id: Гость   вход   регистрация
текущее время 11:45 29/03/2024
Автор темы: ZEV1416, тема открыта 18/02/2010 18:35 Печать
Категории: хард, смарт-карты
https://www.pgpru.com/Форум/PGPdiskWholeDisk/ПоддержкаКворумаКлючейсмарт-картВWholeDisk
создать
просмотр
ссылки

Поддержка кворума ключей (смарт-карт) в WholeDisk


Всем доброго вечера! Знающие люди, подскажите, поддерживается ли в WholeDisk такое понятие, как кворум ключей?
Это режим, когда к диску привязано несколько смарт-карт, а для открытия шифрованного диска требуются не все смарт-карты, а некоторое их количество, меньшее числа привязанных ключей. Например, привязано к диску 5 смарт-карт, а для открытия диска требуется 3 из них (любых)?


 
Комментарии
— SATtva (18/02/2010 21:06, исправлен 18/02/2010 21:07)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118

Я не особо пристально слежу за нововведениями (вернее, за редуцированием функциональности) в последних версиях, но раньше такое было возможно с помощью m,n-пороговой схемы разделения ключа. Ключ, которым зашифрован криптоконтейнер/диск, разделяется на некоторое число долей, каждая из которых, в свою очередь, зашифровывается ключом хранителя, хранящимся на смарт-карте.

— ZEV1416 (19/02/2010 13:08)   профиль/связь   <#>
комментариев: 5   документов: 1   редакций: 0
А как это фактически реализовать? Я взял PGP Desktop 10.0.0.2732, создал два ключа на двух токенах.
Вот как ему сказать при подготовке к WDE, что надо сделать кворум из них – не понимаю. Там идеология, что любой из перечисленных на момент шифрования ключей сможет открыть диск. А так чтоб n из m – этого ненахожу. И в документации глухо (в меру моего английского)...
— SATtva (19/02/2010 13:20)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Ещё раз повторяю: Вы должны использовать один ключ для шифрования диска и уже этот ключ разделить (ищите опцию Split key где-то в PGP Keys). Части разделённого ключа (shares) можно зашифровать другими ключами, хранящимися на токенах.
— ZEV1416 (19/02/2010 13:23)   профиль/связь   <#>
комментариев: 5   документов: 1   редакций: 0
Понял, ушел копать. Будут вопросы – не гоните :) Спасибо!
— SATtva (19/02/2010 13:51)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Будут вопросы – не гоните

Нет, конечно. Обращайтесь.
— ZEV1416 (19/02/2010 22:13)   профиль/связь   <#>
комментариев: 5   документов: 1   редакций: 0
И снова вопросы.
Делаю обычный (Private) ключ. Почему обычный? Потому что для SmartCard Key недоступна опция Share.
Применяю к вновь созданному ключу операцию Share. Указываю 3-х человек (один из них для опытов – на смарт-карте), между которыми ключ будет поделян, и говорю, что для дешифровки нужно минимум 2 из них. PGP создает 3 файла с расширением shf – частями ключа.
Теперь собственно вопрос: чего со всем этим счастьем делать? Разбитый (Shared) ключ не является ключом смарт-карты, поэтому недоступен для WDE. Доступны только PassPhrase и SmartCard пользователи.
Но даже если есть метод заставить WDE шифровать с Shared ключом – как части этого ключа поместить на смарт-карты? PGP не предлагает вариантов, куда сохранить файлы shf – он просто сваливает их в указанный каталог...
Извините, если я совсем не то делаю – PGP не видел несколько лет, текущую версию только сегодня поставил. Пока как слепой котенок: 10 минут в хэлпе, один клик мышей в основном окне :)
— SATtva (19/02/2010 22:30)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Если Вы хотите зашифровать разделённым ключом системный диск, то это невозможно. Насчёт несистемных разделов я не уверен, но будет странно, если этого сделать нельзя; по крайней мере, технических причин, не допускающих этого (как с системным раздлелом), нет. Точно должно работать с контейнерами PGP Disk, во всяком случае в прежних версиях работало.

