saaremaa Опубликовано 19 июля, 2017 Используем авторизацию инженеров на серверах через сертификаты в связке Putty+Pageant. Есть проблема что ключи могут утечь до периода их замены на новые. Есть задача перейти на аппаратные средства хранения ключей. Принял смену - получил свой аппаратный ключ. Вот смотрю я на Рутокен и не понимаю какой из этих ключей мне подойдет. Делал ли кто такое внедрение? Поделитесь опытом или киньте ссылкой где почитать пожалуйста. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 19 июля, 2017 Подойдёт любой. Весь вопрос в количестве телодвижений для получения PKCS#11. Но в любом случае юзкейса «воткнул в любой комп и работаешь» не получится. Нужно ставить дополнительный софт. Кстати, а чем не устраивает «второй фактов» в виде TOTP (Google Authenticator и иже с ним) с телефона? P.S. Токены — жуткая помойка. Я бы посмотрел в сторону других аппаратных решений. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
edo Опубликовано 19 июля, 2017 P.S. Токены — жуткая помойка. Я бы посмотрел в сторону других аппаратных решений. например? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 19 июля, 2017 например?А кто ж его знает? Есть уubikey, но пошёл тем же путём. Хотя его стек более открытый. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tau Опубликовано 20 июля, 2017 Была попытка сделать подобное. Неудачно. С тех пор куча ненужного софта и библиотек захламляет рабочий ноут. Возможно, сейчас все заработает из коробки, тогда (3года назад) то ключ не определялся, то ещё что... Система - Debian. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 20 июля, 2017 Используем авторизацию инженеров на серверах через сертификаты в связке Putty+Pageant. Есть проблема что ключи могут утечь до периода их замены на новые. Есть задача перейти на аппаратные средства хранения ключей. Ну а что это решит? Юзер зашёл туда, завёл себе ещё 100500 акков и после сдачи ключа спокойно приконектился. Юзер поставил задание в крон которое стянуло скрипт с указанного адреса и запустило его. В любом случае последствий не избежать. Можно поставить платный софт который будет делать MitM для ссш и всё писать, кое что может даже фильтровать типа rm -rf / - но это защита от дурака, но хотя бы виновника проще найти. Путти - та ещё шняга, которую пилят студенты на курсовые/дипломы, в остальное время всем на неё похер. А потом что получилось растаскивают остальные, типа Мартина в его WinSCP. OpenSSH немного лучше, тем что Тео туда оперативно что то впиливает и фиксит, но внутри всё равно говнокода хватает. Про закрытый я промолчу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
neraverin Опубликовано 20 июля, 2017 P.S. Токены — жуткая помойка. Я бы посмотрел в сторону других аппаратных решений. А чем так плохи именно токены? Может вы просто не умеете их готовить? Юзер зашёл туда, завёл себе ещё 100500 акков Что мешает правильно настроить права и не разрешать создавать доп. акааунты? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 20 июля, 2017 А чем так плохи именно токены? Может вы просто не умеете их готовить? Я так понял - удручающе кривой 'стандартизацией'. В результате которой чего-нибудь обязательно несовместимо оказывается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 20 июля, 2017 Спасибо за информацию для размышлений. Есть над чем подумать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 20 июля, 2017 Что мешает правильно настроить права и не разрешать создавать доп. акааунты? Что мешает придумать ещё 100500 способов нагадить? И собственно если права зажать - как потом работать? (туда же админы ходят а не хомяки в 1с поработать) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
neraverin Опубликовано 20 июля, 2017 (изменено) Что мешает придумать ещё 100500 способов нагадить? И собственно если права зажать - как потом работать? (туда же админы ходят а не хомяки в 1с поработать) Обычно использованием токенов защищаются даже не столько от самих админов, который ключ скопируют, а от ситуации, когда ключ утекает, как и писал топикстартер. От этого токены вполне спасают, ведь без физического ключа доступа нет. Что касается права зажать и работать, зависит от прямоты рук. Неоднократно встречал ситуацию, когда есть админы которые настраивают и админы сверху, с полными правами, которые проверяют их работу. Зависит от критичности инфраструктуры. Изменено 20 июля, 2017 пользователем neraverin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 20 июля, 2017 На официальном форуме ответили "понадобится токен, который работает с не извлекаемыми ключами. Это модели Рутокен ЭЦП 2.0 или Рутокен ЭЦП PKI." Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 20 июля, 2017 (изменено) А чем так плохи именно токены? Может вы просто не умеете их готовить?