История изменений
Исправление token_polyak, (текущая версия) :
Криптографический токен - устройство на USB (плюс, иногда, NFC или Bluetooth), на котором хранятся ключи. Если сделан по уму, то с шифрованной флешкой и ОЗУ, а если производитель вообще заморочился, то на процессоре с особо запутанным кремнием, который плохо поддаётся реверс-инжинирингу, как в смарткартах. Всё для того, чтоб ключи были неизвлекаемыми.
В случае OTP ключь симметричен, с использованием ключа и текущего времени (если TOTP) считается HMAC, из которого получается одноразовый пароль.
В случае WebAuthn на токене пара ключей ECDSA, удалённый сервер просит подписать некое сообщение с их помощью, токен услужно подписывает, пользователя пускают.
Ну а про пару ключей на смарткарте (токене) как на OpenPGP Card всё и так понятно.
Итого: юзер заходит в какой-нибудь веб-интерфейс либо подключается куда-то через SSH, его просят залогиниться ключом, юзер указывает PIN от токена либо нажимает кнопку на нём (либо и то, и другое) - вуаля, он залогинен. И подделать всё это практически нельзя. За исключением громких факапов.
Исправление token_polyak, :
Криптографический токен - устройство на USB (плюс, иногда, NFC или Bluetooth), на котором хранятся ключи. Если сделан по уму, то с шифрованной флешкой и ОЗУ, а если производитель вообще заморочился, то на процессоре с особо запутанным кремнием, который плохо поддаётся реверс-инжинирингу, как в смарткартах. Всё для того, чтоб ключи были неизвлекаемыми.
В случае OTP ключь симметричен, с использованием ключа и текущего времени (если TOTP) считается HMAC, из которого получается одноразовый пароль.
В случае WebAuthn на токене пара ключей ECDSA, удалённый сервер просит подписать некое сообщение с их помощью, токен услужно подписывает, пользователя пускают.
Ну а про пару ключей на смарткарте (токене) как на OpenPGP Card всё и так понятно.
Итого: юзер заходит в какой-нибудь веб-интерфейс либо подключается куда-то через SSH, его просят залогиниться ключом, юзер указывает PIN от токена либо нажимает кнопку на нём (либо и то, и другое) - вуаля, он залогинен. И подделать всё это практически нельзя. Кроме громких факапов.
Исправление token_polyak, :
Криптографический токен - устройство на USB (плюс, иногда, NFC или Bluetooth), на котором хранятся ключи. Если сделан по уму, то с шифрованной флешкой и ОЗУ, а если производитель вообще заморочился, то на процессоре с особо запутанным кремнием, который плохо поддаётся реверс-инжинирингу, как в смарткартах. Всё для того, чтоб ключи были неизвлекаемыми.
В случае OTP ключь симметричен, с использованием ключа и текущего времени (если TOTP) считается HMAC, из которого получается одноразовый пароль.
В случае WebAuthn на токене пара ключей ECDSA, удалённый сервер просит подписать некое сообщение с их помощью, токен услужно подписывает, пользователя пускают.
Ну а про пару ключей на смарткарте (токене) как на OpenPGP Card всё и так понятно.
Итого: юзер заходит в какой-нибудь веб-интерфейс либо подключается куда-то через SSH, его просят залогиниться ключом, юзер указывает PIN от токена либо нажимает кнопку на нём (либо и то, и другое) - вуаля, он залогинен. И подделать всё это практически нельзя. Кроме громких факапов.
Исправление token_polyak, :
Криптографический токен - устройство на USB (плюс, иногда, NFC или Bluetooth), на котором хранятся ключи. Если сделан по уму, то с шифрованной флешкой и ОЗУ, а если производитель вообще заморочился, то на процессоре с особо запутанным кремнием, который плохо поддаётся реверс-инжинирингу, как в смарткартах. Всё для того, чтоб ключи были неизвлекаемыми.
В случае OTP ключь симметричен, с использованием ключа и текущего времени (если TOTP) считается HMAC, из которого получается одноразовый пароль.
В случае WebAuthn на токене пара ключей ECDSA, удалённый сервер просит подписать некое сообщение с их помощью, токен услужно подписывает, пользователя пускают.
