Jump to content
Калькуляторы

Рутокен + SSH

Используем авторизацию инженеров на серверах через сертификаты в связке Putty+Pageant. Есть проблема что ключи могут утечь до периода их замены на новые. Есть задача перейти на аппаратные средства хранения ключей. Принял смену - получил свой аппаратный ключ. Вот смотрю я на Рутокен и не понимаю какой из этих ключей мне подойдет. Делал ли кто такое внедрение? Поделитесь опытом или киньте ссылкой где почитать пожалуйста.

Share this post


Link to post
Share on other sites

Подойдёт любой. Весь вопрос в количестве телодвижений для получения PKCS#11. Но в любом случае юзкейса «воткнул в любой комп и работаешь» не получится. Нужно ставить дополнительный софт.

 

Кстати, а чем не устраивает «второй фактов» в виде TOTP (Google Authenticator и иже с ним) с телефона?

 

P.S. Токены — жуткая помойка. Я бы посмотрел в сторону других аппаратных решений.

Share this post


Link to post
Share on other sites

P.S. Токены — жуткая помойка. Я бы посмотрел в сторону других аппаратных решений.

например?

Share this post


Link to post
Share on other sites
например?
А кто ж его знает? Есть уubikey, но пошёл тем же путём. Хотя его стек более открытый.

Share this post


Link to post
Share on other sites

Была попытка сделать подобное. Неудачно. С тех пор куча ненужного софта и библиотек захламляет рабочий ноут. Возможно, сейчас все заработает из коробки, тогда (3года назад) то ключ не определялся, то ещё что... Система - Debian.

Share this post


Link to post
Share on other sites
Используем авторизацию инженеров на серверах через сертификаты в связке Putty+Pageant. Есть проблема что ключи могут утечь до периода их замены на новые. Есть задача перейти на аппаратные средства хранения ключей.

Ну а что это решит?

Юзер зашёл туда, завёл себе ещё 100500 акков и после сдачи ключа спокойно приконектился.

Юзер поставил задание в крон которое стянуло скрипт с указанного адреса и запустило его.

 

В любом случае последствий не избежать.

Можно поставить платный софт который будет делать MitM для ссш и всё писать, кое что может даже фильтровать типа rm -rf / - но это защита от дурака, но хотя бы виновника проще найти.

 

Путти - та ещё шняга, которую пилят студенты на курсовые/дипломы, в остальное время всем на неё похер. А потом что получилось растаскивают остальные, типа Мартина в его WinSCP.

OpenSSH немного лучше, тем что Тео туда оперативно что то впиливает и фиксит, но внутри всё равно говнокода хватает. Про закрытый я промолчу.

Share this post


Link to post
Share on other sites

P.S. Токены — жуткая помойка. Я бы посмотрел в сторону других аппаратных решений.

А чем так плохи именно токены? Может вы просто не умеете их готовить?

 

Юзер зашёл туда, завёл себе ещё 100500 акков

Что мешает правильно настроить права и не разрешать создавать доп. акааунты?

Share this post


Link to post
Share on other sites

А чем так плохи именно токены? Может вы просто не умеете их готовить?

Я так понял - удручающе кривой 'стандартизацией'. В результате которой чего-нибудь обязательно несовместимо оказывается.

Share this post


Link to post
Share on other sites

Спасибо за информацию для размышлений. Есть над чем подумать.

Share this post


Link to post
Share on other sites
Что мешает правильно настроить права и не разрешать создавать доп. акааунты?

Что мешает придумать ещё 100500 способов нагадить?

И собственно если права зажать - как потом работать? (туда же админы ходят а не хомяки в 1с поработать)

Share this post


Link to post
Share on other sites

Что мешает придумать ещё 100500 способов нагадить?

И собственно если права зажать - как потом работать? (туда же админы ходят а не хомяки в 1с поработать)

 

Обычно использованием токенов защищаются даже не столько от самих админов, который ключ скопируют, а от ситуации, когда ключ утекает, как и писал топикстартер.

От этого токены вполне спасают, ведь без физического ключа доступа нет.

 

Что касается права зажать и работать, зависит от прямоты рук. Неоднократно встречал ситуацию, когда есть админы которые настраивают и админы сверху, с полными правами, которые проверяют их работу. Зависит от критичности инфраструктуры.

Edited by neraverin

Share this post


Link to post
Share on other sites

На официальном форуме ответили "понадобится токен, который работает с не извлекаемыми ключами. Это модели Рутокен ЭЦП 2.0 или Рутокен ЭЦП PKI."

Share this post


Link to post
Share on other sites
А чем так плохи именно токены? Может вы просто не умеете их готовить?
В корп. среде, когда нужно обмазаться бумажками, что не верблюд — сойдет. А вот если для дела... Закрытый программный стек (начиная от прошивки и заканчивая прикладными библиотеками). До недавнего времени — необходимость ставить драйвера. Необходимость приобретать «SDK» для любого использования, отличного от «стандартного» (читай проприетарного). Удручающий «комитетский» дизайн, когда вроде бы на каждом уровне всё стандартизовано, но толку с этого... (Это примерно как связка RADIUS + EAP + WPA2 или как VoIP-решения).

 

Яростная надрачивание на «защищённое» железо. Просто какая-то клиника. «Этой же путёй» пошла Yubico, хотя у них стек несколько более открытый И ЕСТЬ АППАРАТНАЯ КНОПКА, мать её. Да-да-да, токены нужно вытаскивать из портов, иначе они превращаются в тыкву.

 

Если честно, проще купить дешёвый смартфон и использовать его в качестве TOTP токена. Даже по деньгам не сильно дороже выйдет.

