LINUX.ORG.RU
ФорумAdmin

Проблема с NitrokeyPro - ZeitControl - gpg-agent - ssh

 , , ,


0

1

Добрый вечер.

Может товарищу майору будет интересно. Мне один друг рассказывал, такую историю:

Как-то на хабре прочитал статью про PGP-SmartCard, подумал - а ведь не дорого и купил парочку карточек. И таможня пропустила и я рад.

Затем, собрал себе из запчастей NitroKey Pro, по ходу оказалось, что это просто карт-ридер. Но таможня запчасти пропустила, прошивку прошил и получил устройство с криптографическим … Карточку пришлось обрезать и запихнуть внутрь nitrokey. В принципе, приходилось уже резать карты после iphone.

Затем прочитал пару статей.

Ключи создал, по лучшим рекомендациям, c под-ключами и сроком действия в 90 дней (привет LetsEncrypt).

Но друг это все делал для того, чтобы не хранить на своем макбуке ключи для ssh-аутентификации. А под убунтой не работает.

Под Windows есть программа «This is a replacement for pagent.exe from Simon Tathams PuTTY-package» by «Dr. Peter Koch». Работает, подключается, проблем нет.

Но под убунтой

ssh-add -l 

показывает ключи, но когда пытаешься подключится на сервер ничего не получается. В дебаг соединения смотрел и почему-то ключ отвергается. Вот не знаю в чем может быть причина.

★★★

Ответ на: комментарий от mord0d

Да я думал, но ведь ssh-add -l, ssh-add -L - видит ключи с карточки, а вот ssh уже не видит. Вернее при команде ssh -vT, я вижу, что ssh видит этот ключ из карты, но почему-то они не принимаются на той стороне.

Nurmukh ★★★
() автор топика
Последнее исправление: Nurmukh (всего исправлений: 1)
Ответ на: комментарий от Nurmukh

я вижу, что ssh видит этот ключ из карты, но почему-то они не принимаются на той стороне.

Я бы на твоём месте начал с включения дебага везде где только возможно. Тут ванговать не особо эффективно.

mord0d ★★★★★
()

Я, вроде, пробовал на другом токене не через gpg, а как всегда через pcsc-tools и библиотеку-драйвер pkcs#11. Для openssh только закрытый ключ надо было, а вот та виндовая сборка Putty искала закрытый ключ только по сертификату.

boowai ★★★★
()
Ответ на: комментарий от boowai

Спасибо, скажу другу чтобы подумал об этом.

Nurmukh ★★★
() автор топика

собрал себе из запчастей … прошивку прошил и получил устройство с …

Что должен знать специалист ИБ на старте (комментарий)

Главное чтобы друг нигде в договорах не указывал о характеристике этого устройства!

Анон ЛОРа одобряет использование любых, в том числе самосборных, средств защиты ключей. Для самосборных средств ответственность за безопасность лежит на том кто их собрал.

anonymous
()
Ответ на: комментарий от Nurmukh

Самый простой способ купить готовый девайс: https://www.nitrokey.com

Он прошел независимый аудит безопасности и открыто железо/прошивка.

Может его современников сертифицируют в РФ.

anonymous
()
Ответ на: комментарий от anonymous

Добрый день.

вообщем с другом разобрались и ему помогли.

Проблема №1 - ломились не на тот хост, оказывается, там было небольшое обновление по днс-именам и поэтому был облом.

Проблема №2 - оказывается можно и не использовать gpg, чтобы заходить на сервера. Можно через pcscd работать и все будет хорошо.

Решение: В этой статье описываются оба метода - ssh pcscd, gpg + scdaemon, gpg + gpg-agent + with_ssh_support + ssh.

Был выбран вариант первый, так как ключи лучше генерировать и модифицировать на другом надежном узле. На карточку заливать subkeys.

A nitrokey - использовать в ненадежной среде, чтобы не переживать за взлом компьютера и что ssh-rsa ключи куда-то уведут.

На центос7 работает

cat<<EOF | tee .ssh/config
Host enjoyTheSilence
        Hostname X.Y.Z.A
        User monami
        Port 22
        PKCS11Provider /usr/lib64/opensc-pkcs11.so
EOF

slogin enjoyTheSilence

Работает и запрашивает пинкод. Если захотите повторить, то лучше всего закупиться в Китае stm32 за пару долларов и перешивать их. По моему мнению, это самое простое и эффективное решения для небольшой группы программистов, коим мой друг и является.

Nurmukh ★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.