Ну а про пару ключей на смарткарте (токене) как на OpenPGP Card всё и так понятно.
Итого: юзер заходит в какой-нибудь веб-интерфейс либо подключается куда-то через SSH, его просят залогиниться ключом, юзер указывает PIN от токена либо нажимает кнопку на нём (либо и то, и другое) - вуаля, он залогинен. И подделать всё это практически нельзя.
Исправление token_polyak, :
Криптографический токен - устройство на USB (плюс, иногда, NFC или Bluetooth), на котором хранятся ключи. Если сделан по уму, то с шифрованной флешкой и ОЗУ, а если производитель вообще заморочился, то на процессоре с особо запутанным кремнием, который плохо поддаётся реверс-инжинирингу, как в смарткартах. Всё для того, чтоб ключи были неизвлекаемыми.
В случае OTP ключь симметричен, с использованием ключа и текущего времени (если TOTP) считается HMAC, из которого получается одноразовый пароль.
В случае WebAuthn на токене пара ключей ECDSA, удалённый сервер просит подписать некое сообщение с их помощью, токен услужно подписывает, пользователя пускают.
Ну а про пару ключей на смарткарте (токене) как на OpenPGP Card всё и так понятно.
Итого: юзер заходит в какой-нибудь веб-интерфейс либо подключается куда-то через SSH, его просят залогиниться ключом, юзер указывает PIN от токена либо нажимает кнопку на нём (либо и то, и другое) - вуаля, он залогинен. Плюс сделано всё возможное, чтоб скопировать ключи было нельзя.
Исправление token_polyak, :
Криптографический токен - устройство на USB (плюс, иногда, NFC или Bluetooth), на котором хранятся ключи. Если сделан по уму, то с шифрованной флешкой и ОЗУ, а если производитель вообще заморочился, то на процессоре с особо запутанным кремнием, который плохо поддаётся реверс-инжинирингу, как в смарткартах. Всё для того, чтоб ключи были неизвлекаемыми.
В случае OTP ключь симметричен, с использованием ключа и текущего времени (если TOTP) считается HMAC, из которого получается одноразовый пароль.
В случае WebAuthn на токене пара ключей ECDSA, удалённый сервер просит подписать некое сообщение с их помощью, токен услужно подписывает, пользователя пускают.
Ну а про пару ключей на смарткарте (токене) как на OpenPGP Card всё и так понятно.
Итого: юзер заходит в какой-нибудь веб-интерфейс либо подключается куда-то через SSH, его просят залогиниться ключом, юзер указывает PIN от токена либо нажимает кнопку на нём (либо и то, и другое) - вуаля, он залогинен.
Исправление token_polyak, :
Криптографический токен - устройство на USB (плюс, иногда, NFC или Bluetooth), на котором хранятся ключи. Если сделан по уму, то с шифрованной флешкой и ОЗУ, а если производитель вообще заморочился, то на процессоре с особо запутанным кремнием, который плохо поддаётся реверс-инжинирингу, как в смарткартах. Всё для того, чтоб ключи были неизвлекаемыми.
В случае OTP ключь симметричен, с использованием ключа и текущего времени (если TOTP) считается HMAC, из которого получается одноразовый пароль.
В случае WebAuthn на токене пара ключей ECDSA, удалённый сервер просит подписать некое сообщение с их помощью, токен услужно подписывает, пользователя пускают.
Ну а про пару ключей на смарткарте (токене) как на OpenPGP Card всё и так понятно.
Исходная версия token_polyak, :
Криптографический токен - устройство на USB (плюс, иногда, NFC или Bluetooth), на котором хранятся ключи. Если сделан по уму, то с шифрованной флешкой и ОЗУ, а если производитель вообще заморочился, то на процессоре с особо запутанным кремнием, который плохо поддаётся реверс-инжинирингу, как в смарткартах. Всё для того, чтоб ключи были неизвлекаемыми.
В случае OTP, то ключь симметричен, с использованием ключа и времени (если TOTP) считается HMAC, из которого получается одноразовый пароль.
В случае WebAuthn на токене пара ключей ECDSA, удалённый сервер просит подписать некое сообщение с их помощью, токен услужно подписывает, пользователя пускают.
Ну а про пару ключей на смарткарте (токене) как на OpenPGP Card всё и так понятно.