LINUX.ORG.RU

Какой из этих криптотокенов самый надежный, безопасный, безбэкдорный?

 ,


1

2

http://www.fsij.org/category/gnuk.html Какие есть готовые железяки с ним?

https://blog.danman.eu/2-usb-crypto-token-for-use-with-gpg-and-ssh/ Это Gnuk с кнопкой? Очень хорошо, где бы взять готовый кит, чтобы собрать за недолго?

https://www.nitrokey.com/ На базе GNUK? Почему они до сих пор не сделали кнопку авторизации транзакции?

https://en.wikipedia.org/wiki/OpenPGP_card Есть ли ридер для этой карточки с подтверждением каждой транзакции нажатием кнопки?


Ответ на: комментарий от anonymous

Получается, сейчас всего 2 опенсорс проекта под криптоключи?

OpenPGP card и GNUK?

Без учета старых Yubikey, новые четверки все равно дырявые.

anonymous
()
Ответ на: комментарий от anonymous

Может быть, просто нищебродский вариант спаять типа самотживаемую кнопочку в USB разрыв включить и на время установления например SSH сессии тупо соединять PGP карту с компом, а потом она сама отожмется.

Понятно, что читающие мысли и следящие троянами и ПЭМИ могут успеть свою транзакцию успеть провести одновременно с вами, но ведь это уже очень спортивно получается, надо отслеживать, неудобственно и т.п.

Наверно можно и логи вести проведенных транзакций и смотреть, чтобы там не появлялось лишних непонятных от хз кого.

anonymous
()
Ответ на: комментарий от anonymous

А никто на каком-нибудь ebay экспресс не видел USB шнурочка уже с кнопочкой на временное замыкание разрыва?

dmi
() автор топика
Ответ на: комментарий от anonymous

Та какая-то муть пока непопулярная, сколько софта у Nitrokey и сколько у Libre?

Настоящие секурные штуковины, это те, которые имеют дизайн 90-х типа devuan.org, libreboot и т.п.

Даже coreboot спалился модным дизайном и блобами.

dmi
() автор топика
Ответ на: комментарий от dmi

Nitrokey, кстати, тоже подозрительно смазливый, ну хотя бы в теории он опенсорс и с заливаемыми прошивками, прошивки у него есть в кодах в public?

dmi
() автор топика
Ответ на: комментарий от dmi

Щас все агенства кинутся перделывать свои сайты =)

dmi
() автор топика
Ответ на: комментарий от mord0d

Любой, который не USB.

Можно примеры не USB? Смарткарта в ридере, подключенного по какому интерфейсу?

Чем плох USB кроме утечек по ПЭМИ при наличии кнопки для авторизации транзакций?

dmi
() автор топика
Ответ на: комментарий от dmi

Все равно ключ то не выходит за пределы брелка, какая разница USB или нет?

dmi
() автор топика
Ответ на: комментарий от vasily_pupkin

Кто доверяет хардварной крипте тот лох

почему ?

dmi
() автор топика
Ответ на: комментарий от dmi

Смарткарта в ридере, подключенного по какому интерфейсу? Выбор так-то не велик.

Чем плох USB кроме утечек по ПЭМИ при наличии кнопки для авторизации транзакций?

Он даже без кнопок плох. USB само по себе говно.

Все равно ключ то не выходит за пределы брелка, какая разница USB или нет?

Разницы не было бы, если бы никакая информация за пределы брелка не выходила. Сам ключ ты не сливаешь, но расшифровываемую информацию считать можно.

А самодельный на базе GNUK (разновидность на базе спецификации OpenPGP 2x)?

Оно тоже USB.

mord0d ★★★★★
()
Ответ на: комментарий от mord0d

Он даже без кнопок плох. USB само по себе говно.

Так ведь с кнопкой лучше, чем без кнопки, ибо не дает возможность обращаться к ключам без ведома владельца. Или это троллинг такой (тогда и все сообщение в целом тоже)?

Разницы не было бы, если бы никакая информация за пределы брелка не выходила. Сам ключ ты не сливаешь, но расшифровываемую информацию считать можно.

А какие еще варианты? Когда ключи просто на флэшке - это вообще как с голой опой.

Ну выходит, ну можно что-то вычислить и возможно расшифровать старую сессию? Наверно есть более лучшие решения, но стоят они наверно в десятки и более раз больше?

dmi
() автор топика
Ответ на: комментарий от dmi

Так ведь с кнопкой лучше, чем без кнопки, ибо не дает возможность обращаться к ключам без ведома владельца. Или это троллинг такой (тогда и все сообщение в целом тоже)?

Я не троллю, я пытаюсь донести, что USB в любом виде говно. Пусть ключ у тебя защищён, но информация, которую ты расшифровываешь этим ключом, под угрозой, вне зависимости, как ты её расшифровываешь — по USB есть возможность её получить в процессе передачи.

А какие еще варианты?

Да, собственно, никаких. Об этом я написал в первом комментарии.

