Так неизвлекаем или...

Добрый день, исследую возможность построения защиты конфиденциальной информации с помощью двухфакторной аутентификации.
Тема хранения не извлекаемого ключа на токене в принципе подходила.

Все было замечательно пока не почитал вот это.

http://reply-to-all.blogspot.ru/2014/11 … s2014.html

Что получается? Если мы например берем банковский сектор, где у злоумышленника высокая мотивация. То продвинутый троян все равно может перехватить ключи, так как в рекламке то они "внутри", а в реале "текут" в память компа для работы с прикладухой.

Вопрос простой, работает ли защита на основе рутокена на скомпрометированной машин?
Есть ли независимые исследования вашего продукта на эту тему? Например многие компании сейчас платят за поиск уязвимости в своих продуктах.
Что можете показать вы?

Re: Так неизвлекаем или...

Dfg пишет:

Все было замечательно пока не почитал вот это.
http://reply-to-all.blogspot.ru/2014/11 … s2014.html

Все и сейчас замечательно, особенно если обратить внимание на тот "незначительный" факт, что в указанном докладе рассматривается извлечение ключей из программного криптопровайдера, который их считывает с носителя. И это атака именно на программный криптопровайдер, а отнюдь не на токен. То есть к работе с неизвлекаемымим ключами доклад никаким образом не относится.

Dfg пишет:

Тема хранения не извлекаемого ключа на токене в принципе подходила.

Важно не только хранение ключа на токене, но использование его "на борту". Именно так и работает Рутокен ЭЦП, Рутокен ЭЦП SC, Рутокен PINPad, КриптоПро Рутокен CSP, например. Для аутентификации ключ нужно генерировать "на борту" токена и там же его использовать, поскольку извлечь его для использования с программным криптопровайдером не получится. Тогда продвинутый троян не сможет считать ключи из памяти токена.

Еще раз для закрепления.
Есть несколько способов работы с токенами из приложений.
Первый состоит в том, что программный криптопровайдер сам генерирует ключи и записывает их на носитель. В процессе работы при таком способе ключи извлекаются в память криптопровайдера.
Второй способ состоит в том, что ключи генерируются "на борту" токена и не извлекаются в память PC. Приложение отправляет данные для подписи непосредственно в токен.
Третий способ повторяет второй, но кроме того данные для подписи могут быть визуализированы непосредственно на устройстве (Рутокен PINPad) и пользователь перед подписью может визуально проконтролировать, что именно он подписывает. Более того, PIN вводится тоже на самом устройстве с использованием клавиатуры на тач-скрине.

(2015-04-13 14:26:30 отредактировано Dfg)

Re: Так неизвлекаем или...

Спасибо за ответ.

По программным реализациям понятно.

По железным. Получается самый защищенный вариант, это использование внешней железной клавы для ввода пин-кода.
Странноб что банковском секторе я такого пока не встречал. Клиентам выдают просто токены, пин вводится на компьютере.
Матросов там в комментариях пишет "В случае троянов, все прозаичнее, они просто перехватывали пароль к токену и потом управляли на уровне APDU с C&C подтверждене платежных документов"
Т.е тема давно и успешно эксплуатируется.

Re: Так неизвлекаем или...

Dfg пишет:

Странноб что банковском секторе я такого пока не встречал. Клиентам выдают просто токены, пин вводится на компьютере.

Тема достаточно новая, но движение идет и внедрения уже есть.
Вот, например, наш продукт, который закрывает угрозы перехвата PIN-кода и подмены платежек:
https://www.rutoken.ru/products/all/rutoken-pinpad/

Dfg пишет:

Матросов там в комментариях пишет "В случае троянов, все прозаичнее, они просто перехватывали пароль к токену и потом управляли на уровне APDU с C&C подтверждене платежных документов"
Т.е тема давно и успешно эксплуатируется.

Любая технология имеет ограничения и "серебряной пули" не бывает. Тут ничего не поделаешь. Другое дело, что клиенты банков не готовы платить за безопасность, как правило. В том числе и удобством своим не хотят жертвовать. Потому и принимают подобные риски. Так что это скорее вопрос к банкам, разработчикам ДБО и клиентам банков.

(2015-05-22 22:37:32 отредактировано enzain)

Re: Так неизвлекаем или...

Или.
Что меня возмутило, но возможно не в адрес разработчиков рутокена.
Имея заранее сгенерированный сертификат квалифицированный, копируя его на рутокен ЭЦП из криптопро - получаем чудесную ситуацию.
Тот же криптопро способен скопировать полный набор ключей из рутокен ЭЦП в систему например в реестр.

Да, я в курсе про комплект КриптоПРО Рутокен CSP.
НО: у меня уже есть рутокены ЭЦП обычные, и у меня уже есть криптопро ...  Для чего я вдруг должен покупать еще что-то .. не очень понятно ..

Re: Так неизвлекаем или...

подписка

Re: Так неизвлекаем или...

enzain пишет:

Или.
Что меня возмутило, но возможно не в адрес разработчиков рутокена.
Имея заранее сгенерированный сертификат квалифицированный, копируя его на рутокен ЭЦП из криптопро - получаем чудесную ситуацию.
Тот же криптопро способен скопировать полный набор ключей из рутокен ЭЦП в систему например в реестр.

