LINUX.ORG.RU

HSM и сохранность private keys


0

0

Можно ли обеспечить аппаратно или программно сохранность секретного ключа на взломанной и подконтрольной злоумышленнику машине? Из программных средств мне в голову приходит только установка пассфразы на ключ, но это решается кейлоггером. Двухфакторная аутентификация тоже не защищает в данном случае — смарткарты/usb-ключи можно сдампить; ввод кода, выданного дигипассом можно перехватить и выполнить аутентификацию до того как юзер успеет нажать на ОК в форме ввода. Единственное, что я придумал — это использование аппаратной шифровалки, у которой нет функции чтения прайват ключа, она только шифрует используя ключ, но отдавать его физически не может. Я прав, что это единственный способ? может можно как-то проще? Поискав в интернете на тему таких девайсов, нашел некую русскую «Шипку», есть что-то подобное еще?


Да, это единственный способ. Проще нельзя. См. http://ncipher.com --- других нормальных HSM на рынке нет.

mkmks
()

>Двухфакторная аутентификация тоже не защищает в данном случае — смарткарты/usb-ключи можно сдампить

Для смарткарт это не верно. Смарткарты с криптопроцессором генерируют невыгружаемый секретный ключ внутри себя и позволяют шифровать/расшифровывать/подписывать, но ни при каких обстоятельствах не выдают ключ «наружу».

Но остерегайтесь подделок, есть простые usb-токены, которые по сути флешки, и туда надо заливать сгенерированный программой на PC секретный ключ

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.