форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Mozilla использует Crypto Stick для формирования цифровых по..."	+/–
Сообщение от opennews on 14-Фев-13, 19:19
Разработчики проекта Mozilla поделились (https://blog.mozilla.org/security/2013/02/13/using-cryptosti.../) опытом построения защищённой инфраструктуры для формирования цифровых подписей для пакетов, распространяемых через внутренние репозитории. Для хранения закрытых ключей используется USB-брелок Crypto Stick (http://www.crypto-stick.org/), выступающий в роли HSM-модуля (http://en.wikipedia.org/wiki/Hardware_security_module). Crypto Stick развивается в соответствии с принципами Open Hardware (готовые брелки продаются по цене 59 евро, что значительно ниже проприетарных аналогов) и поддерживает интеграцию с различными открытыми приложениями, такими как  GnuPG, Mozilla Thunderbird + Enigmail, OpenSSH, Linux PAM, OpenVPN, Mozilla Firefox. Хранение ключей в Crypto Stick  полностью изолирует их от системы, предоставляется лишь готовый API для выполнения криптографических операций, которые выполняются на стороне Crypto Stick. Crypto Stick поддерживает интерфейс  OpenPGP Card version 2; может хранить три независимых RSA-ключа для цифровых подписей, аутентификации и шифрования; поддерживается как генерация ключей на устройстве, так и загрузка уже созданных ключей (можно загрузить одни и те же ключи на разные брелки и использовать их на разных серверах). Так как в случае атаки злоумышленники не имеют возможность получить доступ к ключам (но могут выполнить с их помощью криптографические операции, например, подписать поддельный пакет), после выявления фактов компрометации инфраструктуры требуется лишь анализ целостности репозитория, сами ключи менять не нужно и соответственно нет необходимости в выполнении такой неприятной операции как распространение новых открытых ключей среди пользователей. <center><a href="https://blog.mozilla.org/security/files/2013/02/jpg?a.jpg&qu... src="http://www.opennet.ru/opennews/pics_base/0_1360851848.jpg" style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></a></center> URL: https://blog.mozilla.org/security/2013/02/13/using-cryptosti.../ Новость: http://www.opennet.ru/opennews/art.shtml?num=36113
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Mozilla использует Crypto Stick для формирования цифровых по..."	+/–
Сообщение от Mr. Mistoffelees on 14-Фев-13, 19:19
Цифровые подписи на смарт-картах никто не отменял же...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	11. "Mozilla использует Crypto Stick для формирования цифровых по..."	+1 +/–
	Сообщение от Аноним (??) on 15-Фев-13, 09:22
	1) Эта штука кроме всего прочего может предоставлять и интерфейс к смарт-карте. 2) В принципе, я не вижу чем микроконтроллер с защитой от чтения извне хуже смарт-карты. Более того - там по крайней мере можно влить свое фирмваре и быть уверенным что в нем нет бэкдоров и волшебных мастер-паролей, позволяющих слить ключи по левому.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Mozilla использует Crypto Stick для формирования цифровых по..."	+3 +/–
Сообщение от commiethebeastie (ok) on 14-Фев-13, 19:20
В эрферации быдлокриптопро во все поля.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	16. "Mozilla использует Crypto Stick для формирования цифровых по..."	+1 +/–
	Сообщение от Аноним (??) on 15-Фев-13, 10:58
	Ну, вы если хотите, доверяйте ваши секретные данные какому-то блобью с мутными алгоритмами, вот только криптография - она как осетрина. Она или первой свежести, когда все открыто и все как на ладони, или же это тухляк и лохотрон. Декоративная безопасность для втирания очков.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	17. "Mozilla использует Crypto Stick для формирования цифровых по..."	–3 +/–
	Сообщение от Аноним (??) on 15-Фев-13, 11:31
	> Ну, вы если хотите, доверяйте ваши секретные данные какому-то блобью с мутными > алгоритмами, вот только криптография - она как осетрина. Она или первой > свежести, когда все открыто и все как на ладони, или же > это тухляк и лохотрон. Декоративная безопасность для втирания очков. А, скажи мне, милый ребенок - ты сорц OpenSSL когда-нить читал? А, если читал - ты там чо-то понял?
