательно несовместимо оказывается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо за информацию для размышлений. Есть над чем подумать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что мешает правильно настроить права и не разрешать создавать доп. акааунты?

Что мешает придумать ещё 100500 способов нагадить?

И собственно если права зажать - как потом работать? (туда же админы ходят а не хомяки в 1с поработать)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что мешает придумать ещё 100500 способов нагадить?

И собственно если права зажать - как потом работать? (туда же админы ходят а не хомяки в 1с поработать)

 

Обычно использованием токенов защищаются даже не столько от самих админов, который ключ скопируют, а от ситуации, когда ключ утекает, как и писал топикстартер.

От этого токены вполне спасают, ведь без физического ключа доступа нет.

 

Что касается права зажать и работать, зависит от прямоты рук. Неоднократно встречал ситуацию, когда есть админы которые настраивают и админы сверху, с полными правами, которые проверяют их работу. Зависит от критичности инфраструктуры.

Изменено пользователем neraverin

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На официальном форуме ответили "понадобится токен, который работает с не извлекаемыми ключами. Это модели Рутокен ЭЦП 2.0 или Рутокен ЭЦП PKI."

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А чем так плохи именно токены? Может вы просто не умеете их готовить?
В корп. среде, когда нужно обмазаться бумажками, что не верблюд — сойдет. А вот если для дела... Закрытый программный стек (начиная от прошивки и заканчивая прикладными библиотеками). До недавнего времени — необходимость ставить драйвера. Необходимость приобретать «SDK» для любого использования, отличного от «стандартного» (читай проприетарного). Удручающий «комитетский» дизайн, когда вроде бы на каждом уровне всё стандартизовано, но толку с этого... (Это примерно как связка RADIUS + EAP + WPA2 или как VoIP-решения).

 

Яростная надрачивание на «защищённое» железо. Просто какая-то клиника. «Этой же путёй» пошла Yubico, хотя у них стек несколько более открытый И ЕСТЬ АППАРАТНАЯ КНОПКА, мать её. Да-да-да, токены нужно вытаскивать из портов, иначе они превращаются в тыкву.

 

Если честно, проще купить дешёвый смартфон и использовать его в качестве TOTP токена. Даже по деньгам не сильно дороже выйдет.

Изменено пользователем Macil

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

«Этой же путёй» пошла Yubico, хотя у них стек несколько более открытый

А разве в U2F варианте не полностью открытый? Оно, конечно, несколько по идеологии от x.509 отличается, но для авторизации должно работать. Для этого и придумывалось. И даже "комитетский" дизайн немного удавить получилось.

 

На официальном форуме ответили "понадобится токен, который работает с не извлекаемыми ключами. Это модели Рутокен ЭЦП 2.0 или Рутокен ЭЦП PKI."

Есть подозрение, что либо немного врут, либо в требованиях (исходных, а не как сформулировано) разбираться не хотят. Ну вот зачем за сертифицированность по ГОСТ-у переплачивать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А разве в U2F варианте не полностью открытый?
Прикладное ПО у них открыто. Как я понимаю, даже реализация PKCS#11. Но, я никогда не держал его в руках. Так что врать не буду.

 

А вот всё что уровнем ниже — проприетарщина, прардон, «защищённый криптографический процессор», но про него мы вам не расскажем потому что у вас докУменты (NDA) не подписаны. Это касается всей линейки, даже «третьей» версии, где открыт только апплет для JavaCard.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну вот зачем за сертифицированность по ГОСТ-у переплачивать?

Видимо это модно везде ГОСТ впихивать. Нам ГОСТ не нужен. RSA-2048 достаточно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Видимо это модно везде ГОСТ впихивать. Нам ГОСТ не нужен. RSA-2048 достаточно.
Не «модно», а очень и очень актуально. Для корпоративного сектора, ессно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не «модно», а очень и очень актуально. Для корпоративного сектора, ессно.

Оно актуально только если ЭЦП нужно. Или для всяких авторизаций тоже ГОСТ требуют?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Чет вы тут все в кучу собрали и половина не имеет отношения к Рутокен.

Ему правильно посоветовали Рутокен PKI - он не сертифицирован и за сертификат переплачивать не надо. Хочешь ГОСТ, хочешь RSA. Большая часть нужного софта открыта и библиотека PKCS11. есть под все линуксы. SDK - абсолютно бесплатный. Плюс готовые инструкции есть на сайте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Берите РуТокен PKI или РуТокен ЭЦП 2.0 и работайте с ним как со смарткартой с неизвлекаемой ключевой информацией RSA.

Полностью совместимо с OpenSSL и всем тем, к чему можно прикрутить PKCS#11.

Ключевая информация может быть как самоподписанная, так и с подписью от сервера сертификатов.

С серверами сертификатов проблем никаких нет - их масса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Или для всяких авторизаций тоже ГОСТ требуют?
ГОСТ требуют для всего что подпадает под понятие «юридически значимый».

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если честно, проще купить дешёвый смартфон и использовать его в качестве TOTP токена. Даже по деньгам не сильно дороже выйдет.

Ну нафик, прощенадёжнее самому что слабать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну нафик, прощенадёжнее самому что слабать.
Ну, можно и самому... Только оно без экранчика и аккумулятора будет, да и камера для чтения штрих-кодов не лишняя.

 

Весь вопрос для самоделок (и смартфонов) упирается в связь с компом. Эх-х-х помню благословенные времена, когда в каждом первом ноутбуке и каждом телефоне среднего ценового диапазона стояли ИК-порты. И ещё крутые девайсы: ИК-порты под ком-порт. И кому мешали? Всё зохавали богомерзкий ЮСБ с синезубом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ИК то конечно было удобно и круто, но для передачи сообщений в токен как то не очень смотрится с тз перехвата.

А связь обычную, если лабать по быстрому то USB-COM переходник распаять прямо на плате и дальше контроллер по ком чисто текстом/потоком байт будет что то принимать на подпись и возвращать.

Правда для всяких RSA и ECDSA совсем дерьмовые контроллеры не подойдут, ибо и память и скорость нужна а то подписи не дождёшься. ИМХО от 256кб уже хватит оперативы, для ECDSA/ГОСТ2001-2012 точно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

по ком чисто текстом/потоком байт будет что то принимать на
Ну, никто так не делает. Просто потому что нет смысла. Достаточно передать хеш и получить ЭЦП. Со схемой Диффи-Хеллмана аналогично: отдай открытый ключ получателя, получи назад сессионный ключ. И для схемы шифрования Эль-Гамаля всё то же: отдай сессионный ключ и открытый ключ получателя, и получи назад эфемерный открытый ключ отправителя и зашифрованный сессионный ключ.

 

В токенах начинка едва-едва тянет на *современный* микроконтроллер, так железяка начала 90-х. И низкая скорость криптографических операций скорее «фича», нежели чем «баг».

 

Я лично проблему перехвата чего-либо через аппаратный интерфейс не рассматриваю как проблему. Т.е. если атакующий подобрался настолько близко, то это наименьшая из проблем. Даже обычная флешка — чисто как отчуждаемый носитель — уже громадный шаг вперёд. Слишком много внимания уделяется принципу «неизвлекаемости». Совершенно незаслуженно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.