id: Гость   вход   регистрация
текущее время 15:49 29/03/2024
Автор темы: Гость, тема открыта 10/05/2007 00:32 Печать
создать
просмотр
ссылки

PGP + eToken + Gentoo


Здравствуйте!
Собираюсь мигрировать с WinXP на Linix Gentoo, отсюда возник вопрос.
Сейчас установил X.org, kde, полный пакет. Мы используем ключи Aladdin eToken Pro, в нем зашиты ключи pgp. Можно ли его как нибудь использовать в Linux?
Помимо ключей pgp у меня так же есть диск, который создан с помощью pgp и имеет расширение pgd, который подключается как отдельный диск. Как я почитал форум – от него похоже придется отказаться, однако – интересует: как можно сделать такое же, для Linux? Что бы можно его бекапить простым копированием, и опять-таки – иметь возможность подключения в среде Windows?
К тому же, там еще сертификаты для входа в контроллер домена зашиты, но это я думаю как нибудь все таки смогу победить...


 
Комментарии
— spinore (10/05/2007 14:09)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786


Ставить kde в gentoo – это так же идти в альпинисты, но отказываться от квартиры
на 2-ом этаже только потому что там нет лифта, или побеждать в конкурсах на вычисления
в уме, но при этом для соложения двух однозначных чисел использовать калькулятор.
Вы понимаете что такое UNIX?



где-то здесь пробегал пост как один чел с алладином обратился к ним в компанию
в связи с утерей ключа а они ему восстановили со словами "ну у нас есть отмычки
на крайний случай". Не знаю насколько верно, но доверять закрытому софту в плане
безопасностия бы не стал.



1. Вы либо откажитесь от windows
2. Либо от linux
3. И оставьте попытки совместить несовместимое – не будете мучить себя и других.
— unknown (10/05/2007 14:58, исправлен 10/05/2007 15:02)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
[offtopic]

"Здраствуйте, это канал по анимэ?"
"Да"
"Не подскажите как настроить KDE во FreeBSD?"

© Bash.org

[/offtopic]

Spinore, чего Вы так к KDE прицепились. У некоторых вообще Beryl на уме.
По поводу win-совместимости.
Я бы не был столь категоричен, в конце концов многие Linux разработчики считают возможность портирования своих продуктов в Win полезным делом. Проще признать это как неизбежное зло, а не быть святее самого Ричарда Столлмана.

так же есть диск, который создан с помощью pgp и имеет расширение pgd, который подключается как отдельный диск. Как я почитал форум – от него похоже придется отказаться, однако – интересует: как можно сделать такое же, для Linux? Что бы можно его бекапить простым копированием,

Иметь несколько копий одного и того же контейнера считается нежелательным. Поэтому традиционно используют шифрованные разделы, а не файлы. Бэкапы делают перешифрованием на лету.

Основных систем шифрования блочных устройств две: loop-aes и dm-crypt/LUKS

Через loop-aes можно подцепить файл, как loop-device, если так хочется, но разработчики не рекоммендуют этого из соображений стабильности. (Хотя на самом деле всё стабильно работает). Имеется интеграция с GnuPG.

Больший уровень стабильности даёт dm-crypt/LUKS, там можно смело работать с шифрованными файлами, партициями, томами, дисками, RAID-массивами и т.д. Разделы dm-crypt можно открывать в Win через FreeOTFE, правда мне кажется это не очень респектабельная программа.
— spinore (10/05/2007 16:22)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786


Я понимаю что некоторые люди хотят поставить то что будет выглядеть как винда,
будет обладать интерфейсом как винда и способом управления как винда – только
бы вирусов не было, и оупенсорс. Но тогда вопрос: зачем ставить такую
профессиональную систему как gentoo? Это ос, можно так выразиться, для тонких
ценителей... установка из исходников всего что можно и нельзя, тонкий тюнинг
и прочее как то плохо сочетаются с виндоподобным интерфейсом.


портирования своих продуктов в Win полезным делом. Проще признать это как неизбежное зло, а не быть
святее самого Ричарда Столлмана.


