ПО для eToken под Linux

УРА !!!! Молодцы
наконецто!

Ага, только если это ПО опять будет основано на pcsc-lite 1.2.0 то ф топпку нах такое ПО. Буду продолжать использовать opensc/ccid/openct/pcsc-lite-1.2.9-beta9 (и rdesktop до кучи - с одним интересным патчиком он умеет ключик мепить для винды)

Атстой их ПО.

А с http://www.opensc.org/ оно работает (особенно интересует eToken PRO 64K)? На сайте OpenSC написано, что пока еще не протестировано.

Не знаю, 16/32 точно работают. 64к у меня просто нету.

И еще. А как вообще этот eToken купить можно? Все, что я нашел - только для юридических лиц.

А что online его купить нельзя?

Меня смущает, что во всех формах заказа, что я видел подразумевается заказ для организаций. Собственно, я уже послал вопрос нашему Новосибирскому дистрибьютору. Посмотрим, что они ответят.

Чё тока народ не придумает, лишь бы Керберос не юзать.

Что-то на сайте только бинарники библиотек лежат. Нафиг нужно такое поделие, которое привязано версии дистрибутива.

А причем тут Керберос? Это совершенно разные вещи. Керберос - это пртокол проверки твоей идентити, а smartcard/брелок, собственно, и является твоей идентити.

Ну, я к примеру, свой Керберос-тикет скинул на флешку и пихаю потом её во все компьютеры. При входе только указываю, что мой тикет лежит на /mnt/flash_a/файл-такой-то. И привет. Вот у меня такой-вот самопальный брелок.

> А что online его купить нельзя?

Онлайн только запрос посылается и они тебя скидывают своему локальному дилеру. Мне вот, правда, уже третий месяц ничего не отвечают.

Дык его лехко скопировать можно и привет.

Чмод семь-сорок?

>>Что-то на сайте только бинарники библиотек лежат. Нафиг нужно такое поделие, которое привязано версии дистрибутива.

Сурсов не дадут - в топку. Юзать секурный софт без сурсов некошерно.

> Чмод семь-сорок?

а откуда знать, что на машине, куда ты свой "чудо-брелок" пихаеш, уже не сидят турецкие хакеры? зато с еТокена сертификат никогда не выходит наружу, он тока в нем и живет

>>>зато с еТокена сертификат никогда не выходит наружу, он тока в нем и живет

Мистика. Заклятие бурятских лам, не иначе.

>Мистика. Заклятие бурятских лам, не иначе.

Ты спецификации-то посмотри на брелки.Они сами все шифровать умеют, в этом-то и фишка. eToken PRO как минимум умеет RSA, DSA, 3-DSA, хэш SHA-1.

А насчет тикета. Тикет - это разве не то, что выдается уже после аутентикации? Это ж временный идентити, даваемый на время пользования ресурсом.

А брелок - это постоянный. Как паспорт, например. Можешь им почту шифровать, архивы подписывать, по ssh удаленно логиниться. И при всем при этом ты свои приватные ключи вообще не светишь никак. Они генерятся на брелке и никогда его не покидают.

вобщето ключик моно вытащить например средствами криптопро... (скопировать сертификат и все дела)...

Утверждается, что приватный ключ с брелка не выташить.

Конечно, чисто теоретически это возможно. Расковырять чип, поставить датчики, снять показания. Но реально это гораздо сложнее, чем просто стырить ключ с флешки или поймать его в памяти машины (в момент подписи/шифрования).

>>>Это ж временный идентити, даваемый на время пользования ресурсом.

Могу посоветовать только посмотреть спецификации Керберос. Супер билет ограничен по времени (год вас устроит?). Насчёт постоянного брелка - либо мистика, либо наёбка. Компьютеры сейчас мощные, за год это брелок на каком-нибудь супер-кластере за-брют-форсить могут. Поэтому-то пароли и советуют менять время от времени.

>>>Они генерятся на брелке и никогда его не покидают.

И даже проуессор совсем-совсем ничего про них не знает?

>И даже проуессор совсем-совсем ничего про них не знает?

По идее, совсем-совсем ничего не должен знать.
Проц дает дату на вход ключа, а на выходе получает уже зашифрованную. Ну и наоборот.

>Могу посоветовать только посмотреть спецификации Керберос. Супер билет ограничен по времени (год вас устроит?). Насчёт постоянного брелка - либо мистика, либо наёбка. Компьютеры сейчас мощные, за год это брелок на каком-нибудь супер-кластере за-брют-форсить могут. Поэтому-то пароли и советуют менять время от времени.

Там ключ длиной до 2048 (RSA). Который (насколько мне известно) до сих пор "вскрыть" нереально (практически).

Конечно, если у тебя отберут брелок, да еще и PIN код вызнают прикладывая утюг к пузу, тебе это не поможет. Решает всегда слабое звено.

Однако если хранить на флешке, то достаточно просто незаметно взять и прочитать флешку. Или имея доступ рута на машине куда ты ее втыкаешь просто прочитать этот тикет. Или на USB повесить подслушивающее устройство. То есть гораздо проще. Другое дело, что тут как в анекдоте про неуловимого Джо :)

>И даже проуессор совсем-совсем ничего про них не знает?

Совсем-совсем. На брелке свой процессор (совмещенный с памятью, насколько я понимаю), только он имеет доступ к секретной информации.

