LINUX.ORG.RU

Более сильный аппаратный крипто на одноплатнике?

 , ,


0

2

Пожалуйста, подскажите, есть ли проекты, которые реализуют почти то же самое, что находится внутри Nitrokey PRO 3, Rutoken ECP3 и т.п. но с более сильными шифрами, с максимально длинными ключами, которые вообще в принципе хотя бы совместимы с протоколом PKCS11?

Нет необходимости защищать ключи одноплатника от физического доступа, когда они, например, находятся в его оперативке, потому что во включённом состоянии одноплатник бывает только при защищённом периметре помещения. А в выключенном состоянии более сильные ключи могут быть зашифрованы более слабыми ключами обычных популярных USB токенов типа Nitrokey.

Workstation обращается за криптооперацией для SSH -> по PKCS11 -> к dedicated ключевому одноплатнику с минимальной осью, например, Unikernel, а тот в свою очередь, при первом или каждом обращении уже обращается, например, -> к FIDO2 токену с кнопкой подтверждения транзакции для кратковременного вскрытия локального длинного квантовостойкого ключа.

Есть что-то подобное готовое? Может быть, для OpenBSD или лайтового Linux, в идеале наверно Unikernel?

Workstation, наверно, общался бы с таким одноплатником по USB или Ethernet в качестве физического канала, поверх которого бы работал PKCS11?



Последнее исправление: sanyo1234 (всего исправлений: 2)
Ответ на: комментарий от ValdikSS

То, что вы ищете, называется TPM.

Безопасность TPM вызывает вопросы даже по сравнению с Nitrokey PRO 2/3, возможно не считая шины обмена данными.

Современные TPM кстати по какой шине общаются с системой?

И очень сомневаюсь, чтобы в TPM были более современные криптоалгоритмы. Open-source прошивок TPM ведь наверно не бывает?

Пока не вижу ни одного преимущества по сравнению с Nitrokey.

sanyo1234
() автор топика
Ответ на: комментарий от sanyo1234

Эмулятор должен быть выполнен в виде Unikernel типа Embox либо на оси типа Kry10 на одном из наиболее открытых одноплатников ARMv7, например, типа BBB самых старых релизов 5+ летней давности.

https://www.opennet.ru/opennews/art.shtml?num=60071

Компания Google представила программно-аппаратный комплекс Open Se Cura, ориентированный на упрощение создания защищённых чипов, предназначенных для решения задач, связанных с машинным обучением и искусственным интеллектом. Проект включает в себя операционную систему CantripOS и аппаратное обеспечение, основанное на платформе OpenTitan и процессорном ядре на базе архитектуры RISC-V. В ходе разработки Open Se Cura и CantripOS развивались под именами Sparrow и KataOS, но для исключения пересечения с другими проектами финальные продукты были переименованы. Наработки проекта, включая исходные тексты системных сервисов и RTL-схемы (Register Transfer Level), распространяются под лицензией Apache 2.0.

Операционная система CantripOS базируется на микроядре seL4, поверх которого выполняется системное окружение, написанное на языке Rust. На системах RISC-V для микроядра seL4 предоставлено математическое доказательство надёжности, свидетельствующее о полном соответствии кода спецификациям, заданным на формальном языке. Архитектура seL4 примечательна выносом частей для управления ресурсами ядра в пространство пользователя и применения для таких ресурсов тех же средств разграничения доступа, что и для пользовательских ресурсов. 
sanyo1234
() автор топика