Отличие смарткарт ЭЦП 2 разного производства - совместимость с PKCS11

Добрый день,

Чем отличаются смарт карты:

https://www.rutoken.ru/products/catalogue/id_49.html

и

https://www.rutoken.ru/products/catalogue/id_50.html

в плане работы через OpenSC-PKCS11 с SSH клиентом и сервером для аутентификации?

Обе карты работают одинаково?

Re: Отличие смарткарт ЭЦП 2 разного производства - совместимость с PKCS11

Здравствуйте.

Функционально и в частности в плане работы через PKCS#11 - они одинаковые.
Сравнение характеристик смарт-карт приведено на нашем портале документации - https://dev.rutoken.ru/x/BIBy
Также обратите внимание на скоростные показатели обоих устройств в их описаниях на нашем сайте (вкладка "Характеристики" → раздел "Аппаратные криптографические операции").

(2020-07-22 23:16:37 отредактировано sanyo)

Re: Отличие смарткарт ЭЦП 2 разного производства - совместимость с PKCS11

А какие отличия ваших Рутокенов от смарткарты:

https://multisoft.ru/zashchita-informat … y-k-angara

в плане работы в Linux?

Ангара, наверно, вообще не подходит для SSH и возможно подходит только для некоторых программ, поддерживающих ГОСТовые алгоритмы через SSL?

UPDATE: По словам КриптоПРО Ангара не поддерживается в КриптоПРО :(

(2020-07-22 22:47:35 отредактировано sanyo)

Re: Отличие смарткарт ЭЦП 2 разного производства - совместимость с PKCS11

В описании токенов JaCarta в сравнении:

https://www.anti-malware.ru/compare/har … omparision

упоминается следующее:

Активная аппаратная защита от чтения областей RАM, EEPROM, ROM; применение дополнительных промежуточных слоев металлизации; перемешивание структуры функциональных блоков микроконтроллера, размещение отдельных блоков внутри чипа и между его слоями; усовершенствованные датчики безопасности; контроль тактовой частоты, температуры, напряжения питания; датчики света; активное экранирование; фильтр на входе для защиты от скачков; включение и выключение сброса; блок управления памятью; возможность отключения чтения ROM; возможность отключения выполнения кода, записанного в RAM; система защиты от накопления статистических данных по времени выполнения команд и энергопотреблению; специализированные механизмы противодействия атакам простого анализа энергопотребления; специализированные механизмы противодействия атакам дифференциального анализа энергопотребления

+ наверно самые современные закладки Моссад :)

Есть ли подобная защита в чипах ваших смарткарт Рутокен ЭЦП2 или хотя бы USB токенов Рутокен ЭЦП2 желательно без закладок?


Поддержка Nitrokey HSM2 утверждает, что у них встроена защита от утечки по побочным каналам emanation, есть ли в ваших смарткартах или USB токенах подобная защита?

(2020-07-23 09:40:28 отредактировано sanyo)

Re: Отличие смарткарт ЭЦП 2 разного производства - совместимость с PKCS11

ESMART® Token ГОСТ — совместная разработка зеленоградских компаний ПАО «Микрон» и ISBC Group.
   Разработка и производство микросхемы MIK51 (Микрон) в России гарантируют отсутствие аппаратных «закладок».
    Защищенный контроллер, встроенный в ESMART® Token ГОСТ, обеспечивает защиту от атак вида SPA, DPA, DFA. Наличие датчиков вскрытия, света, импульсной помехи, напряжения, температуры, а также аппаратный контроль целостности и возможность быстрого стирания EEPROM надежно защищают ключевую информацию от попыток вскрытия чипа и несанкционированного доступа.
    При помощи интерфейсов PKCS#11 и Minidriver, разработанных специалистами Группы компаний ISBC, идентификатор ESMART® Token ГОСТ (как в формате смарт-карты, так и USB-токена) может быть легко совмещен с решениями, использующими инфраструктуру открытых ключей (PKI).

У вашего Рутокен 2151 есть все те же самые защиты и преимущества, ведь чип, наверно, одинаковый?

Есть ли какие-либо другие модели других производителей на базе MIK51 кроме Рутокен и ESMART?
Хотя RSA 2048 - вчерашний день, а увеличение длины ключа RSA почти не дает прироста безопасности.


В характеристиках ESMART Token ГОСТ указана поддержка алгоритмов (среди прочих):

RSA-2048, ECDSA-256
Triple DES, AES-256
SHA-256, SHA-224, SHA-384, SHA-512
VKO GOST R 34.10-2012

У вашего Рутокен из них только RSA-2048, AES и VKO GOST R 34.10-2012 ?
Почему нет ECDSA?

Мне кажется, для безопасности аутентификации OpenSSH имеет смысл попробовать ваш Рутокен 2151 и ESMART?  Есть ли поддержка Рутокен 2151, ESMART и JaCarta ГОСТ 2 в SafeTouch PRO?

