id: Гость   вход   регистрация
текущее время 15:24 28/03/2024
Автор темы: apels1n, тема открыта 30/06/2004 15:25 Печать
http://www.pgpru.com/Форум/Криптография/ОпятьПроUSB-токены
создать
просмотр
ссылки

Опять про USB-токены


Увидел, что здесь затрагиваются темы, похожие на те, что интересуют меня. Право не знаю где еще об этом спрашивать...
Хотелось бы узнать, что именно сейчас реализовано КОНКРЕТНО В LINUX для работы с сабжем. На сайте того же Аладдина все фразы довольно размыты: что-то вроде "Наш продукт поддерживает ОС Windows, MAC OS, Linux....". Все разговоры о конкретных реализациях идут только в рамках виндового программного обеспечения. Скачивание линуксовых драйверов особо ситуацию не прояснило. Никаких внятных документаций с ними не идет.
Видел на этом форуме такие фразы:
"Для работы с usb токенами и с таблетками есть PAM модули для linux.."
Может быть есть какие-нибудь стандарты уже...
И еще: я в самой PGP не особо секу (уж простите ламера , что вторгся к вам). Но я понял, что некая PGP Universal в Linux работает – а там не включено взаимодействие с usb-токенами?


Короче, может быть, кто-то разбирался с этим и кинет ссылочки – буду премного благодарен.


 
Комментарии
— SATtva (30/06/2004 17:20)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
По Линуксу ничем не помогу — по этому поводу, надеюсь, другие специалисты выскажутся. Касаемо PGP Universal. Это серверная реализация PGP в концепции SMSA, основанная на ядре Linux. То есть как таковой PGP Universal — это сервер, а клиентские приложения — PGP Universal Satellite — работают под Windows и Mac OS. Так что это не совсем то, что Вам нужно.
— Гость (05/07/2004 22:32)   <#>
http/www.pamusb.org/ – просто USB флэшки
http/openfortress.org/tools/cryptoken/pam_epass/ – более специализированные девайсы

Попадалось еще масса ссылок на эту тему. Уверен, что решение можно найти.



PAM модули осуществляют аутентификацию – неважно какую – пароль с клавиатуры, удаленный сеанс SSH, биометрическое утройство или так необходимые вам токены. Если вы знаете, как устроена система PAM, что надо прописывать в /etc/pam.conf, что лежит в директории /etc/pam.d (в вашем дистрибутиве может быть немного по другому) – тогда нет никаких проблем.

Находите драйвера к вашему устройству, компилите, патчите где-чего надо, прописываете какой-нибудь pam_usb.so со всеми опциями которые он дает и радуетесь жизни дальше.

Обычно этого достаточно – вы аутентифицируетесь как некийй пользователь со своими привилегиями.
Но иногда нужно чтобы PAM модуль помог что-то расшифровать – раздел диска например, тогда вставляете другой pam модуль после предыдущего
и расписываете всю политику использования модулей в конфиге.


очень редко, вообще-то, когда в Линуксе есть готовое решение на уровне программы – обычно надо самому во всем разобраться, сконструировать
набор из скриптов, команд и конфиговпод свою задачу (или найти готовые примеры, но разбирвться все равно надо). Для кого-то это может замысловато и неудобно, но в этом есть свои плюсы – можно
потратить кучу времени и наделать кучу ошибок, но затем придумать что-то оригинальное, о чем сами разработчики программ даже не знали :-)


PAM изобрели специально для того, чтобы не изобретать кучу стандартов для всего зоопарка устройств аутентификации.

В общем все есть, надо только разобраться и придумать как это все прикрутить куда вам надо.

Небольшая цитатка из http/www.opensc.org/:
Of course, Mozilla isn’t the only application that can make use of OpenSC.
• OpenSSH can use RSA keys stored on a smart card to authenticate to a
remote host, using the OpenSC library.
• GNUpg supports keys stored on smart cards. It has its own support,
there’s even an OpenPGP card, but it also supports OpenSC.
• There are two OpenSSL ENGINEs that come with OpenSC. One uses
the OpenSC library directly to access keys stored on a smart card, the
other uses the PKCS#11 interface. The latter could potentially be used
with the Musclecard PKCS#11 module, but I don’t know if that has been
tested.
• Recent FreeSWAN versions support OpenSC for IKE authentication.
• OpenSC comes with a PAM module that allows smartcade based authen-
tication.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3