Вы не авторизованы. Пожалуйста, войдите или зарегистрируйтесь.
Форум Рутокен → Помощь в выборе продукта → Выбор рутокена (Linux)
Страницы 1
Чтобы отправить ответ, нужно авторизоваться или зарегистрироваться
Здравствуйте. Необходима помощь в выборе правильного рутокена. Планируется использование исключительно под Linux, для хранения веб/почта/openvpn/openldap-сертификатов и ключей openssh/gnupg. Желательны нативная поддержка opensc и беспроблемная работа в PKCS#15 и с через PKCS#11.
Здравствуйте, beelze.
Опишите, пожалуйста, подробно общую задачу, которую вы собираетесь реализовать с использованием USB-токенов.
Также укажите для чего именно планируется "работа в PKCS#15 и с через PKCS#11"?
Общая задача – переход от хранения ключей/сертификатов в ФС на использование рутокена. На начальном этапе хотелось бы реализовать минимум – это «браузерные» сертификаты, ключи OpenPGP/GnuPG (Thunderbird/Enigmail, Psi) и openssh. В дальнейшем планируется openldap, использование рутокена с pam и некоторая интеграция с WM.
На данный момент я использую etoken pro 72k java, однако именно эта модель не поддерживается opensc, поэтому ее применение весьма и весьма ограничено (невозможно использование с gnupg), а такие вещи, как генерация пары RSA ключей для openssh через сертификат x509, излишне трудоемко.
Насчет pkcs#15 – я не скажу, что уверен на 100%, однако я часто натыкался на примеры с участием pkcs15-tool, поэтому хотелось бы иметь и поддержку этого формата.
Здравствуйте!
В таком случае лучшее, что можно порекомендовать из наших продуктов - это Рутокен ЭЦП.
Благодарю за ответ, однако хотелось бы уяснить следующие нюансы:
– насколько я мог понять из сравнения линеек S, Lite и ЭЦП, поддержка CCID в S отсутствует, но есть в Lite и ЭЦП
– есть ли разница м/у Lite и ЭЦП в разрезе указанных мной opensource приложений (в разделе «характеристики» в части «файловой системы» для ЭЦП указан более широкий функционал, но я полагаю, что он обеспечивается не аппаратно/архитектурно, а проприетарным ПО?)
– то же самое про Lite и ЭЦП в части аутентификации пользователя (возможно, я и ошибаюсь, но в pcsc-lite и opensc нет локальных PIN и комбинированных методов аутентификации?)
Прошу разъяснить по возможности подробно, заранее спасибо.
Благодарю за ответ, однако хотелось бы уяснить следующие нюансы:
– насколько я мог понять из сравнения линеек S, Lite и ЭЦП, поддержка CCID в S отсутствует, но есть в Lite и ЭЦП
– есть ли разница м/у Lite и ЭЦП в разрезе указанных мной opensource приложений (в разделе «характеристики» в части «файловой системы» для ЭЦП указан более широкий функционал, но я полагаю, что он обеспечивается не аппаратно/архитектурно, а проприетарным ПО?)
– то же самое про Lite и ЭЦП в части аутентификации пользователя (возможно, я и ошибаюсь, но в pcsc-lite и opensc нет локальных PIN и комбинированных методов аутентификации?)Прошу разъяснить по возможности подробно, заранее спасибо.
По сути, Рутокен Lite является сильно урезанной версией Рутокен ЭЦП, из которого изъяты выполняемые "на борту" криптографические преобразования данных. Рутокен Lite может использоваться исеключительно в качестве ключевого носителя для программно-реализованной криптографии. Рутокен ЭЦП выполняет криптографические преобразования (в частности RSA, включая генерацию ключей) "на борту".
То бишь, единственным существенным отличием ЭЦП от lite (если рутокен будет использоваться исключительно через opensource решения) является только наличие криптопроцессора и непосредственно вытекающего из этого факта функционала?
То бишь, единственным существенным отличием ЭЦП от lite (если рутокен будет использоваться исключительно через opensource решения) является только наличие криптопроцессора и непосредственно вытекающего из этого факта функционала?
Можно конечно и так сказать, но это отличие делает токены этих двух моделей устройствами совершенно разных классов с очень сильно различающейся функциональностью и возможностями применения.
Благодарю за подробные разъяснения.
Так а чего никто не сказал человеку что для опенпгп не подойдет рутокен?...
Не видит он рутокена и не может на нем сертификаты свои хранить к сожалению... Для опенпгп вообще определенные карты нужны...
Так а чего никто не сказал человеку что для опенпгп не подойдет рутокен?...
Не видит он рутокена и не может на нем сертификаты свои хранить к сожалению... Для опенпгп вообще определенные карты нужны...
Для GPG действительно пока нельзя использовать Рутокен ЭЦП. Пока никто не озадачился написанием соотв. модуля поддержки.
enzain пишет:Так а чего никто не сказал человеку что для опенпгп не подойдет рутокен?...
Не видит он рутокена и не может на нем сертификаты свои хранить к сожалению... Для опенпгп вообще определенные карты нужны...Для GPG действительно пока нельзя использовать Рутокен ЭЦП. Пока никто не озадачился написанием соотв. модуля поддержки.
Скажите, а изменилась ли тут ситуация к лучшему с момента этого ответа? Сейчас gpg видит токен как устройство для чтения смарт-карт
$ gpg --card-status
gpg: detected reader `Aktiv Rutoken ECP 00 00'
...и предлагает вставить карту...
При этом gpg2 почему-то выводит уже:
$ gpg2 --card-status
gpg: Карта OpenPGP недоступна: Не поддерживаетсяVladimir Ivanov пишет:enzain пишет:Так а чего никто не сказал человеку что для опенпгп не подойдет рутокен?...
Не видит он рутокена и не может на нем сертификаты свои хранить к сожалению... Для опенпгп вообще определенные карты нужны...Для GPG действительно пока нельзя использовать Рутокен ЭЦП. Пока никто не озадачился написанием соотв. модуля поддержки.
Скажите, а изменилась ли тут ситуация к лучшему с момента этого ответа? Сейчас gpg видит токен как устройство для чтения смарт-карт
$ gpg --card-status gpg: detected reader `Aktiv Rutoken ECP 00 00' ...и предлагает вставить карту...
При этом gpg2 почему-то выводит уже:
$ gpg2 --card-status gpg: Карта OpenPGP недоступна: Не поддерживается
Здравствуйте!
Удивительного тут ничего нет, поскольку gpg ожидает карту, которая соответствует
спецификации OpenPGP card (https://g10code.com/p-card.html).
Рутокен ЭЦП этой спецификации не соответствует - мы не ставили целью ее поддерживать.
На написание каких-либо модулей поддержки Рутокен в gpg пока добровольцев не нашлось, увы.
Переговоров на эту тему с нами тоже никто не вёл.
С "коммерческим pgp" картина иная, там все работает "из коробки".
Здравствуйте!
Я был удивлён тому, что gpg --card-status вообще детектировал рутокен как устройство для чтения смарт-карт. Это вселило немного надежды..., но ваш ответ понятен :( Спасибо за информацию!
Страницы 1
Чтобы отправить ответ, нужно авторизоваться или зарегистрироваться
Форум Рутокен → Помощь в выборе продукта → Выбор рутокена (Linux)