(2014-08-09 14:26:52 отредактировано beelze)

Выбор рутокена (Linux)

Здравствуйте. Необходима помощь в выборе правильного рутокена. Планируется использование исключительно под Linux, для хранения веб/почта/openvpn/openldap-сертификатов и ключей openssh/gnupg. Желательны нативная поддержка opensc и беспроблемная работа в PKCS#15 и с через PKCS#11.

Re: Выбор рутокена (Linux)

Здравствуйте, beelze.

Опишите, пожалуйста, подробно общую задачу, которую вы собираетесь реализовать с использованием USB-токенов.
Также укажите для чего именно планируется "работа в PKCS#15 и с через PKCS#11"?

Re: Выбор рутокена (Linux)

Общая задача – переход от хранения ключей/сертификатов в ФС на использование рутокена. На начальном этапе хотелось бы реализовать минимум – это «браузерные» сертификаты, ключи OpenPGP/GnuPG (Thunderbird/Enigmail, Psi) и openssh. В дальнейшем планируется openldap, использование рутокена с pam и некоторая интеграция с WM.

На данный момент я использую etoken pro 72k java, однако именно эта модель не поддерживается opensc, поэтому ее применение весьма и весьма ограничено (невозможно использование с gnupg), а такие вещи, как генерация пары RSA ключей для openssh через сертификат x509, излишне трудоемко.

Насчет pkcs#15 – я не скажу, что уверен на 100%, однако я часто натыкался на примеры с участием pkcs15-tool, поэтому хотелось бы иметь и поддержку этого формата.

Re: Выбор рутокена (Linux)

Здравствуйте!

В таком случае лучшее, что можно порекомендовать из наших продуктов - это Рутокен ЭЦП.

Re: Выбор рутокена (Linux)

Благодарю за ответ, однако хотелось бы уяснить следующие нюансы:
– насколько я мог понять из сравнения линеек S, Lite и ЭЦП, поддержка CCID в S отсутствует, но есть в Lite и ЭЦП
– есть ли разница м/у Lite и ЭЦП в разрезе указанных мной opensource приложений (в разделе «характеристики» в части «файловой системы» для ЭЦП указан более широкий функционал, но я полагаю, что он обеспечивается не аппаратно/архитектурно, а проприетарным ПО?)
– то же самое про Lite и ЭЦП в части аутентификации пользователя (возможно, я и ошибаюсь, но в pcsc-lite и opensc нет локальных PIN и комбинированных методов аутентификации?)

Прошу разъяснить по возможности подробно, заранее спасибо.

Re: Выбор рутокена (Linux)

beelze пишет:

Благодарю за ответ, однако хотелось бы уяснить следующие нюансы:
– насколько я мог понять из сравнения линеек S, Lite и ЭЦП, поддержка CCID в S отсутствует, но есть в Lite и ЭЦП
– есть ли разница м/у Lite и ЭЦП в разрезе указанных мной opensource приложений (в разделе «характеристики» в части «файловой системы» для ЭЦП указан более широкий функционал, но я полагаю, что он обеспечивается не аппаратно/архитектурно, а проприетарным ПО?)
– то же самое про Lite и ЭЦП в части аутентификации пользователя (возможно, я и ошибаюсь, но в pcsc-lite и opensc нет локальных PIN и комбинированных методов аутентификации?)

Прошу разъяснить по возможности подробно, заранее спасибо.

По сути, Рутокен Lite является сильно урезанной версией Рутокен ЭЦП, из которого изъяты выполняемые "на борту" криптографические преобразования данных. Рутокен Lite может использоваться исеключительно в качестве ключевого носителя для программно-реализованной криптографии. Рутокен ЭЦП выполняет криптографические преобразования (в частности RSA, включая генерацию ключей) "на борту".

Re: Выбор рутокена (Linux)

То бишь, единственным существенным отличием ЭЦП от lite (если рутокен будет использоваться исключительно через opensource решения) является только наличие криптопроцессора и непосредственно вытекающего из этого факта функционала?