Когда ключи просто на флэшке - это вообще как с голой опой.

Если вопрос поставлен так, то USB-токен гораздо лучше.

Ну выходит, ну можно что-то вычислить и возможно расшифровать старую сессию?

По USB можно перехватить поток.

Наверно есть более лучшие решения, но стоят они наверно в десятки и более раз больше?

Дело не только в цене, но и в доступности.

mord0d ★★★★★
()

Если, чтобы пользоваться, то yubikey, если играть в шпионов, то nitrokey - он полностью опенсорсный, жаль, что только приложений под него меньше, равно как и пользовательская база меньше, а значит и поддержка хуже.

Ну и до сих пор нельзя нормально зашифровать диск с nitrokey + пароль, т.к. у них какие-то проблемы с challenge-response.

maverik ★★
()
Ответ на: комментарий от anonymous

1) Хардварное шифрование нравится большим дядям(гугл, АНБ). Встроить туда что надо проще, чем просовывать в попенсурс. Если чё - ошиблись, кто - не знаем.

2) Векторов атак, известных вышеуказанным, но не известных криптосообществу может быть дохрена. В то время как обычношифрование хорошо исследовано, сливы Сноудена не содержали, скажем, ничего нового по этой части.

3) Брелки могут быть без бекдора. Но конкретно твой с. Даже тупо брак, но ты не узнаешь, ПО можно самому собрать, man reproducible builds.

anonymous
()
Ответ на: комментарий от anonymous

Хорошо, согласен, что реализация хардварного токена хромает в том смысле, что очень много уязвимостей типа:

1) Универсальный бэкдор для всех 2) Магазин, курьер и т.п.

Но ведь идея то хороша?

Получается, надо найти железку наименее подверженную атакам, на которую накатить Libreboot + Devuan (без non-free) ?

Что является такой железкой?

anonymous
()
Ответ на: комментарий от anonymous

Есть готовые ноутбучные express card ридеры смарткарт типа: https://www.amazon.com/Gemplus-Expresscard-Smart-Reader-Lenovo/dp/B000HWTMH8#...

Не уверен только, не используют ли они внутри все же USB интерфейс от обычного USB чипа для чтения смарткарт.

dmi
() автор топика
Ответ на: комментарий от dmi

Пожалуйста, поясните про OpenPGP карты последней версии (кажется 3.3):

1) Они ведь могут работать с SSH через gpg агента? https://opennet.ru/tips/info/3048.shtml

2) Использование такого способа аутентификации

  echo 'enable-ssh-support' >> ~/.gnupg/gpg-agent.conf  
более опасно, чем без GPG агента напрямую в OpenSC? При наличии кнопки, наверно без разницы?

3) Сложно ли сделать аппаратный мод, который бы кнопкой отщелкивал что-то от express card ридера, например питание. Ну т.е. пока кнопка нажата, питание есть.

anonymous
()

Какой из этих криптотокенов самый надежный, безопасный, безбэкдорный?

Никакой! В федерацию крипту через границу без разрешения ФСБ не провести, а та что продается в магазинах уже имеет все разрешения. А верить в то, что у них нет доступа к таким продуктам, которые они сертифицировали как то черезчур наивно, скорее даже не наивно а безумно. Самый верный вариант это паять самому, и то из этого вряд-ли получится что-то годное и супер секурное. От маминого хацкера может и защитит, а для всех остальных не спасёт. Да и зачем особо загоняться, если захотят, то сломают любой токен. Термо-ректальным дешифровщиком. Так что ищи открытые проекты и паяй своё решето или покупай готовые с сертифицированными бекдорами. Про заказ в интернете и доставку почтой даже не думай, это статья.

anonymous
()
Ответ на: комментарий от anonymous

в федерацию крипту через границу без разрешения

уже год как можно для личного пользования: http://d-russia.ru/vvoz-elektroniki-v-lichnyh-tselyah-v-eaes-uproshhaetsya-v-yanvare-2018-razreshena-kriptografiya-dlya-lichnogo-polzovaniya.html

Приложение №5. Полный перечень разрешенных шифровальных средств

например

2. Средства электронной цифровой подписи (электронной подписи) на любом носителе.

«ввоз или вывоз физическими лицами в качестве товаров для личного пользования шифровальных (криптографических) средств, включенных в перечень согласно приложению №5, осуществляется без представления таможенному органу государства-члена заключения (разрешительного документа) либо сведений о нотификации»

При этом конкретными моделями не ограничивают!

Про заказ в интернете и доставку почтой даже не думай, это статья

Ты путаешь криптографию с устройствами для негласного получения информации; за крипту и раньше не сажали а просто устройства изымали, а недавно и её разрешили если тип устройства входит в довольно обширный перечень

anonymous
()
Ответ на: комментарий от anonymous

вот тут ещё можно почитать http://certificate.moscow/Главная/Новости

средства электронной цифровой подписи на любых носителях, предназначенные для общедоступного применения и криптографические функции которых недоступны пользователям

anonymous
()
Ответ на: комментарий от anonymous

Зачем нужен USB в данном юзкейсе?