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	22. "Mozilla использует Crypto Stick для формирования цифровых по..."	+/–
	Сообщение от Аноним (??) on 15-Фев-13, 18:55
	> А, скажи мне, милый ребенок - ты сорц OpenSSL когда-нить читал? А, > если читал - ты там чо-то понял? Вы как в воду глядели. Вот только сейчас читал сорц AES из PolarSSL в сабжевом устройстве. Понял... хм, понял как он устроен. А чего там такого непонятного? Код там довольно простой, как ни странно. Вот сама криптография - да, это уже сложнее. Ну так я и предпочитаю чтобы на код могло посмотреть как можно больше независимых профессионалов с разных сторон. Сертифицированные болванчики из органов - доверия почему-то совершенно не внушают, в отличие от математиков/криптографов/... из разныз стран и юрисдикций.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	29. "Mozilla использует Crypto Stick для формирования цифровых по..."	+/–
	Сообщение от Аноним (??) on 17-Фев-13, 07:32
	ой, мамка пришла
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

3. "Mozilla использует Crypto Stick для формирования цифровых по..."	+/–
Сообщение от Лаврентий on 14-Фев-13, 19:22
<pinch mode> 59 евро? за что? </pinch mode>
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "Mozilla использует Crypto Stick для формирования цифровых по..."	+1 +/–
	Сообщение от Капитан (??) on 14-Фев-13, 20:02
	За Crypto Stick.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	8. "Mozilla использует Crypto Stick для формирования цифровых по..."	+/–
	Сообщение от Nobody (??) on 14-Фев-13, 21:05
	Я вот за него бы и 75 евро отдал.. Нет, даже 100 готов! Только, похоже, к нам такое не возят... :(
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	12. "Mozilla использует Crypto Stick для формирования цифровых по..."	+/–
	Сообщение от Аноним (??) on 15-Фев-13, 09:22
	> Только, похоже, к нам такое не возят... :( Версию 1.2 можно самому налутать на коленке, пардон. Ну и прошить.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

4. "Mozilla использует Crypto Stick для формирования цифровых по..."	–1 +/–
Сообщение от AnOn on 14-Фев-13, 19:24
eToken аладдиновский с PKI на борту в пределах 1000 руб. Что значительно ниже 69 евро за сабжевый брелок.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "Mozilla использует Crypto Stick для формирования цифровых по..."	+2 +/–
	Сообщение от Pirr (ok) on 14-Фев-13, 20:24
	А как же "...принципами Open Hardware..."
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "Mozilla использует Crypto Stick для формирования цифровых по..."	+3 +/–
	Сообщение от Аноним (??) on 14-Фев-13, 20:59
	eToken не поддерживает OpenPGP Card и требует запуска какой-то жуткой программной надстройки. Не удивлюсь, если дешифровка производится не на стороне eToken.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	10. "Mozilla использует Crypto Stick для формирования цифровых по..."	+2 +/–
	Сообщение от atnt on 14-Фев-13, 22:14
	Вот, может кому интересно будет. http://blog.cryptographyengineering.com/2012/06/bad-couple-o...
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	15. "Mozilla использует Crypto Stick для формирования цифровых по..."	+/–
	Сообщение от Имя on 15-Фев-13, 10:46
	Вы специалист? Я правильно понял что eToken можно просто выбрасывать и хранить ключ в файле на винте?
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	21. "Mozilla использует Crypto Stick для формирования цифровых по..."	+/–
	Сообщение от anonymous (??) on 15-Фев-13, 18:43
	Можно разрешить. А можно и запретить. Тогда ключ будет в единственном экземпляре.
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	30. "Mozilla использует Crypto Stick для формирования цифровых по..."	+/–
	Сообщение от atnt on 20-Фев-13, 00:32
	Та какой же я специалист. Я не утверждаю, что еТокен один такой проблемный, а все остальные - нет.  Просто привел ссылку, чтобы поделиться описанием той проблемы, которая уже известна для еТокенов. А дальше уже Вам решать, насколько это критично в Вашей ситуации. Ну и на винте ключ хранить все же не стоит.