Re: Выбор рутокена (Linux)

beelze пишет:

То бишь, единственным существенным отличием ЭЦП от lite (если рутокен будет использоваться исключительно через opensource решения) является только наличие криптопроцессора и непосредственно вытекающего из этого факта функционала?

Можно конечно и так сказать, но это отличие делает токены этих двух моделей устройствами совершенно разных классов с очень сильно различающейся функциональностью и возможностями применения.

Re: Выбор рутокена (Linux)

Благодарю за подробные разъяснения.

Re: Выбор рутокена (Linux)

Так а чего никто не сказал человеку что для опенпгп не подойдет рутокен?...
Не видит он рутокена и не может на нем сертификаты свои хранить к сожалению... Для опенпгп вообще определенные карты нужны...

Re: Выбор рутокена (Linux)

enzain пишет:

Так а чего никто не сказал человеку что для опенпгп не подойдет рутокен?...
Не видит он рутокена и не может на нем сертификаты свои хранить к сожалению... Для опенпгп вообще определенные карты нужны...

Для GPG действительно пока нельзя использовать Рутокен ЭЦП. Пока никто не озадачился написанием соотв. модуля поддержки.

(2016-12-20 16:06:59 отредактировано Droid)

Re: Выбор рутокена (Linux)

Vladimir Ivanov пишет:
enzain пишет:

Так а чего никто не сказал человеку что для опенпгп не подойдет рутокен?...
Не видит он рутокена и не может на нем сертификаты свои хранить к сожалению... Для опенпгп вообще определенные карты нужны...

Для GPG действительно пока нельзя использовать Рутокен ЭЦП. Пока никто не озадачился написанием соотв. модуля поддержки.

Скажите, а изменилась ли тут ситуация к лучшему с момента этого ответа? Сейчас gpg видит токен как устройство для чтения смарт-карт

$ gpg --card-status 
gpg: detected reader `Aktiv Rutoken ECP 00 00'
...

и предлагает вставить карту...

При этом gpg2 почему-то выводит уже:

$ gpg2 --card-status 
gpg: Карта OpenPGP недоступна: Не поддерживается

Re: Выбор рутокена (Linux)

Droid пишет:
Vladimir Ivanov пишет:
enzain пишет:

Так а чего никто не сказал человеку что для опенпгп не подойдет рутокен?...
Не видит он рутокена и не может на нем сертификаты свои хранить к сожалению... Для опенпгп вообще определенные карты нужны...

Для GPG действительно пока нельзя использовать Рутокен ЭЦП. Пока никто не озадачился написанием соотв. модуля поддержки.

Скажите, а изменилась ли тут ситуация к лучшему с момента этого ответа? Сейчас gpg видит токен как устройство для чтения смарт-карт

$ gpg --card-status 
gpg: detected reader `Aktiv Rutoken ECP 00 00'
...

и предлагает вставить карту...

При этом gpg2 почему-то выводит уже:

$ gpg2 --card-status 
gpg: Карта OpenPGP недоступна: Не поддерживается

Здравствуйте!
Удивительного тут ничего нет, поскольку gpg ожидает карту, которая соответствует
спецификации OpenPGP card (https://g10code.com/p-card.html).
Рутокен ЭЦП этой спецификации не соответствует - мы не ставили целью ее поддерживать.
На написание каких-либо модулей поддержки Рутокен в gpg пока добровольцев не нашлось, увы.
Переговоров на эту тему с нами тоже никто не вёл.
С "коммерческим pgp" картина иная, там все работает "из коробки".

(2016-12-20 18:39:57 отредактировано Droid)

Re: Выбор рутокена (Linux)

Здравствуйте!
Я был удивлён тому, что gpg --card-status вообще детектировал рутокен как устройство для чтения смарт-карт. Это вселило немного надежды..., но ваш ответ понятен :( Спасибо за информацию!