Вот, почитай про архитектуру: http://www.aladdin.ru/ufiles/28_5product_PDF.PDF

>Совсем-совсем.

Ну, это, конечно, идеал. Имея на исходные данные, зашифрованные данные и публичный ключ ты, конечно, имеешь некоторую информацию о закрытомключе. Однако совершенно недостаточную чтобы восстановить этот ключ или выполнить операцию, где этот ключ требуется.

P.S. Конечно, все это основывается на предположении криптостойкости RSA. Если завтра вдруг обнаружится алгоритм позволяющий легко восстанавливать ключ по доступным данным (например, по открытому ключу), то можно будет этот брелок смело выкидывать.

"Российская компания " ?????? Israel made

>Совсем-совсем.

>Ну, это, конечно, идеал. Имея на исходные данные, зашифрованные данные >и публичный ключ ты, конечно, имеешь некоторую информацию о >закрытомключе.

Под исходными данными имеется в виду сессионный симметричный ключ или реальные зашифровываемые данные?

>Под исходными данными имеется в виду сессионный симметричный ключ или реальные зашифровываемые данные?

Реальные зашифровываемые данные.

Софт имеющий отношение к безопасности без исходников?!
Да они просто рехнулись!
Я как нибудь проживу без их подялия с троянами в драйверах...

Говорят, OpenSC с этим брелоком работает.

> Говорят, OpenSC с этим брелоком работает.

Ваш покорный слуга писал две статьи в "Системный администратор" по етокенам от аладдин, номера за декабрь 2004 и март 2005. Там есть всё, от логина локально, удалённо, до шифрования ~/home на флэшке.

В самих статьях есть подводные камни, оставил на случай для отмазы, если Управление "Р" или "К" совершит наезд за юзание неодобренных криптоалгоритмов сами знаете где. Камни - небезопасное создание ключей-сертификатов в 1-й статье и проблема временных файлов во второй. Те, кто шарит, те знают, что rm -f filename есть альтернативы :) Да и filename можно хранить в ОЗУ, а не на винче, как предложил я во 2-й статье. Полтора года всё работает БЕЗ ПО от Aladdin

Да, вот даже скрин годовалой давности мой: http://www.linux.org.ru/view-message.jsp?msgid=782992&anonymous=hide

> В самих статьях есть подводные камни, оставил на случай для отмазы, если Управление "Р" или "К" совершит наезд

мда... своя шкура, конечно, ближе к делу, но с таким трусом я бы даже на один гектар срать не сел.

> мда... своя шкура, конечно, ближе к делу, но с таким трусом я бы даже на один гектар срать не сел.

Напиши сперва статью в "СА" на щепетильную для "органов" тему, пообщайся с редактором насчёт правовых вопросов, и отслужи срочку в ВДВ, прежде чем так блажить на незнакомого тебе человека.

>Ваш покорный слуга писал две статьи в "Системный администратор" по етокенам от аладдин, номера за декабрь 2004 и март 2005. Там есть всё, от логина локально, удалённо, до шифрования ~/home на флэшке.

Отлично. То, что нужно. Вот сейчас GMail заработает, я как раз заказ на eToken отправлю... :)

>В самих статьях есть подводные камни, оставил на случай для отмазы, если Управление "Р" или "К" совершит наезд за юзание неодобренных криптоалгоритмов сами знаете где. [...]

Что-то я не понял, в чем тут отмаза и каким образом... :)

> Что-то я не понял, в чем тут отмаза и каким образом... :)

Есть контора одна, ГосТехКомиссия, они в праве разрешать/запрещать использование различных криптоалгоритмов на территории РФ. Те криптоалгоритмы, что в статье, не сертифицированы в ГТК. Если ко мне, как к автору, вылезла бы претензия за обучение c00lx4x0r'ов надёжному сокрытию хранимых на носителях данных, у меня была бы отмазка. Пришлось бы обучать "спецЫалистов" из "органов" читать меж строк и не мотать срок (стихами заговорил :) )

Александр, а вы свои статьи в сеть не выкладываете? СА разрешает же публиковать их спустя 2 месяца после выхода журнала, так что от издательства претензий не будет. А то старые номера фиг где найдешь.

eToken PRO 64K не работает.

eToken PRO 32K работает хорошо.

>eToken PRO 64K не работает.

Оп-па. А я уже его заказал :) Ну, будет повод поковыряться... Вроде как этот eToken стандарты держит, должен, значит, как-то работать.

>Есть контора одна, ГосТехКомиссия, они в праве разрешать/запрещать использование различных криптоалгоритмов на территории РФ

Нет такого. ГосТехКомиссия может запретить только использование несертифицированных криптосредств гос. учреждениями и прочими предприятиями обрабатывающими информацию соотв. уровня секретности. Мне как домашнему пользователю они не могут указать какой алгоритм юзать, а какой нет

> Если ко мне, как к автору, вылезла бы претензия за обучение c00lx4x0r'ов надёжному сокрытию хранимых на носителях данных...

Если бы ты, ссыкун, хоть чуть-чуть знал законы, то не вводил бы ни в чем не повинных людей в заблуждение - таки статьи с намеренными ошибками гораздо хуже, чем ничего.
Верни гонорар журналу и удавиь от страха в сортире пока за тобой фсб не пришло, трус!