LINUX.ORG.RU

ПО для eToken под Linux


0

0

Российская компания Aladdin обеспечила возможность поддержки модельным рядом eToken операционных систем Linux.

Благодаря выпуску программного обеспечения промежуточного слоя все электронные ключи и смарт-карты eToken, включая продукты eToken PRO 64K и eToken NG-OTP cо встроенным генератором одноразовых паролей, могут быть использованы в ОС Linux для аутентификации пользователей при входе в систему, ЭЦП и шифрования электронной почты, аутентификации пользователей при доступе по SSL-соединению к защищенным веб-сайтам и др.

ПО версии 3.60 поддерживает следующие версии ОС Linux: SuSE Linux 9.3; Red Hat Enterprise Linux 4; Fedore Core 4.

Модули поддержки eToken под ОС Linux в ближайшее время будут доступны для загрузки с сайта Aladdin на бесплатной основе.

>>> Подробности

★★★

Проверено: Shaman007 ()

УРА !!!! Молодцы
наконецто!

Niki
()

Ага, только если это ПО опять будет основано на pcsc-lite 1.2.0 то ф топпку нах такое ПО. Буду продолжать использовать opensc/ccid/openct/pcsc-lite-1.2.9-beta9 (и rdesktop до кучи - с одним интересным патчиком он умеет ключик мепить для винды)

anonymous
()

Атстой их ПО.

anonymous
()
Ответ на: комментарий от Sun-ch

Меня смущает, что во всех формах заказа, что я видел подразумевается заказ для организаций. Собственно, я уже послал вопрос нашему Новосибирскому дистрибьютору. Посмотрим, что они ответят.

WFrag ★★★★
()

Что-то на сайте только бинарники библиотек лежат. Нафиг нужно такое поделие, которое привязано версии дистрибутива.

SVpcom
()
Ответ на: комментарий от geekkoo

А причем тут Керберос? Это совершенно разные вещи. Керберос - это пртокол проверки твоей идентити, а smartcard/брелок, собственно, и является твоей идентити.

WFrag ★★★★
()
Ответ на: комментарий от WFrag

Ну, я к примеру, свой Керберос-тикет скинул на флешку и пихаю потом её во все компьютеры. При входе только указываю, что мой тикет лежит на /mnt/flash_a/файл-такой-то. И привет. Вот у меня такой-вот самопальный брелок.

geekkoo
()
Ответ на: комментарий от Sun-ch

> А что online его купить нельзя?

Онлайн только запрос посылается и они тебя скидывают своему локальному дилеру. Мне вот, правда, уже третий месяц ничего не отвечают.

AngryElf ★★★★★
()
Ответ на: комментарий от SVpcom

>>Что-то на сайте только бинарники библиотек лежат. Нафиг нужно такое поделие, которое привязано версии дистрибутива.

Сурсов не дадут - в топку. Юзать секурный софт без сурсов некошерно.

anonymous
()
Ответ на: комментарий от geekkoo

> Чмод семь-сорок?

а откуда знать, что на машине, куда ты свой "чудо-брелок" пихаеш, уже не сидят турецкие хакеры? зато с еТокена сертификат никогда не выходит наружу, он тока в нем и живет

anonymous
()
Ответ на: комментарий от anonymous

>>>зато с еТокена сертификат никогда не выходит наружу, он тока в нем и живет

Мистика. Заклятие бурятских лам, не иначе.

geekkoo
()
Ответ на: комментарий от geekkoo

>Мистика. Заклятие бурятских лам, не иначе.

Ты спецификации-то посмотри на брелки.Они сами все шифровать умеют, в этом-то и фишка. eToken PRO как минимум умеет RSA, DSA, 3-DSA, хэш SHA-1.

А насчет тикета. Тикет - это разве не то, что выдается уже после аутентикации? Это ж временный идентити, даваемый на время пользования ресурсом.

А брелок - это постоянный. Как паспорт, например. Можешь им почту шифровать, архивы подписывать, по ssh удаленно логиниться. И при всем при этом ты свои приватные ключи вообще не светишь никак. Они генерятся на брелке и никогда его не покидают.

