— Гость (05/04/2013 18:19)   

ет ли на рынке устройства для шифрования или подписывания документов, подключаемого к компьютеру?

толсто же USB-токен

— Скептик2 (05/04/2013 20:02)   
вот я о чём:

http://ru.wikipedia.org/wiki/R.....B0.D1.82.D0.BA.D0.B8^[link1]

Недостатки
Rutoken присущи недостатки, свойственные всем устройствам, в которых PIN-код вводится не с собственной клавиатуры устройства, а с клавиатуры терминала, к которому устройство подключено: с помощью троянской программы злоумышленник может перехватить PIN-код и произвести неоднократное несанкционированное подписывание или шифрование любой информации от имени владельца устройства.

— Гость (05/04/2013 21:06)   
USB-токен (Рутокен, Алладин) по сути тоже смарт-карта плюс считыватель.

— sentaus (05/04/2013 22:50)   
Спрашивали тут уже про это неоднократно. Такое устройство само по себе не сильно проще полноценного компьютера получится. Можно разве что нетбук отдельный для этого завести, но нет софта, который бы достаточно удобно передачу данных туда-сюда организовывал, только флешками файлы перекидывать :)

— Гость (05/04/2013 23:45)   

Да, я бы тоже от такого софта не отказался. Можно сделать отдельную виртуалку для работы чисто с ключами, к примеру. Допустим, джабер отправляет запрос по сети на расшифровку, зашифровку или проверку подписи и получает ответ (вместо того чтобы самому вызывать gpg). Помогло бы от кражи ключей, имхо.

— Гость (05/04/2013 23:46)   
P.S. В крайнем случае сгодился бы и токен, но надо сделать так, чтобы пароль, вводимый на ПК, имел лишь вспомогательную роль и не позволял извлечь сам ключ из токена.

— Гость (06/04/2013 00:47)   

В крайнем случае сгодился бы и токен

но ведь тогда можно произвести подмену подписываемого документа..

Спрашивали тут уже про это неоднократно

тут^[link2]

— SATtva (06/04/2013 12:38)   

В крайнем случае сгодился бы и токен, но надо сделать так, чтобы пароль, вводимый на ПК, имел лишь вспомогательную роль и не позволял извлечь сам ключ из токена.

Он и не позволяет. Выгрузить закрытый ключ со смарткарты нельзя.

— Гость (06/04/2013 18:55)   
Старый комп – когда в чипах ещё жучков^[link3] не было. Не выкидывайте – на вес золота будут!

— Гость (06/04/2013 22:05)   

Зато можно выгрузить, если злоумышленник получил к смарткарте физический доступ? Если ключи в какой-то момент на ПК не нужны, его или виртуалку, где идёт работа с ключами, можно отключить, ключи из оперативной памяти стерерть, а потом, когда надо, снова подключить. Насктолько легко такое же проделывать со смарткартами?

— Гость (06/04/2013 22:21)   

Зато можно выгрузить, если злоумышленник получил к смарткарте физический доступ?

Считается что нельзя, можно разве что в лабораторных условиях, при доскональном анализе чипа.

— Гость (07/04/2013 01:14)   

О нём и идёт речь. Если устройство серийное, могут разработать методику взлома, а потом массово и за дёшево вскрывать карты.

— SATtva (07/04/2013 11:08)   
What's your threat model? ©

— Гость (07/04/2013 11:41)   

What's your threat model?

Мусора врываются в помещение, кладут рожей в пол, изымают всю технику, везут на экспертизу. Стоимость взлома грубо оцениваю в миллион евро. Недавно например именно на столько раскошелились французские налогоплательщики чтоб провести ДНК экспертизу и определить кто из двух близнецов участвовал в изнасилованиях. Поэтому ключи загружаются в память ПК только если двери заблокированы. Пока двери будут ломать я успею выдернуть кабель из розетки. Can your stupidcard help me? ©

— SATtva (07/04/2013 11:50)   

Nope. Use HSM^[link4] Luke.

— Гость (07/04/2013 12:34)   
оффтоп

например именно на столько раскошелились французские налогоплательщики

у них демократия)) а у нас приставы гурьбой отнимать 5 рублей ездят (((

— Гость (07/04/2013 12:38)   

Nope. Use HSM Luke.

из-за отсутствия сертификации

сразу вопрос. а частному лицу зачем сертификация в россии? мы ведь ввозим в страну в частном порядке любую продукцию, без учета сертифицирована она или нет.

— SATtva (07/04/2013 12:56)   

В отношении импорта аппаратных криптосредств (за некоторыми исключениями) действует особый порядок.

— Гость (08/04/2013 01:26)   

В отношении импорта

имеется ввиду, что "импорт" как инструмент внешнеэкономической деятельности? но коммерческой деятельностью может заниматься только субъект, который зарегистрирован как участник рынка, в противном случае это частное лицо (физ лицо).

— Гость (08/04/2013 04:08)   

сразу вопрос. а частному лицу зачем сертификация в россии? мы ведь ввозим в страну в частном порядке любую продукцию, без учета сертифицирована она или нет.

Провезти мелкий девайс контрабандой нет проблем, но HSM как правило покупают чтобы через него работать на биржах и в межбанковских системах, тут у вас сертификацию и попросят.
Использовать HSM для шифрования своих домашних файлов – это всеравно что ездить в булочную на боинге.

— Гость (08/04/2013 05:15)   

Использовать HSM для шифрования своих домашних файлов – это всеравно что ездить в булочную на боинге.

Мало ли кто что может хранить среди домашних файлов. Максимум, что может грозить любому смертному — потеря своей жизни и/или жизни своих близких, ну или проведение остатка своей жизни в тюрьме. Можно взять защиту таких данных за рэпер в ИБ и оценивать меры защиты по тому, насколько удачно они решают защиту такой информации. А есть ли у кого такая информация или кто-то перепараноил — это уже не важно, тут криптографию с защитой от сильного противника обсуждают, а не аргменты «есть ли кому что скрывать».

— unknown (08/04/2013 09:33, исправлен 08/04/2013 09:54)   

Тогда практически не существует^[link5]. Это скорее не персональный Боинг, а затычка в плохо настроенных системах для массового использования среди персонала, не способного дисциплинированно выполнять какие-то навороченные требования ИБ.