(2020-09-10 21:36:53 отредактировано sanyo)

Отличие смарткарт ЭЦП 2 разного производства - совместимость с PKCS11

Добрый день,

Чем отличаются смарт карты:

https://www.rutoken.ru/products/catalogue/id_49.html

и

https://www.rutoken.ru/products/catalogue/id_50.html


Обе карты работают одинаково?

Re: Отличие смарткарт ЭЦП 2 разного производства - совместимость с PKCS11

Здравствуйте.

Функционально и в частности в плане работы через PKCS#11 - они одинаковые.
Сравнение характеристик смарт-карт приведено на нашем портале документации - https://dev.rutoken.ru/x/BIBy
Также обратите внимание на скоростные показатели обоих устройств в их описаниях на нашем сайте (вкладка "Характеристики" → раздел "Аппаратные криптографические операции").

(2020-07-22 23:16:37 отредактировано sanyo)

Re: Отличие смарткарт ЭЦП 2 разного производства - совместимость с PKCS11

А какие отличия ваших Рутокенов от смарткарты:

https://multisoft.ru/zashchita-informat … y-k-angara

в плане работы в Linux?

Ангара, наверно, вообще не подходит для SSH и возможно подходит только для некоторых программ, поддерживающих ГОСТовые алгоритмы через SSL?

UPDATE: По словам КриптоПРО Ангара не поддерживается в КриптоПРО :(

(2020-07-22 22:47:35 отредактировано sanyo)

Re: Отличие смарткарт ЭЦП 2 разного производства - совместимость с PKCS11

В описании токенов JaCarta в сравнении:

https://www.anti-malware.ru/compare/har … omparision

упоминается следующее:

Активная аппаратная защита от чтения областей RАM, EEPROM, ROM; применение дополнительных промежуточных слоев металлизации; перемешивание структуры функциональных блоков микроконтроллера, размещение отдельных блоков внутри чипа и между его слоями; усовершенствованные датчики безопасности; контроль тактовой частоты, температуры, напряжения питания; датчики света; активное экранирование; фильтр на входе для защиты от скачков; включение и выключение сброса; блок управления памятью; возможность отключения чтения ROM; возможность отключения выполнения кода, записанного в RAM; система защиты от накопления статистических данных по времени выполнения команд и энергопотреблению; специализированные механизмы противодействия атакам простого анализа энергопотребления; специализированные механизмы противодействия атакам дифференциального анализа энергопотребления

+ наверно самые современные закладки Моссад :)

Есть ли подобная защита в чипах ваших смарткарт Рутокен ЭЦП2 или хотя бы USB токенов Рутокен ЭЦП2 желательно без закладок?


Поддержка Nitrokey HSM2 утверждает, что у них встроена защита от утечки по побочным каналам emanation, есть ли в ваших смарткартах или USB токенах подобная защита?

(2020-07-23 09:40:28 отредактировано sanyo)

Re: Отличие смарткарт ЭЦП 2 разного производства - совместимость с PKCS11

ESMART® Token ГОСТ — совместная разработка зеленоградских компаний ПАО «Микрон» и ISBC Group.
   Разработка и производство микросхемы MIK51 (Микрон) в России гарантируют отсутствие аппаратных «закладок».
    Защищенный контроллер, встроенный в ESMART® Token ГОСТ, обеспечивает защиту от атак вида SPA, DPA, DFA. Наличие датчиков вскрытия, света, импульсной помехи, напряжения, температуры, а также аппаратный контроль целостности и возможность быстрого стирания EEPROM надежно защищают ключевую информацию от попыток вскрытия чипа и несанкционированного доступа.
    При помощи интерфейсов PKCS#11 и Minidriver, разработанных специалистами Группы компаний ISBC, идентификатор ESMART® Token ГОСТ (как в формате смарт-карты, так и USB-токена) может быть легко совмещен с решениями, использующими инфраструктуру открытых ключей (PKI).

У вашего Рутокен 2151 есть все те же самые защиты и преимущества, ведь чип, наверно, одинаковый?

Есть ли какие-либо другие модели других производителей на базе MIK51 кроме Рутокен и ESMART?
Хотя RSA 2048 - вчерашний день, а увеличение длины ключа RSA почти не дает прироста безопасности.


В характеристиках ESMART Token ГОСТ указана поддержка алгоритмов (среди прочих):

RSA-2048, ECDSA-256
Triple DES, AES-256
SHA-256, SHA-224, SHA-384, SHA-512
VKO GOST R 34.10-2012

У вашего Рутокен из них только RSA-2048, AES и VKO GOST R 34.10-2012 ?
Почему нет ECDSA?

Мне кажется, для безопасности аутентификации OpenSSH имеет смысл попробовать ваш Рутокен 2151 и ESMART?  Есть ли поддержка Рутокен 2151, ESMART и JaCarta ГОСТ 2 в SafeTouch PRO?