Только Вы, опять же, путаете порядок действий. Выше я Вам писал: вначале создаёте диск и шифруете его обычным ключом, а затем этот ключ разделяете (для защиты долей можете выбрать другие ключи, хранящиеся на смарт-картах/токенах). Впоследствии, когда понадобится открыть доступ к контейнеру/диску, PGP предложит реконструировать разделённый ключ (это производится в памяти, так что на диск ничего не попадает).
— ZEV1416 (19/02/2010 22:59)   профиль/связь   <#>
комментариев: 5   документов: 1   редакций: 0
Понял, приступаю к расшифровыванию диска (зашифровал целиком) и попыткам шифрования разделов. Но все же, вопрос о том, как засунуть части ключа на токен – остается. PGP не предлагает такой возможности.
То есть, я сейчас создам ключ с именем DiskCrypt, которым зашифрую незагрузочный раздел диска. Потом создам еще 3 ключа: User1, User2, User3, все 3 на смарт-картах. И в тот момент, когда я стану делить ключ на части – как заставить PGP сохранить их на токенах? Пользоваться этим будут не сильно компьютерно грамотные юзеры, а открытие шифрованного раздела нужно после каждой загрузки сервера. Это должно быть наглядней, чем вытаскивание файла со смарт-карты средствами софта от Alladin и выбора сохраненного на диске файла из PGP. Да и требование к переразделению "собранного" ключа после каждого "собирания" тоже неприемлено – это всем участникам нужно рассылать части ключа после каждого открытия диска.
А порядок действий и перепутал именно из стремления зашифровать загрузочный раздел – для этого нужен SmartCard key, который не может быть разделен. Я надеялся, что его можно будет разделить на каком-то другом этапе...
— SATtva (19/02/2010 23:18, исправлен 19/02/2010 23:19)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Но все же, вопрос о том, как засунуть части ключа на токен – остается. PGP не предлагает такой возможности.

Когда ключ разделяется на доли, PGP предлагает зашифровать каждую из них. Это можно сделать как с помощью обычного пароля, так и с помощью открытого ключа. Если Вы выберите второй способ, то можете использовать ключ, закрытая часть которого хранится на токене.


То есть, я сейчас создам ключ с именем DiskCrypt, которым зашифрую незагрузочный раздел диска. Потом создам еще 3 ключа: User1, User2, User3, все 3 на смарт-картах. И в тот момент, когда я стану делить ключ на части – как заставить PGP сохранить их на токенах?

Сами .shf-файлы долей можете хранить где угодно (лишь бы только не потерялись или их не удалили; делайте резервные копии), они всё равно будут зашифрованы ключами User1, User2 и User3. Когда нужно получить доступ к зашифрованному диску, пользователи собираются вместе, приносят свои токены и .shf-файлы, скармливают их PGP, когда тот просит (расшифровывая их своими ключами с токенов), и PGP реконструирует ключ DiskCrypt, которым расшифровывает мастер-ключ диска, а тот, в свою очередь, открывает к диску доступ.


и требование к переразделению "собранного" ключа после каждого "собирания" тоже неприемлено

Разделённый ключ реконструируется в памяти только на одну операцию. После её завершения он так и остаётся разделённым. (Да, в свойствах разделённого ключа есть опция для его перманентного восстановления, при котором прежние .shf-файлы утрачивают силу. Не путайте её с операционным реконструированием.)


А порядок действий и перепутал именно из стремления зашифровать загрузочный раздел – для этого нужен SmartCard key, который не может быть разделен.

Технически, доступ к системному разделу с кворумом ключей вполне реализуем. Просто, видимо, клиенты PGPCorp не выказывали особой заинтересованности в такой функциональности.

— ZEV1416 (11/03/2010 00:39)   профиль/связь   <#>
комментариев: 5   документов: 1   редакций: 0
Пропал на время, но проблема, как оказалось, решена не до конца.
Оказывается, PGP видит только 1 одновременно вставленный токен. Если воткнуть несколько – видится только первый...
Вторая проблема – после нажатия кнопки Mount, когда PGP переходит в режим объединения Shared ключа, вставка/извленение токенов не "замечаются" окном сбора ключей. Таким образом, в "кворуме ключей" может быть не более одного токена – большее их количество мы просто не сможем показать PGP на этапе mountа... Есть ли решение этой проблемы?

Она же проявляется, если попытаться зашифровать раздел (не контейнер, а именно раздел) с помощью токенов. Нет возможности привязать к контейнеру более 1 токена. И даже после окончания процедуры шифрования нельзя добавить еще один токен, т.к. требуется сначала предьявить тот, которым уже зашифрован контейнер...
— SATtva (11/03/2010 11:28)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Интересно. К сожалению, тут я уже ничего не могу подсказать предметно, т.к. не имею на руках Windows-машины с PGP. Я бы на Вашем месте написал об этой проблеме в PGPCorp. Уж реализовать что-нибудь типа пошагового объединения ключа они вполне могли бы (вставляем токен, расшифровываем первую долю ключа, которая уходит в ОЗУ, убираем первый токен, вставляем другой токен, расшифровываем вторую долю ключа, и т.д.).
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3