id: Гость   вход   регистрация
текущее время 22:53 05/12/2019
Автор темы: Гость, тема открыта 14/03/2014 01:24 Печать
Категории: криптография, эцп, хард, аппаратное шифрование, смарт-карты
http://www.pgpru.com/Форум/ТехническиеВопросы/НасколькоБезопасенРутокенS
создать
просмотр
ссылки

BEGIN PGP SIGNED MESSAGE


Hash: SHA1

Насколько безопасен Рутокен S


В банке выдали Рутокен S.
Вроде как это криптоконтейнер для закрытого ключа
сертификата для доступа к сервисам банка.
Но в интернетах полно инструкций о том, как
из Рутокена S можно выгрузить закрытый ключ
хоть на жёсткий диск.


Кто что знает о реальной безопасности Рутокена
и насколько это устройство вообще соответствует
званию токена?


BEGIN PGP SIGNATURE


Version: GnuPG v2.0.22 (GNU/Linux)


iQEcBAEBAgAGBQJTIh+MAAoJED0fMIbt3pL4MlUH/305riMNGKhPISz6ijUU8gsP
zR+EFpVwNKJWfCY4tSQyCFm+wUOFs0OgZBZB97PBgF/R+mn14LWD+/kGUME7JhbD
Uj8hD2WH3fBvfnZfGJ8BS/E/Ohk0/raqEwatTRIV3WuNkCaTUM6/OAHy940PwXIV
ihnX2v2eZ2lr2gCcKUfYJBkERK4gSrfL/9tcXz5Vcdh8HZ275enmJq6WSX4GNYZF
ILrXkIB72gJB2ZA19FpV+1dpR2iCUook7WFBtCQZabQ8W7+SCMmwqiSUsQijZnsQ
m6hzzeTp1eDtzO556DMoyqPEI9HavfrQUtM+983nkBIRl7Dk0f1d0LN22lef0gg=
=nk9a


END PGP SIGNATURE



 
Комментарии
— Гость (14/03/2014 07:03)   <#>
А что, подписать по конвенции gpg -sa, как намекает пункт «OpenPGP-подписанное сообщение в кодировке» — уже оксюморон.

Во-первых, токен ≠ HSM.


Да могли бы хоть на дискетах или флешках ключ распространять. При большом желании извлечь ключ с токена при физическом доступе к нему можно, это не HSM. Всё зависит от модели угрозы.
— SATtva (14/03/2014 08:25)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092
При должном бюджете, ключ можно извлечь и из HSM, но к вопросу топикстартера это не имеет никакого отношениния.

Нормальный токен (смарт-карта) не должен допускать выгрузку закрытого ключа, в этом весь смысл устройства.
— unknown (14/03/2014 09:48)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Потенциально с любыми токенами возможно дальнейшее развитие такого типа атак.
— Гость (14/03/2014 13:17)   <#>
А я не спрашивал про физический взлом. Речь исключительно о
программных средствах. Допустим, про Рутокен ЭЦП в описании чётко
сказано, что выгрузка закрытого ключа принципиально невозможно.
Или с OpenPGP card не выгрузишь ключик, там область данных
помечена как неэкспортируемая. А Рутокен S, мне кажется, вопреки
названию вообще не является токеном, а так, флешка с пин-кодом.

Просто удивляет хайп вокруг простеньких рутокенов в наших банках.
— Гость (14/03/2014 15:11)   <#>

Где доказательство этого факта? Ханаанский бальзам, симптом №7.

Раз вы всё равно подписываетесь под постами, почему бы не зарегистрировать себе никнейм (пусть даже с идентичным вашему PGP KeyID) и не загрузить ключ к себе в профиль? Логиниться после этого для написания постов не обязательно: на связке PGP-ключей сайта будет ваш ключ, что позволит движку форума автоматически проверять валидность подписи в той же ситуации, как сейчас.
— unknown (14/03/2014 15:13)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
В той новости описано, как не прибегая к физическому взлому и не выгружая ключ, вычислить этот секретный ключ, программно заставляя выполнять токен нестандартные операции.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3