JaCarta почему-то не внушает доверия большой вероятностью наличия закладок для своих, хотя похоже, у них самый технологичный и защищенный чип от атак третьих лиц?

Интересно, ECDSA-256 в ESMART поддерживается для OpenSSH?

(2020-07-23 01:00:55 отредактировано sanyo)

Re: Отличие смарткарт ЭЦП 2 разного производства - совместимость с PKCS11

Нашел подробное сравнение аппаратных токенов:
https://www.securitylab.ru/blog/persona … 318701.php
https://www.slideshare.net/zlonov/gost-tokens/

Копия:
https://anonfiles.com/raC882H8of/gost-t … 145726_pdf

К сожалению не самое свежее сравнение, ему уже 3 года.

Кстати, если верить этому сравнению, про Рутокен ЭЦП2 там:

защищенный 32-разрядный микроконтроллер
архитектуры ARM7 со встроенной энергонезависимой
памятью

, то у вас Рутокен ЭЦП2 на базе обычного микроконтроллера ARM уровня защищенности как Nitrokey Start (самый минимальный)? Я думал хотя бы на базе банковского чипа смарткарты, как у Nitrokey PRO. Это про MIK51?


А у Aladdin даже еще в прошлом поколении ГОСТ 1 (сейчас у них уже новые токены ГОСТ 2):

Защищённый смарт-карточный чип AT90SC28880RCV,
имеющий специальную сертифицированную защиту и на
аппаратном, и на программном уровне

Вот думаю, что хакеры навряд ли взломают и Рутокен, а иностранным спецслужбам будет намного легче залезть в Аладдиновский токен через свои бэкдоры удаленно прямо на компе пользователя, подключенном к интернет, чем если бы использовался Рутокен или ESMART на базе Micron?

Вообщем с true безопасностью все как-то печально (как обычно) для любого известного мне варианта.

Недорогих HSM модулей хотя бы с RSA 8192 на потребительском рынке РФ не наблюдается :(
Можно конечно взять на ebay что-то на вторичке, но есть вероятность несовместимости и масса других векторов атак (в т.ч. бэкдоры), которые к длине ключа отношения не имеют.

(2020-07-23 10:33:07 отредактировано sanyo)

Re: Отличие смарткарт ЭЦП 2 разного производства - совместимость с PKCS11

Удивительно, но судя по спецификации удалось найти смарткарту с поддержкой алгоритмов RSA 4096:
https://esmart.ru/upload/iblock/9e2/ESM … erview.pdf

ESMART редакции НЕ ГОСТ, но чип в ней не MIK51, а импортный ACOS5:
https://www.acs.com.hk/en/products/308/ … d-contact/
Есть библиотека PKCS11, наверно проприетарная? что-то пишут про утилиты OpenSC.

Еще на на linux.org одно время упоминали, что мол USB канал - это дыра в безопасности по многим причинам, что простым невоенным не USB ридеры для сильной криптографии недоступны, какие-то мечты о PCI ридерах.
Так ведь есть же ноутбучные картридеры и переходники с PCMCIA на полноразмерную шину PCI?
Или такие ридеры внутри тоже на базе USB чипа?

Хотя может быть, это просто провокация тролей на форуме linux.org, ведь слабозащищенный DMA то как раз в шине PCI?

(2020-07-24 02:27:37 отредактировано sanyo)

Re: Отличие смарткарт ЭЦП 2 разного производства - совместимость с PKCS11

Пожалуйста, уточните у вас реализация библиотеки OpenSC-PKCS11 полностью открытая? Для любой модели Rutoken ЭЦП 2.0 (MIK51 / 2000 / 2100 / 3000) ?

Ее можно самостоятельно пересобрать из сорцов, например, для OpenBSD для архитектур i386 и ARMv7?

Вот тут:

https://forum.rutoken.ru/topic/1564/

вроде что-то получалось, но достаточно давно.


Есть ли у вас какие-либо закрытые проприетарные софтовые компоненты библиотеки доступа по PKCS11 как у ESMART Token SC 64K (НЕ ГОСТ) на базе чипа ACOS5?

Интересно для ESMART Token ГОСТ на базе тоже MIK51 библиотека PKCS11 чем-то отличается от вашей? Она open source как для Rutoken или проприетарная как для ACOS5?

Re: Отличие смарткарт ЭЦП 2 разного производства - совместимость с PKCS11

opensc-pkcs11 часть проекта в исходных кодах — https://github.com/OpenSC/OpenSC.

Стараемся чтобы все модели устройств поддерживались в opensc, но это всегда с запозданием.
В нашей реализации  PKCS#11 (librtpkcs11ecp) поддержка всегда более полная и оперативная — в ней поддерживаются все устройства.