В корп. среде, когда нужно обмазаться бумажками, что не верблюд — сойдет. А вот если для дела... Закрытый программный стек (начиная от прошивки и заканчивая прикладными библиотеками). До недавнего времени — необходимость ставить драйвера. Необходимость приобретать «SDK» для любого использования, отличного от «стандартного» (читай проприетарного). Удручающий «комитетский» дизайн, когда вроде бы на каждом уровне всё стандартизовано, но толку с этого... (Это примерно как связка RADIUS + EAP + WPA2 или как VoIP-решения). Яростная надрачивание на «защищённое» железо. Просто какая-то клиника. «Этой же путёй» пошла Yubico, хотя у них стек несколько более открытый И ЕСТЬ АППАРАТНАЯ КНОПКА, мать её. Да-да-да, токены нужно вытаскивать из портов, иначе они превращаются в тыкву. Если честно, проще купить дешёвый смартфон и использовать его в качестве TOTP токена. Даже по деньгам не сильно дороже выйдет. Изменено 20 июля, 2017 пользователем Macil Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 20 июля, 2017 «Этой же путёй» пошла Yubico, хотя у них стек несколько более открытый А разве в U2F варианте не полностью открытый? Оно, конечно, несколько по идеологии от x.509 отличается, но для авторизации должно работать. Для этого и придумывалось. И даже "комитетский" дизайн немного удавить получилось. На официальном форуме ответили "понадобится токен, который работает с не извлекаемыми ключами. Это модели Рутокен ЭЦП 2.0 или Рутокен ЭЦП PKI." Есть подозрение, что либо немного врут, либо в требованиях (исходных, а не как сформулировано) разбираться не хотят. Ну вот зачем за сертифицированность по ГОСТ-у переплачивать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 20 июля, 2017 А разве в U2F варианте не полностью открытый?Прикладное ПО у них открыто. Как я понимаю, даже реализация PKCS#11. Но, я никогда не держал его в руках. Так что врать не буду. А вот всё что уровнем ниже — проприетарщина, прардон, «защищённый криптографический процессор», но про него мы вам не расскажем потому что у вас докУменты (NDA) не подписаны. Это касается всей линейки, даже «третьей» версии, где открыт только апплет для JavaCard. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 20 июля, 2017 Ну вот зачем за сертифицированность по ГОСТ-у переплачивать? Видимо это модно везде ГОСТ впихивать. Нам ГОСТ не нужен. RSA-2048 достаточно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 20 июля, 2017 Видимо это модно везде ГОСТ впихивать. Нам ГОСТ не нужен. RSA-2048 достаточно.Не «модно», а очень и очень актуально. Для корпоративного сектора, ессно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 21 июля, 2017 Не «модно», а очень и очень актуально. Для корпоративного сектора, ессно. Оно актуально только если ЭЦП нужно. Или для всяких авторизаций тоже ГОСТ требуют? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
neraverin Опубликовано 21 июля, 2017 Чет вы тут все в кучу собрали и половина не имеет отношения к Рутокен. Ему правильно посоветовали Рутокен PKI - он не сертифицирован и за сертификат переплачивать не надо. Хочешь ГОСТ, хочешь RSA. Большая часть нужного софта открыта и библиотека PKCS11. есть под все линуксы. SDK - абсолютно бесплатный. Плюс готовые инструкции есть на сайте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlexBT Опубликовано 21 июля, 2017 Берите РуТокен PKI или РуТокен ЭЦП 2.0 и работайте с ним как со смарткартой с неизвлекаемой ключевой информацией RSA. Полностью совместимо с OpenSSL и всем тем, к чему можно прикрутить PKCS#11. Ключевая информация может быть как самоподписанная, так и с подписью от сервера сертификатов. С серверами сертификатов проблем никаких нет - их масса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 21 июля, 2017 Или для всяких авторизаций тоже ГОСТ требуют?ГОСТ требуют для всего что подпадает под понятие «юридически значимый». Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 21 июля, 2017 Если честно, проще купить дешёвый смартфон и использовать его в качестве TOTP токена. Даже по деньгам не сильно дороже выйдет. Ну нафик, прощенадёжнее самому что слабать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 21 июля, 2017 Ну нафик, прощенадёжнее самому что слабать.Ну, можно и самому... Только оно без экранчика и аккумулятора будет, да и камера для чтения штрих-кодов не лишняя. Весь вопрос для самоделок (и смартфонов) упирается в связь с компом. Эх-х-х помню благословенные времена, когда в каждом первом ноутбуке и каждом телефоне среднего ценового диапазона стояли ИК-порты. И ещё крутые девайсы: ИК-порты под ком-порт. И кому мешали? Всё зохавали богомерзкий ЮСБ с синезубом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 21 июля, 2017 ИК то конечно было удобно и круто, но для передачи сообщений в токен как то не очень смотрится с тз перехвата. А связь обычную, если лабать по быстрому то USB-COM переходник распаять прямо на плате и дальше контроллер по ком чисто текстом/потоком байт будет что то принимать на подпись и возвращать. Правда для всяких RSA и ECDSA совсем дерьмовые контроллеры не подойдут, ибо и память и скорость нужна а то подписи не дождёшься. ИМХО от 256кб уже хватит оперативы, для ECDSA/ГОСТ2001-2012 точно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 22 июля, 2017 по ком чисто текстом/потоком байт будет что то принимать наНу, никто так не делает. Просто потому что нет смысла. Достаточно передать хеш и получить ЭЦП. Со схемой Диффи-Хеллмана аналогично: отдай открытый ключ получателя, получи назад сессионный ключ. И для схемы шифрования Эль-Гамаля всё то же: отдай сессионный ключ и открытый ключ получателя, и получи назад эфемерный открытый ключ отправителя и зашифрованный сессионный ключ. В токенах начинка едва-едва тянет на *современный* микроконтроллер, так железяка начала 90-х. И низкая скорость криптографических операций скорее «фича», нежели чем «баг». Я лично проблему перехвата чего-либо через аппаратный интерфейс не рассматриваю как проблему. Т.е. если атакующий подобрался настолько близко, то это наименьшая из проблем. Даже обычная флешка — чисто как отчуждаемый носитель — уже громадный шаг вперёд. Слишком много внимания уделяется принципу «неизвлекаемости». Совершенно незаслуженно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...