Защищенная корпоративная сеть.

Добрый день.
Сразу извиняюсь за, может быть, глупые вопросы, просто только начал изучать безопасность.
Необходимо в некой корпоративной (локальной) сети сделать следующее:
1. Поднять веб сервер (nginx) по  https при этом, что бы он сертификаты получал из токена (напрямую/через драйвер). Возможно ли такое?
2. Авторизация клиентов (либо Firefox, либо самописный на WebKit-е) через токен клиентов.
Как такое можно реализовать?

Re: Защищенная корпоративная сеть.

Здравствуйте!

Насколько принципиально хранение закрытого ключа сервера именно на токене? В остальном проблем нет: http://pki.rutokenweb.ru/ . Это демо-площадка, позволяющая посмотреть реализацию аутентификации клиентов на сайте по сертификатам на токене.

Re: Защищенная корпоративная сеть.

Vladimir Ivanov пишет:

Насколько принципиально хранение закрытого ключа сервера именно на токене?

Наш проект пока на стадии проработки технических возможностей. Т.е. ведутся исследования различных способов защиты информации.
На данном этапе нет принципиальной позиции по хранению ключа в определенном месте, однако есть идея, что если хранить ключ в неком "отдельном физическом хранилище", то это повысит безопасность системы в целом.
Другими словами: мы были бы весьма рады, если б существовала возможность, хранить ключ сервера в токене.

Re: Защищенная корпоративная сеть.

В принципе это наверное возможно сделать через openssl и модули поддержки Рутокенов. На чем сервер будет работать?

Re: Защищенная корпоративная сеть.

Vladimir Ivanov пишет:

В принципе это наверное возможно сделать через openssl и модули поддержки Рутокенов.

Я правильно понимаю, что в этом случае нашей организации надо будет заказать у Вас разработку соответствующих драйверов?

Vladimir Ivanov пишет:

На чем сервер будет работать?

Сервер nginx либо Apache, скорее всего Astra Linux.

Как технически будет осуществляться загрузка ключа?
Т.е. к примеру конфиг nginx-а сейчас выглядит так:

ssl_certificate         /SERVERS/server.crt;
ssl_certificate_key     /SERVERS/server.key;

после применения токена с драйвером, я понимаю, что будет выглядить примерно так:

ssl_certificate         /SERVERS/server.crt;
ssl_certificate_key     /dev/usb/tokenID/server.key;

или как это будет технически выглядеть?

Re: Защищенная корпоративная сеть.

Нет, драйверов никаких заказывать не надо, вопрос не в них.
Надо будет научить сервер брать закрытый ключ с токена, например через OpenSSL.

Re: Защищенная корпоративная сеть.

Вопрос еще вот в чем. Какие алгоритмы будут для аутентификации применяться - ГОСТ или RSA?

Re: Защищенная корпоративная сеть.

Vladimir Ivanov пишет:

Нет, драйверов никаких заказывать не надо, вопрос не в них. Надо будет научить сервер брать закрытый ключ с токена, например через OpenSSL.

Я плохо представляю как это можно сделать, т.к. в конфигах к серверам обычно прописываются жесткие пути к файлам.

Vladimir Ivanov пишет:

Вопрос еще вот в чем. Какие алгоритмы будут для аутентификации применяться - ГОСТ или RSA?

ГОСТ

Re: Защищенная корпоративная сеть.

А какова будет нагрузка на web-сервер? Высоконагруженная система может начать тормозить.

Re: Защищенная корпоративная сеть.

В принципе на сам веб сервер нагрузка будет не большая. Он будет работать больше как прокси сервер для вебсокетов.
Клиентов будет ну, скажем пару сотен, и они не будут постоянно на сервер обращаться, а при загрузке получат некую статическую страницу, а дальше вся динамика на ней будет через вебсокеты осуществляться. По вебсокетам трафик будет идти постоянный, но небольшой (к примеру некие координаты объектов, и только при изменении этих координат, будут посылаться данные).

Re: Защищенная корпоративная сеть.

Посмотрев мануал на nginx, не нашел способов хранения ключа на токене. Полагаю, авторы считают, что это не true way :)