Comments 21
Разве суть токенов не в том, что закрытый ключ находится в неизвлекаемом виде на носителе, и можно физически высунуть токен из порта и быть уверенным, чтобы им не смогут воспользоваться? С вашим подходом получается так, что условный троян может украсть пароль для токена, передать его злоумышленнику, а тот воспользуется им без вашего ведома.
Если токен вынут из порта и он лежит у вас кармане и вы в этом уверены, то да!
К сожалению у нас токены у нас на 99% используются как флэшки.
Доступ к закрытым объектам облачного токена (как и к любому другому токену) возможен только при условии корректного ввода PIN. Это главный секрет любого токена. А его знает только владелец. Ну и, наверное, самое главное — это доверие к сервису (он может быть и корпоративным), к тому, кто его поддерживает.
К сожалению у нас токены у нас на 99% используются как флэшки.
Доступ к закрытым объектам облачного токена (как и к любому другому токену) возможен только при условии корректного ввода PIN. Это главный секрет любого токена. А его знает только владелец. Ну и, наверное, самое главное — это доверие к сервису (он может быть и корпоративным), к тому, кто его поддерживает.
Кроме доверия к сервису(что тоже далеко неоднозначный момент для такой вещи как токен), еще нужно быть всегда уверенным что никто не узнает твой пароль. Если у меня заведется вирус, который может украсть пароль от токена, который физически у меня,-это не так уж страшно. Никто все равно не сможет сформировать ЭЦП. Однако же в случае облачного токена кража пароля=возможность совершить любое действие от вашего имени.
Как не пародоксально, кража пароля (я думаю под этим вы имеете ввиду PIN-код токена) и в облачном токене ничего не дает (кстати, кража возможно, если вы его храните на бумаге или другом носителе или проговорились кому-то). Ведь доступ к виртуальному токену проводится не только по логину, но и с использованием одноразового пароля (не путать с PIN-кодом), который даже вы не знаете каким будет в момент обращения к облачному токену.
«Облачный» токен пиарят для мобильных устройств. Типа с телефона согласовал документ и херак — подписал его своим ключом. В целом закон оно не нарушает конечно, а вот вероятность взлома — хз какая. Тут уже достаточно перехватить ключ к токену, чтобы подписывать за человека…
А как его перехватить, если обмен идет по шифрованному каналу, в котором для каждого пакета/сообщения используется свой ключ!!!
Чтобы защитить подпись я должен защитить канал. Оберни защиту в защиту чтобы защищать!
Саму подпись защищать не надо. Это вещь публичная. Защищать надо PIN-токена, который позволяет получить доступ с закрытому ключу и использовать его для формирования подписи. Да, канал между приложением и облаком защищен.
Таким образом, надо не только продолжать защищать свой токен (не всегда же облачная подпись доступна), но надо ещё и защищать соединение с облачной подписью. Не только со стороны сервиса, со стороны клиента — тоже. Увеличение уязвимых точек очевидно, а компенсироваться оно может только удобством пользователя.
Я же не против, я просто намекаю на то, что тут тоже есть свои минусы.
Я же не против, я просто намекаю на то, что тут тоже есть свои минусы.
UFO just landed and posted this here
Есть возможность использовать RSA в облачном токене?
А что мешает?
Если в облачном токене можно работать с ключевыми парами и сертификатами RSA, то возможно ли загрузить вашу LS11CLOUD в «обычный Firefox», как библиотеку реализующию интерфейс PKCS#11 для доступа к моим «облачным сертификатам»
Загрузить то вы загрузите и сертификаты увидите, но «обычный Firefox» так устроен, что у него часть криптоографических функций включена не только в NSS и токен, но и сам Firefox. Поэтому у вас не пройдет проверка сертификатов. Еще бич Firefox — это кириллица, например пароль с русскими буквами и исправлять клюки они не торопятся, мягко говоря. По этому ставьте Redfox. Но если вы подключите LS11CLOUD в «обычный Google Chrome» (http://soft.lissi.ru/articles/googlechromgost/ ), то вы прекрасно получите доступ в хранилищу сертификатов и сертификаты будут, естественно, проверяться. Но при этом у вас на компьютере должен стоять пакет NSS с поддержкой российцских криптографических интерфейсов.
Да, что касается RSA. Сегодня в LS11CLOUD поддержка RSA не включена. Но если есть желание…
Да, что касается RSA. Сегодня в LS11CLOUD поддержка RSA не включена. Но если есть желание…
Очередной криптографический паразит на теле IT.
Проприетарное, ни с чем не совместимое решение. Любой шаг в сторону — платная поддержка с негарантированным результатом. Проходили.
Проприетарное, ни с чем не совместимое решение. Любой шаг в сторону — платная поддержка с негарантированным результатом. Проходили.
О поддержке токенов PKCS#11 с российской криптографией в проектах GnuPg, KMail, Kleopatra изложено в статье «Сказание о Клеопатре и о российской криптографии (Продолжение)» 
Sign up to leave a comment.
Облачный токен PKCS#11 – миф или реальность?