BEGIN PGP SIGNED MESSAGE
Hash: SHA1
Насколько безопасен Рутокен S
В банке выдали Рутокен S.
Вроде как это криптоконтейнер для закрытого ключа
сертификата для доступа к сервисам банка.
Но в интернетах полно инструкций о том, как
из Рутокена S можно выгрузить закрытый ключ
хоть на жёсткий диск.
Кто что знает о реальной безопасности Рутокена
и насколько это устройство вообще соответствует
званию токена?
BEGIN PGP SIGNATURE
Version: GnuPG v2.0.22 (GNU/Linux)
iQEcBAEBAgAGBQJTIh+MAAoJED0fMIbt3pL4MlUH/305riMNGKhPISz6ijUU8gsP
zR+EFpVwNKJWfCY4tSQyCFm+wUOFs0OgZBZB97PBgF/R+mn14LWD+/kGUME7JhbD
Uj8hD2WH3fBvfnZfGJ8BS/E/Ohk0/raqEwatTRIV3WuNkCaTUM6/OAHy940PwXIV
ihnX2v2eZ2lr2gCcKUfYJBkERK4gSrfL/9tcXz5Vcdh8HZ275enmJq6WSX4GNYZF
ILrXkIB72gJB2ZA19FpV+1dpR2iCUook7WFBtCQZabQ8W7+SCMmwqiSUsQijZnsQ
m6hzzeTp1eDtzO556DMoyqPEI9HavfrQUtM+983nkBIRl7Dk0f1d0LN22lef0gg=
=nk9a
END PGP SIGNATURE
Во-первых, токен ≠ HSM.
Да могли бы хоть на дискетах или флешках ключ распространять. При большом желании извлечь ключ с токена при физическом доступе к нему можно, это не HSM. Всё зависит от модели угрозы.
комментариев: 11558 документов: 1036 редакций: 4118
Нормальный токен (смарт-карта) не должен допускать выгрузку закрытого ключа, в этом весь смысл устройства.
комментариев: 9796 документов: 488 редакций: 5664
программных средствах. Допустим, про Рутокен ЭЦП в описании чётко
сказано, что выгрузка закрытого ключа принципиально невозможно.
Или с OpenPGP card не выгрузишь ключик, там область данных
помечена как неэкспортируемая. А Рутокен S, мне кажется, вопреки
названию вообще не является токеном, а так, флешка с пин-кодом.
Просто удивляет хайп вокруг простеньких рутокенов в наших банках.
Где доказательство этого факта? Ханаанский бальзам, симптом №7.
Раз вы всё равно подписываетесь под постами, почему бы не зарегистрировать себе никнейм (пусть даже с идентичным вашему PGP KeyID) и не загрузить ключ к себе в профиль? Логиниться после этого для написания постов не обязательно: на связке PGP-ключей сайта будет ваш ключ, что позволит движку форума автоматически проверять валидность подписи в той же ситуации, как сейчас.
комментариев: 9796 документов: 488 редакций: 5664