Проблема с NitrokeyPro - ZeitControl - gpg-agent - ssh

0

1

Добрый вечер.

Может товарищу майору будет интересно. Мне один друг рассказывал, такую историю:

Как-то на хабре прочитал статью про PGP-SmartCard, подумал - а ведь не дорого и купил парочку карточек. И таможня пропустила и я рад.

Затем, собрал себе из запчастей NitroKey Pro, по ходу оказалось, что это просто карт-ридер. Но таможня запчасти пропустила, прошивку прошил и получил устройство с криптографическим … Карточку пришлось обрезать и запихнуть внутрь nitrokey. В принципе, приходилось уже резать карты после iphone.

Затем прочитал пару статей.

Ключи создал, по лучшим рекомендациям, c под-ключами и сроком действия в 90 дней (привет LetsEncrypt).

Но друг это все делал для того, чтобы не хранить на своем макбуке ключи для ssh-аутентификации. А под убунтой не работает.

Под Windows есть программа «This is a replacement for pagent.exe from Simon Tathams PuTTY-package» by «Dr. Peter Koch». Работает, подключается, проблем нет.

Но под убунтой

ssh-add -l

показывает ключи, но когда пытаешься подключится на сервер ничего не получается. В дебаг соединения смотрел и почему-то ключ отвергается. Вот не знаю в чем может быть причина.

Ссылка

←	А можно перед https proxy Континент TLS поставить nginx?

Как сделать локальные репозитории для всех версий Centos?

→

scdaemon?

mord0d ★★★★★
(20.12.20 15:21:29 MSK)

Ответ на: комментарий от mord0d 20.12.20 15:21:29 MSK

Да я думал, но ведь ssh-add -l, ssh-add -L - видит ключи с карточки, а вот ssh уже не видит. Вернее при команде ssh -vT, я вижу, что ssh видит этот ключ из карты, но почему-то они не принимаются на той стороне.

Nurmukh ★★★
(20.12.20 16:47:33 MSK) автор топика
Последнее исправление: Nurmukh 20.12.20 16:49:51 MSK (всего исправлений: 1)

Ответ на: комментарий от Nurmukh 20.12.20 16:47:33 MSK

я вижу, что ssh видит этот ключ из карты, но почему-то они не принимаются на той стороне.

Я бы на твоём месте начал с включения дебага везде где только возможно. Тут ванговать не особо эффективно.

mord0d ★★★★★
(20.12.20 22:50:11 MSK)

Ссылка

Я, вроде, пробовал на другом токене не через gpg, а как всегда через pcsc-tools и библиотеку-драйвер pkcs#11. Для openssh только закрытый ключ надо было, а вот та виндовая сборка Putty искала закрытый ключ только по сертификату.

~~boowai~~ ★★★★
(20.12.20 23:59:48 MSK)

Ответ на: комментарий от boowai 20.12.20 23:59:48 MSK

Спасибо, скажу другу чтобы подумал об этом.

Nurmukh ★★★
(21.12.20 07:10:25 MSK) автор топика

Ссылка

собрал себе из запчастей … прошивку прошил и получил устройство с …

Что должен знать специалист ИБ на старте (комментарий)

Главное чтобы друг нигде в договорах не указывал о характеристике этого устройства!

Анон ЛОРа одобряет использование любых, в том числе самосборных, средств защиты ключей. Для самосборных средств ответственность за безопасность лежит на том кто их собрал.

anonymous
(21.12.20 09:14:16 MSK)

Ответ на: комментарий от anonymous 21.12.20 09:14:16 MSK

Да я другу сказал, что есть более простой способ, но не слушает.

Nurmukh ★★★
(21.12.20 10:28:11 MSK) автор топика

Ответ на: комментарий от Nurmukh 21.12.20 10:28:11 MSK

Самый простой способ купить готовый девайс: https://www.nitrokey.com

Он прошел независимый аудит безопасности и открыто железо/прошивка.

Может его современников сертифицируют в РФ.

anonymous
(21.12.20 10:35:27 MSK)

Ответ на: комментарий от anonymous 21.12.20 10:35:27 MSK

Добрый день.

вообщем с другом разобрались и ему помогли.

Проблема №1 - ломились не на тот хост, оказывается, там было небольшое обновление по днс-именам и поэтому был облом.

Проблема №2 - оказывается можно и не использовать gpg, чтобы заходить на сервера. Можно через pcscd работать и все будет хорошо.

Решение: В этой статье описываются оба метода - ssh pcscd, gpg + scdaemon, gpg + gpg-agent + with_ssh_support + ssh.

Был выбран вариант первый, так как ключи лучше генерировать и модифицировать на другом надежном узле. На карточку заливать subkeys.

A nitrokey - использовать в ненадежной среде, чтобы не переживать за взлом компьютера и что ssh-rsa ключи куда-то уведут.

На центос7 работает

cat<<EOF | tee .ssh/config
Host enjoyTheSilence
        Hostname X.Y.Z.A
        User monami
        Port 22
        PKCS11Provider /usr/lib64/opensc-pkcs11.so
EOF

slogin enjoyTheSilence

Работает и запрашивает пинкод. Если захотите повторить, то лучше всего закупиться в Китае stm32 за пару долларов и перешивать их. По моему мнению, это самое простое и эффективное решения для небольшой группы программистов, коим мой друг и является.

Nurmukh ★★★
(21.12.20 11:37:34 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	А можно перед https proxy Континент TLS поставить nginx?

Admin

Как сделать локальные репозитории для всех версий Centos?

→

Похожие темы