sanyo, в OpenBSD есть возможность запуска FreeBSD бинарников: https://man.openbsd.org/OpenBSD-4.9/compat_freebsd.8

Для этого ядро должно быть собрано с определенной конфигурацией и добавить зависимости.

Разработчики OpenBSD не рекомендуют самостоятельно пересобирать ядро, хотя это возможно.

Кроме того в современной версии они выкинули совместимость с Linux приложениями, боюсь, что они могли убрать и возможность запуска бинарников FreeBSD, например, страница последней стабильной версии:
https://man.openbsd.org/OpenBSD-6.7/compat_freebsd.8
уже пустая.

Для этого ядро должно быть собрано с определенной конфигурацией и добавить зависимости.

sanyo,

Разве по каналу ПЭМИ могут быть неуязвимыми смарткарты, у которых нет шифрования канала обмена данными?

Что возможно извлечь и каким образом из побочных источников -- можно сказать только после исследований.

Так ведь если канал открытый и атакующие могут считывать его содержимое, то зачем еще исследования?

Мало того, у атакующих может быть намного более совершенное и чувствительное оборудование для снифинга канала, чем у вас.

А если они могут считывать и декодировать даже побочку от циклов процессора с данными, то и шифрование канала не поможет.

sanyo, мы всегда отдаем предпочтение использованию нашей библиотеке librtpkcs11ecp.so. Так как это наша собственная разработка она поддерживается гораздо лучше и оперативнее.

Это конечно прекрасно, только у пользователя нет возможности самостоятельно собрать ее под нужную ему операционную систему. Можете, пожалуйста, собрать librtpkcs11ecp для OpenBSD v6.7 архитектур: ARMv7hf и i386 (Pentium1)?

https://www.openbsd.org/armv7.html

https://www.openbsd.org/i386.html

Что возможно извлечь и каким образом из побочных источников -- можно сказать только после исследований.

Кстати, если карта УЭК сделана на базе Rutoken 2151, то значит, она уязвима к атакам по каналам ПЭМИ?

Мы запросим исследование на утечки по побочным канала у производителя чипа.

Разве по каналу ПЭМИ могут быть неуязвимыми смарткарты, у которых нет шифрования канала обмена данными?

Т.е. уязвимы и любые карты ESMART и все ваши карты кроме USB токена Rutoken 3000 ФКН2, которого пока нет в формате плоской смарткарты?

А у Ададдин есть карты с поддержкой защищённого протокол обмена "Secure Messaging".
Интересно, это требует использования КриптоПРО или работает и через PKCS11 тоже?

Наверно, если подписание данных на таких картах без шифрования канала данных еще можно считать относительно безопасной операцией, то шифрование данных на них делать бессмысленно, например дешифровать строку пароля для открытия слота LUKS2? Потому что после операции расшифровки данные могут быть перехвачены на канале обмена данными и поэтому они перестают быть приватными.

все же когда ваши смарткарты 2151 заработают с OpenSC и соответственно предположительно в OpenBSD тоже?

Мы проверяли только на FreeBSD. Карты работали.

Павел, пожалуйста, уточните, под FreeBSD вы использовали свою проприетарную библиотеку PKCS11 (аналог librtpkcs11ecp.so под Linux) или открытую OpenSC?

OpenSC под Linux у меня не работает с вашей картой Rutoken 2151, но работает с картой Rutoken 2100.

Мы запросим исследование на утечки по побочным канала у производителя чипа.

Мы проверяли только на FreeBSD. Карты работали.

Сложно сказать, т.к. нет возможности проверить.

Ридер должен понимать APDU-команды смарт-карт. Для этого делается взаимная интеграция.
Поддерживаемые устройства надо уточнять у производителя считывателя.

Считыватель заточен под формат APDU-команд Jacarta. Насчет перепрошивки уточните у производителя.

Здравствуйте, sanyo.
Корректно работать "Антифрод-терминал" скорее всего не будет с нашими смарт-картами.
Можем предложить попробовать использовать SafeTouch PRO(https://safe-tech.ru/safetouch-pro/), данное устройство работает с Рутокен и PKCS#11.

Пожалуйста, уточните, почему вы думаете, что Антифрод терминал не будет корректно работать с вашей смарткартой Rutoken 2100 по PKCS11 ?