WFrag ★★★★
()
Ответ на: комментарий от anonymous

вобщето ключик моно вытащить например средствами криптопро... (скопировать сертификат и все дела)...

anonymous
()
Ответ на: комментарий от anonymous

Утверждается, что приватный ключ с брелка не выташить.

Конечно, чисто теоретически это возможно. Расковырять чип, поставить датчики, снять показания. Но реально это гораздо сложнее, чем просто стырить ключ с флешки или поймать его в памяти машины (в момент подписи/шифрования).

WFrag ★★★★
()
Ответ на: комментарий от WFrag

>>>Это ж временный идентити, даваемый на время пользования ресурсом.

Могу посоветовать только посмотреть спецификации Керберос. Супер билет ограничен по времени (год вас устроит?). Насчёт постоянного брелка - либо мистика, либо наёбка. Компьютеры сейчас мощные, за год это брелок на каком-нибудь супер-кластере за-брют-форсить могут. Поэтому-то пароли и советуют менять время от времени.

>>>Они генерятся на брелке и никогда его не покидают.

И даже проуессор совсем-совсем ничего про них не знает?

geekkoo
()
Ответ на: комментарий от geekkoo

>И даже проуессор совсем-совсем ничего про них не знает?

По идее, совсем-совсем ничего не должен знать.
Проц дает дату на вход ключа, а на выходе получает уже зашифрованную. Ну и наоборот.

R00T
()
Ответ на: комментарий от geekkoo

>Могу посоветовать только посмотреть спецификации Керберос. Супер билет ограничен по времени (год вас устроит?). Насчёт постоянного брелка - либо мистика, либо наёбка. Компьютеры сейчас мощные, за год это брелок на каком-нибудь супер-кластере за-брют-форсить могут. Поэтому-то пароли и советуют менять время от времени.

Там ключ длиной до 2048 (RSA). Который (насколько мне известно) до сих пор "вскрыть" нереально (практически).

Конечно, если у тебя отберут брелок, да еще и PIN код вызнают прикладывая утюг к пузу, тебе это не поможет. Решает всегда слабое звено.

Однако если хранить на флешке, то достаточно просто незаметно взять и прочитать флешку. Или имея доступ рута на машине куда ты ее втыкаешь просто прочитать этот тикет. Или на USB повесить подслушивающее устройство. То есть гораздо проще. Другое дело, что тут как в анекдоте про неуловимого Джо :)

>И даже проуессор совсем-совсем ничего про них не знает?

Совсем-совсем. На брелке свой процессор (совмещенный с памятью, насколько я понимаю), только он имеет доступ к секретной информации.

Вот, почитай про архитектуру: http://www.aladdin.ru/ufiles/28_5product_PDF.PDF

WFrag ★★★★
()
Ответ на: комментарий от WFrag

>Совсем-совсем.

Ну, это, конечно, идеал. Имея на исходные данные, зашифрованные данные и публичный ключ ты, конечно, имеешь некоторую информацию о закрытомключе. Однако совершенно недостаточную чтобы восстановить этот ключ или выполнить операцию, где этот ключ требуется.

P.S. Конечно, все это основывается на предположении криптостойкости RSA. Если завтра вдруг обнаружится алгоритм позволяющий легко восстанавливать ключ по доступным данным (например, по открытому ключу), то можно будет этот брелок смело выкидывать.

WFrag ★★★★
()

"Российская компания " ?????? Israel made

alick
()
Ответ на: комментарий от WFrag

>Совсем-совсем.

>Ну, это, конечно, идеал. Имея на исходные данные, зашифрованные данные >и публичный ключ ты, конечно, имеешь некоторую информацию о >закрытомключе.

Под исходными данными имеется в виду сессионный симметричный ключ или реальные зашифровываемые данные?

anonymous
()
Ответ на: комментарий от anonymous

>Под исходными данными имеется в виду сессионный симметричный ключ или реальные зашифровываемые данные?

Реальные зашифровываемые данные.

WFrag ★★★★
()

Софт имеющий отношение к безопасности без исходников?!
Да они просто рехнулись!
Я как нибудь проживу без их подялия с троянами в драйверах...

anonymous
()
Ответ на: комментарий от WFrag

> Говорят, OpenSC с этим брелоком работает.