Если б я писал продукт я бы постарался писать его так, чтоб портировать его на
винду было бы крайне трудозатратным. Вот скажите мне, unknown, как опытный:
у меня у самого – netbsd, в комнате на работе стоит ещё 4 компа и 2 ноутбука,
и нигде не установлена винда, даже как альтернатива загрузке линукса – что я
делаю не так? Как мне исправить ситуацию? Как мне обрести потребность
читать криптофс из-под винды? Рядом со мной работет ещё несколько человек, они -
не программисты, они решают задачи, у них не винды. Ониеё НИКОГДА не грузят. Что
они делают НЕ так? ЧЕМ я им могу помочь? Более того, смеху ради, сзади
на стенке висит чей-то плакат "Good evening Mr. Gates, I'll be your server today!"
с изображением такса (хотя фанатов линукса здесь нет – просто люди не видят
необходимости даже задумываться о том что оффтопик ещё существует). Как мне им
помочь вернуться к нормально оффтопиковой жизни?
— unknown (10/05/2007 18:01)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Дело не в Вас и Вашем окружении. У меня тоже нет KDE и т.д.

Если б я писал продукт я бы постарался писать его так, чтоб портировать его на
винду было бы крайне трудозатратным.

Из желания отплатить той же монетой, сохранения чистоты рядов и снобизма?

Разработчики GnuPG, TOR, LUKS, OpenSSL и других серьёзных продуктов всё-таки думают иначе, ну да ладно.
— spinore (10/05/2007 20:46)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786


Да, я мстителен.

ладно.

Вот потому мы и идём туда куда идём.

P. S.: были какие-то лицензии, которые запрещали коммерициализацию. Не компетентен
чтобы говорить. Мне вообще не нравится сама лицензия гну, если она позволяет пользоваться
продуктом тем людям, которые этого не заслужили. У план-9 в этом смысле более здравый
подход: вы к нам по-коммерчески – мы к вам тоже. Можно было бы сделать так, что в
госорганизациях и в фирмах линукс был бы не бесплатный, а бесплатный – только для
домашнего юза. Вот и наплодилось сейчас целое стадо быдла которое считает что
"линукс это нечто по типу винды толкьо чуть другое", а "существует он потому что
вот такие серьёзные коммерческие организации как рэдхат и прочие его разрабатыва...".
А имне эта идея рынка не нравится. Продукт создавался как _альтернатива_. Соответственно,
те кто шли своим коммерческим путём – пусть им и идут. А то как в том анекдоте:
"как поджигать – так никто, а как греться – так все приехали: и пожарники, и менты,
и скорая...". А чего греться на чужом энтузиазме, это морально? Люди себя вкладывали
ради идеи а эти думаю только как "бабла срубить". Вот и пошли союзы новелла с
майкрософтом и т.п. А всё почему? Потмоу что я сказал: идеи у фирмы нет. У них
есть одно понятие: деньги, которыми всё и мерится. будет выгодно – всё продадут,
мать родную... Лишь бы _прибыль_ была – самое главное. И гпл позволяет им прикасаться
своими грязными руками к "пирау" софта. На самом деле ни одна фирма не пиарит
линукс как таковой, как идею... Она пиарит себя чтобы срубить прибыль, – других
целей у неё нет. Соответственно, портирование софта на чужие системы – это всё с той
же линии... А вообще, есть ещё общий принцип: хорошее не может всем нравиться.
Не может гравиться оно и майкрософту и новеллу, и энтузиастам... либо здесь что-то
не то.
— SATtva (10/05/2007 21:47)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Постараюсь всё-таки вернуть обсуждение к изначально поставленному вопросу.

Мы используем ключи Aladdin eToken Pro, в нем зашиты ключи pgp. Можно ли его как нибудь использовать в Linux?

Честно? Мне не удалось. Дело здесь не в поддержке eToken в Linux (она имеется), а в отсутствии поддержки PKCS#11 в распространённых OpenPGP-приложениях (в частности, GnuPG; PGP совместим только с Windows и MacOS). В общем, если Вы изначально генерировали закрытый ключ на смарт-карте, то экспортировать его не удастся — придётся создавать новый ключ и, возможно, перекрёстно подписать его старым.

Помимо ключей pgp у меня так же есть диск, который создан с помощью pgp и имеет расширение pgd, который подключается как отдельный диск. Как я почитал форум – от него похоже придется отказаться, однако – интересует: как можно сделать такое же, для Linux? Что бы можно его бекапить простым копированием, и опять-таки – иметь возможность подключения в среде Windows?

Контейнеры TrueCrypt (и сама программа) поддерживают среду Windows и Linux. Только форматировать их следует под файловую систему, которая также будет корректно работать в обеих ОС: единственный кандидат — это FAT(32).