Судя по:
http://web.archive.org/web/202010071602 … pt/2670/12

Например, смарткарта Nitrokey SC-HSM работает со считывателями Reiner Cyberjack, у которых есть цифровая клавиатура, причем поддержка производителя смарткарт утверждает, что работает даже набор пин кодов на миниклавиатуре считывателя, и все это работает даже для  OpenSSH+OpenSC, т.е. теоретически даже в OpenBSD ! Мало того, обмен данными по каналу USB в ней шифруется как и в Rutoken 3000, но по другому протоколу BSI TR-03110, используемому также в зарубежных национальных паспортах и картах eID.

Кстати, если карта УЭК сделана на базе Rutoken 2151, то значит, она уязвима к атакам по каналам ПЭМИ?
И еще интересно, все же когда ваши смарткарты 2151 заработают с OpenSC и соответственно предположительно в OpenBSD тоже? Причем, при использовании алгоритма RSA2048 карта Rutoken 2151  уязвима по ПЭМИ даже в плане утечки приватного ключа при инициализации, а не только данных в канале при ее использовании.

Будет ли ваша смарткарта Rutoken 2100 аналогично работать со считывателем Reiner Cyberjack? Т.е., чтобы пин код набирался на миниклавиатуре считывателя, а не на большой клавиатуре компьютера?
Если это будет работать, то в обоих случаях и с вашей проприетарной библиотекой PKCS11 и открытой библиотекой PKCS11 в комплекте пакета OpenSC?

От чего вообще это зависит, работает миниклавиатура считывателя или нет? От так называемой интеграции? Тогда, получается, что считыватель Reiner Cyberjack интегрирован в библиотеку OpenSC или в открытый драйвер CCID? А другие считыватели типа ACS разве неинтегрированы с открытым драйвером CCID? Или они только частично реализовали функциональные возможности своих считывателей, а например возможность работы с миниклавиатурами считывателй ACS специально не стали включать в свой драйвер?

На странице:
http://web.archive.org/web/202010071617 … ipass-920/
утверждается, что Антифрод терминал - это перемаркированный DIGIPASS 920.

А на страинце:
https://ccid.apdu.fr/ccid/shouldwork.html
утверждается, что DIGIPASS 920 должен работать с открытым драйвером CCID причем с поддержкой PIN PAD:

Что может этому помешать?
Кастомная прошивка Аладдин, например, если они залочили свои терминалы только на свои смарткарты типа eToken и Jacarta? Обратно в оригинальный VASCO DIGIPASS 920 перешить АФ терминал нельзя?

Насколько я знаю, любой SafeTouch работает только с ГОСТ алгоритмами.

Старый SafeTouch 2015 не работает со смарткартами Рутокен.

Судя по рекламе работает со смарткартами eToken ГОСТ.

А что с более новыми eToken? JaCarta ГОСТ 2 будет работать в SafeTouch 2015 ?

Вы проверяли работоспособность КриптоПро5+ФКН2+SafeTouch PRO и авторизацию транзакций кнопкой?

Да, мы проверяли КриптоПро5+ФКН2+SafeTouch PRO — это работает

Да, планируется.

Уточните, что вы имеете ввиду?

Нет, только с неизвлекаемыми ключами.

Остальные вопросы вам нужно адресовать производителю считывателей.

Ключ в формате совместимости Rutoken S на смарткарте Rutoken MIK51.
Подключить его через SoftTouch PRO к КриптоАРМ стандарт.

Кнопка авторизации SoftTouch PRO будет работать для извлекаемого ключа в формате совместимости Rutoken S?

Можно ли настроить КриптоПро CSP, чтобы он не кэшировал такой ключ в оперативке, а каждый раз подгружал его с токена, чтобы нужно было нажатие кнопки авторизации на считывателе SoftTouch PRO?

Новинка Рутокен USB ЭЦП 2.0 3000, серт. ФСБ

Работает через современную версию SafeTouch PRO с USB разъемом для токенов?

Вы проверяли работоспособность КриптоПро5+ФКН2+SafeTouch PRO и авторизацию транзакций кнопкой?

Планируется ли выпуск смарткарты  Рутокен ЭЦП 2.0 3000, серт. ФСБ ?

SafeTouch PRO работает наподобие deep packet inspection firewall ?

Если для смарткарт он инспектирует протокол APDU, то как он инспектирует протокол USB тля токенов с интегрированным считывателем?