Наш PKCS#11 собран под многие платформы — подробнее здесь https://download.rutoken.ru/Rutoken/PKCS11Lib/Current/

Re: Отличие смарткарт ЭЦП 2 разного производства - совместимость с PKCS11

Можете пожалуйста, собрать ваш librtpkcs11ecp под OpenBSD: ARMv7 и i386?

(2020-09-16 11:00:07 отредактировано sanyo)

Re: Отличие смарткарт ЭЦП 2 разного производства - совместимость с PKCS11

Антон Тихиенко пишет:

Здравствуйте.

Функционально и в частности в плане работы через PKCS#11 - они одинаковые.
Сравнение характеристик смарт-карт приведено на нашем портале документации - https://dev.rutoken.ru/x/BIBy
Также обратите внимание на скоростные показатели обоих устройств в их описаниях на нашем сайте (вкладка "Характеристики" → раздел "Аппаратные криптографические операции").

Добрый день Антон,

Оказалось, что карта микрон не поддерживает генерацию ключей RSA 2048:

https://forum.rutoken.ru/post/14791/#p14791

  RSA-PKCS-KEY-PAIR-GEN, keySize={1024,1024}, hw, generate_key_pair

root@host:/usr/lib# pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --list-mechanisms
Using slot 0 with a present token (0x0)
Supported mechanisms:
  RSA-PKCS-KEY-PAIR-GEN, keySize={1024,1024}, hw, generate_key_pair
  RSA-PKCS, keySize={1024,2048}, hw, encrypt, decrypt, sign, verify
  RSA-X-509, keySize={1024,2048}, hw, encrypt, decrypt, sign, verify
  RSA-PKCS-OAEP, keySize={1024,2048}, hw, encrypt, decrypt
  MD5, digest
  SHA-1, digest
  mechtype-0x255, digest
  SHA256, digest
  SHA384, digest
  SHA512, digest
  GOSTR3410-KEY-PAIR-GEN, hw, generate_key_pair
  GOSTR3410, hw, sign, verify
  mechtype-0x1204, hw, derive
  mechtype-0xD4321007, hw, derive
  GOSTR3411, hw, digest
  mechtype-0xD4321012, hw, digest
  GOSTR3410-WITH-GOSTR3411, hw, digest, sign
  mechtype-0xD4321008, hw, digest, sign
  mechtype-0x1224, hw, wrap, unwrap
  mechtype-0x1221, hw, encrypt, decrypt
  mechtype-0x1222, hw, encrypt, decrypt
  mechtype-0x1220, hw, generate
  mechtype-0x1223, hw, sign, verify
  mechtype-0xD4321014, sign, verify
  mechtype-0x1211, sign, verify

Мне важно, чтобы ключ RSA длиной 2048 бит генерировался внутри карты, а не снаружи.

Можно ли, пожалуйста, вернуть смарткарту Rutoken ECP2 2151 обратно вам (через магазин) или поменять ее на другую модель Рутокен, которая поддерживает то, что мне нужно?

С другой смарткартой 2100, которую я приобрел одновременно с 2151, все нормально, она генерирует ключи RSA2048, как и предполагалось заранее аналогично другим USB Rutoken ECP2, и уже удалось настроить ее работу во всех нужных мне режимах (Linux, OpenSC и т.п.).

Re: Отличие смарткарт ЭЦП 2 разного производства - совместимость с PKCS11

sanyo пишет:

Можно ли, пожалуйста, вернуть смарткарту Rutoken ECP2 2151 обратно вам (через магазин) или поменять ее на другую модель Рутокен, которая поддерживает то, что мне нужно?

Как правило такие вопросы решает сам магазин, где приобретали.
Напишите, пожалуйста, нам на почту (hotline@rutoken.ru) что и на что хотите заменить. Укажите когда и где покупали.
Попробуем помочь.

(2020-09-14 19:00:23 отредактировано sanyo)

Re: Отличие смарткарт ЭЦП 2 разного производства - совместимость с PKCS11

Антон Тихиенко пишет:
sanyo пишет:

Можно ли, пожалуйста, вернуть смарткарту Rutoken ECP2 2151 обратно вам (через магазин) или поменять ее на другую модель Рутокен, которая поддерживает то, что мне нужно?

Напишите, пожалуйста, нам на почту (hotline@rutoken.ru) что и на что хотите заменить. Укажите когда и где покупали.
Попробуем помочь.

Написал еще в конце прошлой недели, ответа пока нет.

Re: Отличие смарткарт ЭЦП 2 разного производства - совместимость с PKCS11

sanyo пишет:
Антон Тихиенко пишет:
sanyo пишет:

Можно ли, пожалуйста, вернуть смарткарту Rutoken ECP2 2151 обратно вам (через магазин) или поменять ее на другую модель Рутокен, которая поддерживает то, что мне нужно?

