Comments 17
Спасибо!
Не подскажете что можно использовать под Mac и Linux?
И такой вопрос: где нам нужен закрытый ключ? Ведь сам смысл еТокена в том, что в нем сидит закрытый ключ, сам внутри себя все шифрует и его оттуда нельзя скопировать.
Можно ли генерировать ключ внутри самого токена, чтобы он вообще не появлялся на компе?
При генерации вышеуказанным способом он именно на етокене и создается.
Ясно. А можно его защитить каким-нибудь паролем на случай утери флешки?
Да. Там при каждом начале работы нужно ввести пин-код. Если даже злоумышленник завладеет брелком, то без знания пин-кода не сможет его использовать, а при определенном количестве неверных попыток токен заблокируется. Плюс сам eToken предусматривает возможность «вторичной идентификации с ключом RSA» — т.е. в дополнение к пин-коду, создается пароль для каждого конкретного закрытого ключа, который запрашивается при каждом использовании.
> создается пароль для каждого конкретного закрытого ключа, который запрашивается при каждом использовании.
Пароль при каждом использовании? Это же муторно.
Что мне нравится в схеме с ключами -" открыл" его один раз паролем и работаешь со всеми серверами.

Как обеспечивается безопасность пин-кода? Чтобы его не перехватили?
Я тоже об этом подумал: прикрутить маленькую клавиатурку к нему, но от этого он сильно вырастет в размерах и упадет надежность.
Насколько мне известно, это будет работать под *NIX если скомпилировать ssh-клиент с поддержкой смарт-карт — см. www.opensc-project.org/, но лично я не делал этого.

Закрытый ключ понадобится если вы захотите сделать его резервную копию. При генерации на етокене его забекапить не получится.
Какие ключи лушче использовать? С точки зрения надежности, производительности, поддержки.
Смотрю eToken pro (java) объем памяти 72K, стоит где-то 1000 руб.
На данный момент актуальной версией ключей как раз является eToken Pro Java, по этому лучше использовать его. С точки зрения работы это тот же eToken Pro, только с большим объёмом памяти. С точки зрения надёжности, по опыту ключи намного чаще теряются чем ломаются :-)У меня ключ жил 5 лет, пока я случайно не наступил на него :-)
В Ростелекоме можно получить ЭЦП для доступа на сайт госуслуги.ру за 660 рублей. Как раз используется eToken Pro (Java). ;) Только надо определится, как его использовать — у меня навскидку не получилось записать в неё ещё что-либо, можно лишь очистить её полностью.
Уточните, пожалуйста, на клиентской машине, на которую аутентифицируемся, какие-либо настройки требуются?
На клиенте (в случае Windows) должен стоять eToken PKI Client, чтобы система корректно распознавала подключаемые смарт-карты. Больше никаких дополнительных настроек не требуется.

На сервере — никакого дополнительного ПО не нужно. Только разрешить аутентификацию по ключу и добавить публичный ключ в список авторизованных.
Кстати для тех, кто как и я, обламался на несовместимости KeyManager с Firefox 6, рекомендую open-source утилиту XCA. На Windows7 работает с eToken без проблем.
Only those users with full accounts are able to leave comments. Log in, please.