Edited by Macil

Share this post


Link to post
Share on other sites

«Этой же путёй» пошла Yubico, хотя у них стек несколько более открытый

А разве в U2F варианте не полностью открытый? Оно, конечно, несколько по идеологии от x.509 отличается, но для авторизации должно работать. Для этого и придумывалось. И даже "комитетский" дизайн немного удавить получилось.

 

На официальном форуме ответили "понадобится токен, который работает с не извлекаемыми ключами. Это модели Рутокен ЭЦП 2.0 или Рутокен ЭЦП PKI."

Есть подозрение, что либо немного врут, либо в требованиях (исходных, а не как сформулировано) разбираться не хотят. Ну вот зачем за сертифицированность по ГОСТ-у переплачивать?

Share this post


Link to post
Share on other sites
А разве в U2F варианте не полностью открытый?
Прикладное ПО у них открыто. Как я понимаю, даже реализация PKCS#11. Но, я никогда не держал его в руках. Так что врать не буду.

 

А вот всё что уровнем ниже — проприетарщина, прардон, «защищённый криптографический процессор», но про него мы вам не расскажем потому что у вас докУменты (NDA) не подписаны. Это касается всей линейки, даже «третьей» версии, где открыт только апплет для JavaCard.

Share this post


Link to post
Share on other sites

Ну вот зачем за сертифицированность по ГОСТ-у переплачивать?

Видимо это модно везде ГОСТ впихивать. Нам ГОСТ не нужен. RSA-2048 достаточно.

Share this post


Link to post
Share on other sites
Видимо это модно везде ГОСТ впихивать. Нам ГОСТ не нужен. RSA-2048 достаточно.
Не «модно», а очень и очень актуально. Для корпоративного сектора, ессно.

Share this post


Link to post
Share on other sites

Не «модно», а очень и очень актуально. Для корпоративного сектора, ессно.

Оно актуально только если ЭЦП нужно. Или для всяких авторизаций тоже ГОСТ требуют?

Share this post


Link to post
Share on other sites

Чет вы тут все в кучу собрали и половина не имеет отношения к Рутокен.

Ему правильно посоветовали Рутокен PKI - он не сертифицирован и за сертификат переплачивать не надо. Хочешь ГОСТ, хочешь RSA. Большая часть нужного софта открыта и библиотека PKCS11. есть под все линуксы. SDK - абсолютно бесплатный. Плюс готовые инструкции есть на сайте.

Share this post


Link to post
Share on other sites

Берите РуТокен PKI или РуТокен ЭЦП 2.0 и работайте с ним как со смарткартой с неизвлекаемой ключевой информацией RSA.

Полностью совместимо с OpenSSL и всем тем, к чему можно прикрутить PKCS#11.

Ключевая информация может быть как самоподписанная, так и с подписью от сервера сертификатов.

С серверами сертификатов проблем никаких нет - их масса.

Share this post


Link to post
Share on other sites
Или для всяких авторизаций тоже ГОСТ требуют?
ГОСТ требуют для всего что подпадает под понятие «юридически значимый».

Share this post


Link to post
Share on other sites
Если честно, проще купить дешёвый смартфон и использовать его в качестве TOTP токена. Даже по деньгам не сильно дороже выйдет.

Ну нафик, прощенадёжнее самому что слабать.

Share this post


Link to post
Share on other sites
Ну нафик, прощенадёжнее самому что слабать.
Ну, можно и самому... Только оно без экранчика и аккумулятора будет, да и камера для чтения штрих-кодов не лишняя.

 

Весь вопрос для самоделок (и смартфонов) упирается в связь с компом. Эх-х-х помню благословенные времена, когда в каждом первом ноутбуке и каждом телефоне среднего ценового диапазона стояли ИК-порты. И ещё крутые девайсы: ИК-порты под ком-порт. И кому мешали? Всё зохавали богомерзкий ЮСБ с синезубом.

Share this post


Link to post
Share on other sites

ИК то конечно было удобно и круто, но для передачи сообщений в токен как то не очень смотрится с тз перехвата.

А связь обычную, если лабать по быстрому то USB-COM переходник распаять прямо на плате и дальше контроллер по ком чисто текстом/потоком байт будет что то принимать на подпись и возвращать.

Правда для всяких RSA и ECDSA совсем дерьмовые контроллеры не подойдут, ибо и память и скорость нужна а то подписи не дождёшься. ИМХО от 256кб уже хватит оперативы, для ECDSA/ГОСТ2001-2012 точно.

Share this post


Link to post
Share on other sites
по ком чисто текстом/потоком байт будет что то принимать на
Ну, никто так не делает. Просто потому что нет смысла. Достаточно передать хеш и получить ЭЦП. Со схемой Диффи-Хеллмана аналогично: отдай открытый ключ получателя, получи назад сессионный ключ. И для схемы шифрования Эль-Гамаля всё то же: отдай сессионный ключ и открытый ключ получателя, и получи назад эфемерный открытый ключ отправителя и зашифрованный сессионный ключ.

 

В токенах начинка едва-едва тянет на *современный* микроконтроллер, так железяка начала 90-х. И низкая скорость криптографических операций скорее «фича», нежели чем «баг».

 

Я лично проблему перехвата чего-либо через аппаратный интерфейс не рассматриваю как проблему. Т.е. если атакующий подобрался настолько близко, то это наименьшая из проблем. Даже обычная флешка — чисто как отчуждаемый носитель — уже громадный шаг вперёд. Слишком много внимания уделяется принципу «неизвлекаемости». Совершенно незаслуженно.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this