Ваш покорный слуга писал две статьи в "Системный администратор" по етокенам от аладдин, номера за декабрь 2004 и март 2005. Там есть всё, от логина локально, удалённо, до шифрования ~/home на флэшке.

В самих статьях есть подводные камни, оставил на случай для отмазы, если Управление "Р" или "К" совершит наезд за юзание неодобренных криптоалгоритмов сами знаете где. Камни - небезопасное создание ключей-сертификатов в 1-й статье и проблема временных файлов во второй. Те, кто шарит, те знают, что rm -f filename есть альтернативы :) Да и filename можно хранить в ОЗУ, а не на винче, как предложил я во 2-й статье. Полтора года всё работает БЕЗ ПО от Aladdin

anonymous
()
Ответ на: комментарий от anonymous

> В самих статьях есть подводные камни, оставил на случай для отмазы, если Управление "Р" или "К" совершит наезд

мда... своя шкура, конечно, ближе к делу, но с таким трусом я бы даже на один гектар срать не сел.

anonymous
()
Ответ на: комментарий от anonymous

> мда... своя шкура, конечно, ближе к делу, но с таким трусом я бы даже на один гектар срать не сел.

Напиши сперва статью в "СА" на щепетильную для "органов" тему, пообщайся с редактором насчёт правовых вопросов, и отслужи срочку в ВДВ, прежде чем так блажить на незнакомого тебе человека.

anonymous
()
Ответ на: комментарий от anonymous

>Ваш покорный слуга писал две статьи в "Системный администратор" по етокенам от аладдин, номера за декабрь 2004 и март 2005. Там есть всё, от логина локально, удалённо, до шифрования ~/home на флэшке.

Отлично. То, что нужно. Вот сейчас GMail заработает, я как раз заказ на eToken отправлю... :)

>В самих статьях есть подводные камни, оставил на случай для отмазы, если Управление "Р" или "К" совершит наезд за юзание неодобренных криптоалгоритмов сами знаете где. [...]

Что-то я не понял, в чем тут отмаза и каким образом... :)

WFrag ★★★★
()
Ответ на: комментарий от WFrag

> Что-то я не понял, в чем тут отмаза и каким образом... :)

Есть контора одна, ГосТехКомиссия, они в праве разрешать/запрещать использование различных криптоалгоритмов на территории РФ. Те криптоалгоритмы, что в статье, не сертифицированы в ГТК. Если ко мне, как к автору, вылезла бы претензия за обучение c00lx4x0r'ов надёжному сокрытию хранимых на носителях данных, у меня была бы отмазка. Пришлось бы обучать "спецЫалистов" из "органов" читать меж строк и не мотать срок (стихами заговорил :) )

anonymous
()
Ответ на: комментарий от anonymous

Александр, а вы свои статьи в сеть не выкладываете? СА разрешает же публиковать их спустя 2 месяца после выхода журнала, так что от издательства претензий не будет. А то старые номера фиг где найдешь.

geekkoo
()
Ответ на: комментарий от MrKooll

>eToken PRO 64K не работает.

Оп-па. А я уже его заказал :) Ну, будет повод поковыряться... Вроде как этот eToken стандарты держит, должен, значит, как-то работать.

WFrag ★★★★
()
Ответ на: комментарий от anonymous

>Есть контора одна, ГосТехКомиссия, они в праве разрешать/запрещать использование различных криптоалгоритмов на территории РФ

Нет такого. ГосТехКомиссия может запретить только использование несертифицированных криптосредств гос. учреждениями и прочими предприятиями обрабатывающими информацию соотв. уровня секретности. Мне как домашнему пользователю они не могут указать какой алгоритм юзать, а какой нет

anonymous
()
Ответ на: комментарий от anonymous

> Если ко мне, как к автору, вылезла бы претензия за обучение c00lx4x0r'ов надёжному сокрытию хранимых на носителях данных...

Если бы ты, ссыкун, хоть чуть-чуть знал законы, то не вводил бы ни в чем не повинных людей в заблуждение - таки статьи с намеренными ошибками гораздо хуже, чем ничего.
Верни гонорар журналу и удавиь от страха в сортире пока за тобой фсб не пришло, трус!

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.