К слову (но не для развития флэйма), у меня установлен и Gentoo Linux (без KDE, Gnome и прочего изуверства), и Windows. Почему? "Приходится использовать...", как и большинству участников проводимого на главной странице опроса.
— Linko (11/05/2007 10:17)   профиль/связь   <#>
комментариев: 2   документов: 0   редакций: 0
Давайте по порядку.
1. Да, я знаю что такое UNIX. Я с ним работаю довольно давно и плотно. У меня есть много серверов на FreeBSD. Но в качестве системы для работы на моем компьютере я поставил Linux Gentoo. Линукс – потому что под него больше поддержки всяческого софтового оборудования для ноутбука, Wi-Fi, вин-модем, Bluetooth и прочих. К тому же – больше софта именно для пользователя, а не для серверных приложений, а так же поддержка токенов. Gentoo – потому что я порасспрашивал людей какой мне ставить линукс, и мне его порекомендовали, да и мне самому он нравиться, у него FreeBSD-like система пакетов.
2. Я не знаю, чем может не подойти KDE в качестве графической оболочки, так как я всегда до этого использовал только командную строку для работы с UNIX системами.
3. Мне так же достоверно известно, что ключи сгенерированные на Windows-серверах не совместимы с теми которые были бы сгенерированы в UNIX, хотя обратная совместимость известна. Сгенерировать же новые PGP ключи – это не такая уж и большая жертва. На нее можно пойти.

Так как у нас в фирме уже устоявшаяся система разграничения доступа и прочее что связано с безопасностью, а так же больше количество народу которые так работают – то ради одного меня ничего переделывать не будут.
Вот в связи с чем я и задаю эти вопросы.
— unknown (11/05/2007 10:43)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
В общем не будем о{б}суждать KDE, желание требований по win-совместимости и др. это личное дело каждого, OK?

Более конкретно: нужны шифроконтейнеры: loop-aes или dm-crypt.
Нужно их открывать в Win: тогда сначала в win придётся их создавать только с использованием Truecrypt и в Linux открывать им же.

Альтернатива: использовать в Linux dm-crypt/LUKS, форматировать под FAT, открывать в WIN при помощи FreeOTFE (надёжность, безопасность FtreeOTFE под вопросом).

что ключи сгенерированные на Windows-серверах не совместимы с теми которые были бы сгенерированы в UNIX,

Ключи PGP? Можно использовать GnuPG и в Win и в Lin.
Для GnuPG ключей можно выбрать параметры совместимости с PGP.
— Linko (11/05/2007 12:03)   профиль/связь   <#>
комментариев: 2   документов: 0   редакций: 0
что ключи сгенерированные на Windows-серверах не совместимы с теми которые были бы сгенерированы в UNIX,


Ключи PGP? Можно использовать GnuPG и в Win и в Lin.
Для GnuPG ключей можно выбрать параметры совместимости с PGP.

Извиняюсь, ошибся. Сертификаты.
Попробую создать с помощью TrueCrypt и поработать с ними...
— SATtva (11/05/2007 15:49)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Извиняюсь, ошибся. Сертификаты.

Сертификаты X.509, как и ключи PGP, совместимы с любой ОС, если она поддерживает сам стандарт. Просто экспортируйте их из Windows в совместимом формате (скажем, в незащищённом PKCS#12).
— Solaris (13/11/2007 17:04)   <#>
В данном случае не совместимы не ключи и сертификаты, а файловая система e-Token'a. я сейчас бьюсь над той же проблемой как заставить работать один токен и одним набором сертификатов и во FreeBSD и под Win. пока найдено было только одно решение. в WIN системе заменить стандартные (и виндовые) стредства работы с токеном на пакеты opensc+openct.
— SATtva (13/11/2007 17:51)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
В данном случае не совместимы не ключи и сертификаты, а файловая система e-Token'a.

Вот уж не подумал бы. Странно, а почему ОС вообще должна волновать файловая система устройства, почему обращение с ней выполняет драйвер, а не контроллер устройства (через какой-то абстрактный интерфейс)?
— solaris (19/11/2007 19:43)   <#>
Все дело в ПО системы. стандартное Аладиновское ПО под Виндовс форматирует с использованием их закрытой системы. в поддержке *nix систем у них сейчас значатся только 3 дистрибутива SUSE, FEDORA и RedHat. через драйвера открытых систем видно только то что создается с использованием pkcs15. на уровне драйвера устройства видно конечно все... только заставить работать демона с недокументированной системой хранения к сожалению не возможно....
— Solaris (19/11/2007 19:47)   <#>
Кстати проект opensc в последних релизах убрал поддержку PKCS12 контейнеров...
— fr34k (16/12/2009 14:50)   <#>
spinore horosho skazal) ulibnulo
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3