Аппаратная защита канала

посмотри например на ViPNet. http://www.infotecs.ru/ Когда твое начальство узнает, сколько это стоит, оно передумает. Кажется у них есть возможность использовать аппаратные ключи.

А насчет динамически меняющихся, тут есть непонимание со стороны начальства. Если ключ постоянный, то в ssl-stunnel, тем не менее, на каждую сессию и клиент и сервер всегда генерят на основе своих ключей динамическую составляющую.

Если же ключи полностью динамические на каждую сессию, то пропадает возможность аутентификации по ключам (хотя шифрование при этом тем не менее возможно). Получается, что для аутентификации придется полагаться только лишь на пароль, а это дырища.

Вот прикинь, если у тебя www-https-сервер, то к тебе может подключиться любой клиент с произвольным ключом-сертификатом, и если он знает пароль, вуаля...

А сейчас, если ты знаешь открытый сертификат клиента, ты можешь его аутентифицировать по секретному ключу и открытому сертификату.

можно вот такое: http://www.rsasecurity.com/node.asp?id=1158

при необходимости могу рассказать подробнее.

> Если же ключи полностью динамические на каждую сессию, то пропадает возможность аутентификации по ключам (хотя шифрование при этом тем не менее возможно). Получается, что для аутентификации придется полагаться только лишь на пароль, а это дырища.

вот не надо нам этих песен :)

Невнятная формулировка "аппаратный ключ"
Речь о смарткартах? Есть очень много програмно-аппаратных решений, занимаются ими, например, aladdin.(com|ru) safenet-inc.com
Их usb ключи можно прикрутить к openssl

Алладиновские ключи имеют практически нулевую секьюрити (потому-что она by obscurity там в основном). Только в их рекламе об этом не написано. Можно с таким-же успехом усб брелок с приватными ключами таскать.

В конторе называющейся МУМТ, или попросту BAT, используются брелки, в которых каждые 30 секунд меняются циферки. У каждого сотрудника персональный брелок. Эти циферки они используют в качестве пароля на доступ в сеть. Как это точно называется и кто производитель, я не знаю, но могу поспрашивать.

А подробнее?

Примерно раз в месяц наблюдаю как вылазит очередной "эксперт" с воплем что eToken Pro ломается как сухое печенье.

Только кроме воплей ничего больше...

Так что или давай какие-то подробности или не рассказывай сказок.

Расскажи подробнее. Какой ключ должен динамически меняться?

В тех продуктах где есть сеансовый ключ он и так меняется постоянно.

> Алладиновские ключи имеют практически нулевую секьюрити (потому-что она by obscurity там в основном). Только в их рекламе об этом не написано. Можно с таким-же успехом усб брелок с приватными ключами таскать.

вообще не понял мысль.
что значит в основном?
любые приватные ключи как бы потому и называются приватными, чтобы оставаться в неизвестности, не важно, где они лежат и как выглядят
а аладдиновские етокены это и есть усб брелки.

> Эти циферки они используют в качестве пароля на доступ в сеть. Как это точно называется и кто производитель, я не знаю, но могу поспрашивать.

это как раз и называется RSA SecurID

www.vasco.com это называется OTP подешевле чем RSA будет.

Журнал Byte 7-8 номер, в нем статья про OTP,
с описанием механизмов работы, преимущиства и недостатки.

OTP - это устройства one time password, есть OTP от RSA SecurID есть OTP от eToken NG-OTP, есть и от других производителей.