Возмущение, действительно, не в наш адрес. КриптоПро CSP таким образом работает с любым носителем, токеном, смарт-картой.
А именно, использует его только в качестве носителя, не задействуя криптографические возможности токена.

enzain пишет:

Да, я в курсе про комплект КриптоПРО Рутокен CSP.
НО: у меня уже есть рутокены ЭЦП обычные, и у меня уже есть криптопро ...  Для чего я вдруг должен покупать еще что-то .. не очень понятно ..

Есть и другие ГОСТовые CSP, которые умеют работать с криптографическими функциями токена. Можно использовать их. КриптоПро CSP не является единственным продуктом на рынке. Если УЦ с ними не работает, то это вопрос к УЦ.

Re: Так неизвлекаем или...

Vladimir Ivanov пишет:
enzain пишет:

Или.
Что меня возмутило, но возможно не в адрес разработчиков рутокена.
Имея заранее сгенерированный сертификат квалифицированный, копируя его на рутокен ЭЦП из криптопро - получаем чудесную ситуацию.
Тот же криптопро способен скопировать полный набор ключей из рутокен ЭЦП в систему например в реестр.

Возмущение, действительно, не в наш адрес. КриптоПро CSP таким образом работает с любым носителем, токеном, смарт-картой.
А именно, использует его только в качестве носителя, не задействуя криптографические возможности токена.

enzain пишет:

Да, я в курсе про комплект КриптоПРО Рутокен CSP.
НО: у меня уже есть рутокены ЭЦП обычные, и у меня уже есть криптопро ...  Для чего я вдруг должен покупать еще что-то .. не очень понятно ..

Есть и другие ГОСТовые CSP, которые умеют работать с криптографическими функциями токена. Можно использовать их. КриптоПро CSP не является единственным продуктом на рынке. Если УЦ с ними не работает, то это вопрос к УЦ.

Безусловно, не единственный, но это своего рода монополист... Доля остальных провайдеров крайне мала.
Нельзя представить рутокен эцп для криптопро рутокена как подходящий ему носитель?...

Re: Так неизвлекаем или...

enzain пишет:

Нельзя представить рутокен эцп для криптопро рутокена как подходящий ему носитель?...

Простите, не совсем понял суть вопроса.

Re: Так неизвлекаем или...

Vladimir Ivanov пишет:

Простите, не совсем понял суть вопроса.

суть вопроса:
Рутокен поставляемый в комплекте с КриптоПРО Рутокен CSP и токен "Рутокен ЭЦП" - это принципиально разные девайсы, или последний можно таки при помощи каких-то манипуляций представить для криптопро как подходящий для криптопро рутокен csp?

Re: Так неизвлекаем или...

enzain пишет:

суть вопроса:
Рутокен поставляемый в комплекте с КриптоПРО Рутокен CSP и токен "Рутокен ЭЦП" - это принципиально разные девайсы, или последний можно таки при помощи каких-то манипуляций представить для криптопро как подходящий для криптопро рутокен csp?

Спасибо за пояснения.
Да, токен, который входит в комплект КриптоПро Рутокен CSP отличается от обычного Рутокен ЭЦП наличием поддержки технологии ФКН, которая используется в КриптоПро Рутокен CSP.
"Обычный" Рутокен ЭЦП не будет работать с КриптоПро Рутокен CSP.

Re: Так неизвлекаем или...

Vladimir Ivanov пишет:
enzain пишет:

суть вопроса:
Рутокен поставляемый в комплекте с КриптоПРО Рутокен CSP и токен "Рутокен ЭЦП" - это принципиально разные девайсы, или последний можно таки при помощи каких-то манипуляций представить для криптопро как подходящий для криптопро рутокен csp?

Спасибо за пояснения.
Да, токен, который входит в комплект КриптоПро Рутокен CSP отличается от обычного Рутокен ЭЦП наличием поддержки технологии ФКН, которая используется в КриптоПро Рутокен CSP.
"Обычный" Рутокен ЭЦП не будет работать с КриптоПро Рутокен CSP.

Тогда вопрос, есть ли Токены соответствующие отдельно в продаже?.
Объясню для чего:
На одном рабочем месте может быть нужно использовать например 3 различных токена с 3 разными ключами.
В таком случае смысл покупать и токен и софт не очень понятен... но я так понимаю, отдельно такой токен не приобрести, и придется приобретать вместе с ПО?

Re: Так неизвлекаем или...

enzain пишет:

Тогда вопрос, есть ли Токены соответствующие отдельно в продаже?

Отдельно таких токенов в продаже нет. КриптоПро Рутокен CSP является продуктом компании КриптоПро.
Это программно-аппаратное СКЗИ, в состав которого входят, очевидно, программная и аппаратная части,
которые являются неотъемлемыми компонентами СКЗИ.

Re: Так неизвлекаем или...

Vladimir Ivanov пишет:
enzain пишет:

Тогда вопрос, есть ли Токены соответствующие отдельно в продаже?

Отдельно таких токенов в продаже нет. КриптоПро Рутокен CSP является продуктом компании КриптоПро.
Это программно-аппаратное СКЗИ, в состав которого входят, очевидно, программная и аппаратная части,
которые являются неотъемлемыми компонентами СКЗИ.

Как минимум мне это странно.
В описанной ситуации - при необходимости на трех ключах хранить данные, покупать 3 экземпляра ПО, не логично.
Ок, будем искать другие возможные решения по данному вопросу.
Спасибо.