Напишите, пожалуйста, нам на почту (hotline@rutoken.ru) что и на что хотите заменить. Укажите когда и где покупали.
Попробуем помочь.

Написал еще в конце прошлой недели, ответа пока нет.

Этот вопрос еще в работе. Обязательно ответим вам.

Re: Отличие смарткарт ЭЦП 2 разного производства - совместимость с PKCS11

возврат Rutoken 2151
Когда: 15 сентября в 15:03
Кому: Никитина Юлия n*@rutoken.ru
От кого: info@*.com

Юлия,

В фразе: "Функционально и в частности в плане работы через PKCS#11 - они одинаковые"
про работу "через PKCS#11" говорится "в частности", т.е. эта фраза эквивалентна двум утверждениям:

1) "Функционально - они одинаковые" - обобщение, которое подходит под генерацию RSA 2048

"и" одновременно:

2) " В частности в плане работы через PKCS#11 - они одинаковые" - более частный случай, который тоже подходит под генерацию RSA 2048, потому что генерация RSA 2048 происходит как раз в режиме PKCS 11.

На мой выбор повлияли обе части вышеупомянутой фразы, какую бы часть не взять они одинаково вводят меня в заблуждение относительно генерации RSA 2048 картой 2151.

Т.е. без разницы какую часть фразы утверждения вашего сотрудника рассматривать в обеих случаях (второй из которых является подмножеством первого) обе они подразумевают возможность генерации RSA 2048 картой 2151, потому что карта 2100 их генерирует.

Я не говорил о некомпетентности Антона вообще, он не раз помогал мне своими консультациями на вашем форуме (именно поэтому я ему и поверил сразу же), а говорил о возможности попытки нахождения в вашей компании еще более компетентного сотрудника, который знает о том, что отличие в функционале карт в плане аппаратной генерации ими ключа RSA 2048 является отличием данных карт и говорить о том, что "Функционально - они одинаковые" - неправильно, такой более компетентный сотрудник бы предотвратил мой выбор карты 2151, а не способствовал ему как Антон, что привело к SNAD (Significantly NOT as described).

С Уважением,
Александр



    Свернуть
     Александр,
     Все сотрудники тех. поддержки Компании "Актив" компетентны и ответ Антона корректен ровно настолько, насколько был задан вопрос. Да, принцип работы у этих карт в части PKCS#11 одинаков.
     Если вас интересовал конкретный нюанс с длиной ключа, вам надо было ясно на это указать.
     
     Поскольку дезинформации не было, товар соответствует заявленным характеристикам и полностью исправный, замена товара или возврат денежных средств производиться не будут.
     
     С уважением, Никитина Юлия
     Компания «Актив»
     www.rutoken.ru
     
     -----Original Message-----
     From: info@*.com <info@*.com>
     Sent: Tuesday, September 15, 2020 3:11 PM
     To: Никитина Юлия <n*@rutoken.ru>
     Subject: Re: Замена Rutoken 2151 на Rutoken ECP 2.0 Touch (с кнопкой)
     
     Юлия,
     
     При покупке ваших карт я руководствовался сообщением Антона Тихиенко на вашем форуме:
     https://forum.rutoken.ru/post/14471/#p14471
     Копия:
     https://archive.is/ZmVta
     
     Неужели сотрудники на форуме не являются доверенными лицами, которым можно доверять сразу же без дополнительной самостоятельной перепроверки всех характеристик карт?
     
     Если бы он написал на форуме в той ветке, что карты НЕОДИНАКОВЫЕ по функционалу, а отличаются по генерации RSA 2048, то я бы не стал приобретать карту 2151.
     
     Сообщение с текстовкой вида:
     "Функционально и в частности в плане работы через PKCS#11 - они одинаковые" подразумевает одинаковость и при генерации RSA 2048, вы согласны?
     
     Далее тоже его сообщение:
     "Сравнение характеристик смарт-карт приведено на нашем портале документации - https://dev.rutoken.ru/x/BIBy"
     Копия таблицы сравнения:
     http://www.freezepage.com/1600098205IPARBBAUTH
     
     В этой таблице я тоже не нашел разницы у карт 2100 и 2151 в плане генерации RSA 2048.
     
     Спецификации карты на странице:
     https://www.rutoken.ru/products/catalog … .html#spec
     Я не смотрел, потому что поверил сообщению вашего сотрудника на вашем форуме об одинаковости функционала карт.
     
     Если бы Антон написал мне, что не знает насколько отличается их функционал, то я бы повел себя иначе, а именно попытался бы найти другого более компетентного вашего сотрудника для того, чтобы узнать ответ на мой вопрос у него.
     
     С Уважением,
     Александр