Что, мозги высосали за неуплату кредитов у всех, и никто не осилил ничего, кроме корявого USB?

mord0d ★★★★★
()
Ответ на: комментарий от dmi

короче изучи этот вопрос (см. сообщения выше), честно говоря я особо не вчитывался но если действительно можно то ты можешь взять Flying Stone Tiny FST-01 , может работать как или GNUK или NEUG, а стоит ~$40 в белом корпусе если хорошенько поискать, правда сейчас находится только в термотрубке за $50 https://shop.fsf.org/storage-devices/neug-usb-true-random-number-generator а так и я давно подумываю взять себе, но цена кусается из-за курса и всё откладываю

anonymous
()
Ответ на: комментарий от mord0d

1) в ноут PCI не засунешь, разве что мегакостыльно вместо WiFi адаптера через перходник 2) приходится лепить из того что есть, и можно взять FST-01 и какой-то свободный PCI/PCIe хаб найти

anonymous
()

Купил secalot недавно. Оказалось, что штука совсем бесполезная, потому как кроме домашнего ящика нигде нельзя использовать, потому что требует установки специальных настроек в /etc/usb, а на рабочем десктопе я понятное дело ничего там менять не могу. С андроедом open keychain тоже не работает. А в рекламе звучит всё замечательно.

yvv ★★☆
()
Ответ на: комментарий от anonymous

в ноут PCI не засунешь,

эта штуковина:

https://www.amazon.com/Gemplus-Expresscard-Smart-Reader-Lenovo/dp/B000HWTMH8#...

тоже с USB внутри? PCIexpress->USBController->reader ???

А зачем вообще все эти архитектурные изыски, когда можно просто взять металлическую сетку, поместить внутрь ноут, сетку заземлить.

Кроме того комнату или кабину покрыть специально фольгой и краской, тоже заземлить.

Ну и по особым случаям можно включать глушилку на пару минут, чтобы самому не поджариться на ней.

anonymous
()
Ответ на: комментарий от yvv

А в рекламе звучит всё замечательно.

В первую очередь надо смотреть отзывы на форумах, например:

http://forum.rutoken.ru/ https://dev.rutoken.ru/pages/viewpage.action?pageId=3440675

https://support.nitrokey.com/

или вы просто тролите на раскрутку рутокена ? =)

anonymous
()
Ответ на: комментарий от yvv

По документации FST-01 никаких специфичных настроек не требует, + если надоест как GNUK можешь юзать как NEUG, к тому же одобрен FSF и даже продаётся в их магазине, правда цена кусается - целых $50 ( https://shop.fsf.org/storage-devices/neug-usb-true-random-number-generator ) . я и по $40 не могу купить из-за высокого курса, а тут ещё дороже и без няшного белого корпуса.

anonymous
()
Ответ на: комментарий от anonymous

А причем тут генератор? Ветка про сохранность ключей.

Энтропия ключей конечно тоже важна, но при условии их сохранности.

И потом $50 только за генератор?! Хотя вроде бы на PCI есть и подороже, но то сертифицированное для супер пупер секьюрности.

Уверен, что внутри Rutoken ECP2 https://www.secure-market.ru/product/rutoken-etsp-2-0 ($20-$30) и Nitrokey ($50) тоже хороший генератор случайных чисел. Но кроме генератора в эти токены еще и почти что математику PGP запихать умудрились, ну т.е ассиметричную и симметричную криптографию. Генератор - это такая махонькая но очень важная часть (как и все остальные) всего криптотокена.

Не вы явно топите за Рутокен. Маркетологи рутокена отокуют, астарожна! У них там закладки ФСБ! Но хотя бы от бандитов защита. Можно комбинировать токены ФСБ+Штази - хоть какая никакая защита =)

anonymous
()
Ответ на: комментарий от anonymous

или вы просто тролите на раскрутку рутокена ? =)

Нет, я просто облажался по-моему, и жалуюсь на жизнь. Купило то, что там, кроме gpg, биткой и эфир кошельки, и всё такое.

yvv ★★☆
()
Ответ на: комментарий от anonymous

На Рутокене полный фарш сегодня, насколько я понимаю, только в Rutoken ЭЦП 2.0. Ну и конечно надо брать с кнопкой, чтобы трояны без вашего разрешения ничего не подписывали и не пользовались ключевыми API.

anonymous
()
Ответ на: комментарий от anonymous

А причем тут генератор? Ветка про сохранность ключей.

я же говорю, FST-01 и с ключами работать умеет и это. Тем более что он одобрен в Free Software Foundation и, более того, придуман в FSF Japan! Для меня «швабодафилы» авторитетнее чем всякие «срутокены»

anonymous
()
Ответ на: комментарий от anonymous

Спасибо за точный ответ бро.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.