LINUX.ORG.RU
решено ФорумAdmin

Безопасная авторизация по usb флешке

 


0

1

Господа, всем доброго времени суток.

Подскажите параноику, как сделать БЕЗОПАСНУЮ авторизацию по флешке? Что бы в режиме запроса логина и пароля (GUI) можно было вставить флешку и ничего более не нажимая логинился юзер. А при вынимании происходило либо завершение сеанса, либо блокировка.

Про pam_usb знаю, мало того, что его в современных репах нет, так там IMHO беда с безопасностью /etc/pamusb.conf например: 

<device id="my-usb-stick">
 <vendor>
  Verbatim
 </vendor>
 <model>
  STORE N GO
 </model>
 <serial>
  Verbatim_STORE_N_GO_07A10D0894492625-0:0
 </serial>
 <volume_uuid>
  A842-0654
 </volume_uuid>
</device>
При доступе к физическому железу это вообще шляпа.

Может есть защищённый метод? Сгенерированный ключ на флешку записать может, usb token купить или ещё как.

Заранее спасибо за ответы.

SQUID не фильтрует HTTPS
Как изменить places в thunar?
Ответ на: комментарий от XMs

Вариант в принципе, но ключи придётся покупать. Сначала хочется что-то без вложений, обычных флешек для этого пара горстей есть. Ну например аналог ssh авторизации по ключу, но только для GUI. Можно даже пользователя ввести.

Dimarius
() автор топика
Ответ на: комментарий от anonymous

нет, нужен не экспортируемый ключ на токене

anonymous
()
Ответ на: комментарий от anonymous

Надо аудиты публичне искать, Side Channel Attacks никто не отменял. Но от любопытного Васяна за соседним столом может помочь.

Deleted
()
Ответ на: комментарий от voltmod

В идеале токен - принято. А если проигнорировать безопасность «копируемости» и записать на флешку закрытый ключ?

Dimarius
() автор топика

Возьми алладиновский или yubikey токен. На крайняк, если уж ты совсем параноик, где-то видел опенсорсную реализацию под blue pill.

Безопасно с флешкой ты никак не сделаешь.

Dark_SavanT ★★★★★
()
Ответ на: комментарий от Dark_SavanT

Появилась идея ))

1) На флешке делаем шифрованный ключом №1 раздел, на этот раздел записываем ключ №2

2) На компе делаем шифрованный ключом №2 раздел, а ключ №1 закидываем в скрипт автоматики

В результате: при подключении флешки (скриптом) дешифруем в авторежиме флешку, а далее ключом с флешки открывается раздел тоже автоматом и логиним юзера.

При вынимании флешки размонтируем шифрованный раздел на харде и делогин юзера. В результате вроде как и флешка без компа бесполезна и комп без флешки. Мож прокатит? ))

Dimarius
() автор топика

Подскажите параноику, как сделать БЕЗОПАСНУЮ авторизацию по флешке?

Никак. Тебе нужен токен.

anonymous
()
Ответ на: комментарий от Dimarius

Это терпимо, шифрованную часть читай сколько хочешь ))

А с переносом шифрованного раздела на другую флешку как быть?

Как я понимаю токен это такая разновидность ардуины, которой посылают зашифрованную случайную последовательность и смотрят как она её расшифровала.
При этом в отличии от ардуины содержимое токена прочитать нельзя.
(Изардуины можно вытащить sd карту и скопировать её на другую ардуину. Хотя что мешает ардуину залить эпоксидкой и подключать не по usb, а к com порту ПК через gpio ардуны.

torvn77 ★★★★★
()
Последнее исправление: torvn77 (всего исправлений: 2)
Ответ на: комментарий от torvn77

А с переносом шифрованного раздела на другую флешку как быть?
содержимое токена прочитать нельзя

Скопировать раздел посекторно (вне зависимости что там внутри) это разве проблема?

Во, а как сделать резервную копию токена? Судя по всему никак: нагибается токен медным тазом и все данные им зашифрованные тоже тютю, а хранить резервные копии без шифрования ещё та дыра.

Dimarius
() автор топика
Ответ на: комментарий от Dimarius

Где то под семью замками и в пяти сейфах лежит залитый в токен ключь.

torvn77 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
SQUID не фильтрует HTTPS
Admin
Как изменить places в thunar?