JaCarta почему-то не внушает доверия большой вероятностью наличия закладок для своих, хотя похоже, у них самый технологичный и защищенный чип от атак третьих лиц?

Интересно, ECDSA-256 в ESMART поддерживается для OpenSSH?

(2020-07-23 01:00:55 отредактировано sanyo)

Re: Отличие смарткарт ЭЦП 2 разного производства - совместимость с PKCS11

Нашел подробное сравнение аппаратных токенов:
https://www.securitylab.ru/blog/persona … 318701.php
https://www.slideshare.net/zlonov/gost-tokens/

Копия:
https://anonfiles.com/raC882H8of/gost-t … 145726_pdf

К сожалению не самое свежее сравнение, ему уже 3 года.

Кстати, если верить этому сравнению, про Рутокен ЭЦП2 там:

защищенный 32-разрядный микроконтроллер
архитектуры ARM7 со встроенной энергонезависимой
памятью

, то у вас Рутокен ЭЦП2 на базе обычного микроконтроллера ARM уровня защищенности как Nitrokey Start (самый минимальный)? Я думал хотя бы на базе банковского чипа смарткарты, как у Nitrokey PRO. Это про MIK51?


А у Aladdin даже еще в прошлом поколении ГОСТ 1 (сейчас у них уже новые токены ГОСТ 2):

Защищённый смарт-карточный чип AT90SC28880RCV,
имеющий специальную сертифицированную защиту и на
аппаратном, и на программном уровне

Вот думаю, что хакеры навряд ли взломают и Рутокен, а иностранным спецслужбам будет намного легче залезть в Аладдиновский токен через свои бэкдоры удаленно прямо на компе пользователя, подключенном к интернет, чем если бы использовался Рутокен или ESMART на базе Micron?

Вообщем с true безопасностью все как-то печально (как обычно) для любого известного мне варианта.

Недорогих HSM модулей хотя бы с RSA 8192 на потребительском рынке РФ не наблюдается :(
Можно конечно взять на ebay что-то на вторичке, но есть вероятность несовместимости и масса других векторов атак (в т.ч. бэкдоры), которые к длине ключа отношения не имеют.

(2020-07-23 10:33:07 отредактировано sanyo)

Re: Отличие смарткарт ЭЦП 2 разного производства - совместимость с PKCS11

Удивительно, но судя по спецификации удалось найти смарткарту с поддержкой алгоритмов RSA 4096:
https://esmart.ru/upload/iblock/9e2/ESM … erview.pdf

ESMART редакции НЕ ГОСТ, но чип в ней не MIK51, а импортный ACOS5:
https://www.acs.com.hk/en/products/308/ … d-contact/
Есть библиотека PKCS11, наверно проприетарная? что-то пишут про утилиты OpenSC.

Еще на на linux.org одно время упоминали, что мол USB канал - это дыра в безопасности по многим причинам, что простым невоенным не USB ридеры для сильной криптографии недоступны, какие-то мечты о PCI ридерах.
Так ведь есть же ноутбучные картридеры и переходники с PCMCIA на полноразмерную шину PCI?
Или такие ридеры внутри тоже на базе USB чипа?

Хотя может быть, это просто провокация тролей на форуме linux.org, ведь слабозащищенный DMA то как раз в шине PCI?

(2020-07-24 02:27:37 отредактировано sanyo)

Re: Отличие смарткарт ЭЦП 2 разного производства - совместимость с PKCS11

Пожалуйста, уточните у вас реализация библиотеки OpenSC-PKCS11 полностью открытая? Для любой модели Rutoken ЭЦП 2.0 (MIK51 / 2000 / 2100 / 3000) ?

Ее можно самостоятельно пересобрать из сорцов, например, для OpenBSD для архитектур i386 и ARMv7?

Вот тут:

http://forum.rutoken.ru/topic/1564/

вроде что-то получалось, но достаточно давно.


Есть ли у вас какие-либо закрытые проприетарные софтовые компоненты библиотеки доступа по PKCS11 как у ESMART Token SC 64K (НЕ ГОСТ) на базе чипа ACOS5?

Интересно для ESMART Token ГОСТ на базе тоже MIK51 библиотека PKCS11 чем-то отличается от вашей? Она open source как для Rutoken или проприетарная как для ACOS5?

Re: Отличие смарткарт ЭЦП 2 разного производства - совместимость с PKCS11

opensc-pkcs11 часть проекта в исходных кодах — https://github.com/OpenSC/OpenSC.

Стараемся чтобы все модели устройств поддерживались в opensc, но это всегда с запозданием.
В нашей реализации  PKCS#11 (librtpkcs11ecp) поддержка всегда более полная и оперативная — в ней поддерживаются все устройства.

Наш PKCS#11 собран под многие платформы — подробнее здесь https://download.rutoken.ru/Rutoken/PKCS11Lib/Current/

Re: Отличие смарткарт ЭЦП 2 разного производства - совместимость с PKCS11

Можете пожалуйста, собрать ваш librtpkcs11ecp под OpenBSD: ARMv7 и i386?