Что такое электронные ключи такие как SenseLock, eToken?

Да, в целом так всё и выглядит. Криптооперации также производятся самим устройством. Технически, ключи оттуда достать возможно, но это сравнительно дорогая задача.

eToken компании Aladdin Security Solutions

И наверное самый главный вопрос – один мой хороший знакомый пользовался криптографией
этих товарищей http://www.alladin.ru (был зашифрован диск), так вот однажды у него
по какой-то причине отсутствовали карточки с ключами, он позвонил этим ребятам и спросил
так и так, чего делать? Они ответили – пиши письмо нам и мы тебе все расшифруем, на
его вопрос – а собственно как это вообще возможно, ему ответили – так у нас есть лазейки
для этого.

©

И ещё (вопрос об опасности аппаратного шифрования уже давно кандидат на вынос в FAQ).

ОБС — конечно, весьма достоверный источник...

Господа, хотелось бы уточнить еще пару аспектов по поводу электронных ключей и устройства, а именно:

1). Где можно почитать, или кто нибудь вкратце объяснит принцип защиты ключей от использования/импорта?

SATtva:
Технически, ключи оттуда достать возможно, но это сравнительно дорогая задача.
2).

Насколько дорогая, то-есть гораздо дешевле например полной факторизации ключа относительно небольшой велечины?

SATtva:
Криптооперации также производятся самим устройством.

3). То-есть вычисления и операции по подписыванию/расшифровке и т.д. проводятся самим устройством т.е. самой встроенной микросхемой/процессором?

4). При вводе PIN он проходит по USB до устройства в открытом виде т.е. производится ли безопасная передача? Спрашиваю потому что "мониторю отсутствие кейлогера только на клавиатуре"

Где можно почитать, или кто нибудь вкратце объяснит принцип защиты ключей от использования/импорта?

Здесь. Устройство не даёт компьютеру и исполняемым на нём программам прямого непосредственного доступа к своему содержимому. Оно лишь предоставляет ряд абстрактных интерфейсов (описанных в том самом PKCS#11), посредством которых программы могут давать устройству своего рода задания: "расшифровать вот этот блоб", "хэшировать этот блоб и подписать хэш". Вот так в общих чертах.

Технически, ключи оттуда достать возможно, но это сравнительно дорогая задача.

Насколько дорогая, то-есть гораздо дешевле например полной факторизации ключа относительно небольшой велечины?

Если под "относительно небольшим" ключом понимать 1024 бита, то значительно дешевле: от 2 до 10 тыс. долларов для различных устройств.

То-есть вычисления и операции по подписыванию/расшифровке и т.д. проводятся самим устройством т.е. самой встроенной микросхемой/процессором?

Для карт класса Aladdin eToken — да.

При вводе PIN он проходит по USB до устройства в открытом виде т.е. производится ли безопасная передача?

В открытом, так же как и расшифрованный текст. В модель угрозы не входят атаки на аппаратный интерфейс.

Вообще по теме рекомендую почитать этот материал, он снимет множество вопросов.

В открытом, так же как и расшифрованный текст. В модель угрозы не входят атаки на аппаратный интерфейс.

Не верно. Аппаратный канал у eToken шифруется. Внимательнее читаем доки Аладдина.

Доков много, можно прямую ссылку?

Почему бы в качестве защищенного устройства для хранения асимметричные ключей не использовать мобильный телефон? Может кто знает готовые (программные) решения?

Вы считаете закрытую платформу с кучей недокументированных функций и рассчитанную на массовый рынок защищённой?

Электронные ключи такие как SenseLock, eToken тоже представляют собой закрыые решения с кучей недокументированных функций и рассчитанные на массовый рынок. А в телефоне хотя-бы программу свою загрузить можно и отснифить её обмен с компьютером. Если при этом ещё вынуть симку (а лучше отпаять приёмопередатчик) и телефон никому не давать – вот и был бы недорогой способ борьбы с кейлоггерами. Хотя-бы любительсмкие разработки на этот счёт есть?

Сильное заявление. О сертификации криптотокенов Вы слышали? Следуя Вашей логике, ПК — это тоже система с кучей недокументированных функций, рассчитанная на массовый рынок. Только, надеюсь, Вы не станете приравнивать безопасность криптографического токена, ПК и телефона? ;-)

Я ведь просто от кулхацкерских троянов/кейлоггеров хочу обезопасить себя, а не от трёхбуквенных организаций. Наверное, придётся самому мидлет писать. Просто странно, что до сих пор никто не сделал такую очевидную вещь – это всё же гораздо лучше, чем просто вводить пароль с клавиатуры.

я пользуюсь Aladdin Pro 64. Свое предпочтение в пользу хранения ключа на токене могу объяснить следующим: вероятность считать ключ с токена НЕЗАМЕТНО ДЛЯ ХОЗЯИНА сравнительно мала. Сравнительно с вероятностью того что с компьютера подключенного к интернет файл с ключем может уплыть запросто, а ключевая фраза м.б. также незаметно перехвачена кейлоггером. А хозяин будет продолжать шпарить письма.

Чтобы считать ключ с токена его нужно физически отобрать у владельца. Считать ключ дистанционно нельзя, а завладеть токеном незаметно для хозяина (с возвратом конечно ;-) все-таки хлопотно. Если же дело дошло до задержания и изъятия токена, то конечно расчитывать особо не на что; судя по публикациям, имея физический доступ к токену вскрыть его можно давольно дешево и быстро.

Поправьте меня, если я ошибаюсь.

судя по публикациям, имея физический доступ к токену вскрыть его можно давольно дешево и быстро.

Это касается только токенов, не шифрующих своё содержимое; eToken PRO к таким не относится, атака на такое устройство требует высокой квалификации. Атака скорее всего будет разрушающей, так что, опять же, владелец получит явное свидетельство компрометации. (Здесь, правда, интересен такой вопрос: если противник осуществляет успешный взлом криптотокена, пусть даже и с разрушением устройства, что мешает ему импортировать извлечённый ключ в другое идентичное устройство и вернуть его обратно владельцу? Заметит ли владелец подмену при таком раскладе?)

что мешает ему импортировать извлечённый ключ в другое идентичное устройство и вернуть его обратно владельцу

Может стоит вообще отказаться от крипто-процессоров и заказать умельцам токены на старых отечественных транзисторах с доступом по LPT? Обсудить и выложить в интернет схемы...