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	13. "Mozilla использует Crypto Stick для формирования цифровых по..."	+/–
	Сообщение от Аноним (??) on 15-Фев-13, 09:27
	> eToken аладдиновский с PKI на борту в пределах 1000 руб. Только в линуксе не работает толком (прыг с бубном с вкорячиванием посторонних блоб-онли драйверов за нормальную работу не считается), а насколько там нет бэкдоров и насколько секурна их реализация - предлагается поверить на честное слово какому-то там мутному аладдину. Известному кучей халяву в ранних версиях их ключей.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "Mozilla использует Crypto Stick для формирования цифровых по..."	+2 +/–
Сообщение от Crazy Alex (ok) on 14-Фев-13, 21:36
(задумчиво) http://shop.kernelconcepts.de/product_info.php?products_id=1... - 16,40€. Ладно, USB-чипа нет - но всё равно 59 евро как-то многовато.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	14. "Mozilla использует Crypto Stick для формирования цифровых по..."	+/–
	Сообщение от Аноним (??) on 15-Фев-13, 09:29
	> всё равно 59 евро как-то многовато. Можно самому налутать плату - будет по цене микроконтроллера и обвязки. Т.е. в районе 10 баксов.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	18. "Mozilla использует Crypto Stick для формирования цифровых по..."	–1 +/–
	Сообщение от Аноним (??) on 15-Фев-13, 11:32
	>> всё равно 59 евро как-то многовато. > Можно самому налутать плату - будет по цене микроконтроллера и обвязки. Т.е. > в районе 10 баксов. Мониторный дрочер^Wзадрот детектед. Что, (сочувственно) вся наша жизнь - игра?
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	20. "Mozilla использует Crypto Stick для формирования цифровых по..."	+/–
	Сообщение от Crazy Alex (ok) on 15-Фев-13, 17:45
	К вашему сведению, налутать такую платку - это пол-часа общего времени и 10 минут реальной возни для того, кто электроникой хоть как-то занимается. Спаять - ещё пол-часа. При условии наличия готовой разводки, конечно - но на то и опен хардварь, что всё это есть.
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	23. "Mozilla использует Crypto Stick для формирования цифровых по..."	+/–
	Сообщение от Аноним (??) on 15-Фев-13, 19:03
	> Мониторный дрочер^Wзадрот детектед. Что, (сочувственно) вся наша жизнь - игра? Ага, игра. Иначе не интересно. А налутать такую хрень - пара часов времени. Вот версия 2 которая еще вроде как не производится но подготавливается - там уже да, 4-слойка и BGA, такое лутать не получится имхо. А версия 1.2 - в обычном QFP корпусе, такое нынче орава самодельщиков умеет дома на коленке производить. Но это еще не все - по мере развития технологий всякий кастом становится все более доступен индивидуалам и небольшим группкам. Так что лазерным резаком, "гаражом" с станками с ЧПУ и прочими 3D принтерами уже никого в общем то и не удивишь. По поводу чего рядовой Вася Пупкин при желании что-то произвести может просто пойти и за разумные бабки произвести ОДИН экземпляр устройства. Единственный на всю планету. Это такой ответ традиционной индустрии на ее магию количества, когда 10 девайсов на традиционной фабрике делать - вообще не але. А чтобы сделать 1 000 000 девайсов - все-равно придется начать с десятка прототипов.
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	25. "Mozilla использует Crypto Stick для формирования цифровых по..."	+1 +/–
	Сообщение от Crazy Alex (ok) on 15-Фев-13, 19:12
	Или можно так: http://www.fsij.org/doc-gnuk/index.html В отличие от - полностью открытая реализация (в Crypto Stick используется готовая смарткарта OpenPGP). Вот разводка для подходящего стика: http://www.seeedstudio.com/wiki/index.php?title=FST-01 Если лень - оно живет на на перешитом программаторе от STM8S-DISCOVERY (часть с разъемом) - но великовато выходит. Зато по деньгам 15 долларов, вообще без пайки и покупается в ближайшем электронном лабазе.
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

	27. "Mozilla использует Crypto Stick для формирования цифровых по..."	+/–
	Сообщение от Аноним (??) on 16-Фев-13, 15:40
	> Или можно так: > http://www.fsij.org/doc-gnuk/index.html Во, еще и саму "карту" внутрь read-protected микроконтроллера засунуть :). А то сама карта тоже как бы процессор, там тоже некая фирмвара есть. И верить на честное пионерское фиг знает кому что там нет бэкдоров и лажи - а вот ХРЕН вам. Например, я в курсе что у SIM-карт есть кроме всего прочего и инженерные команды, специфичные для каждого производителя. Есть ли там инженерный вход в духе AWARD_SW и прочих подобных, когда позволяется полный оверрайд всех ограничений и допустим слив дампа памяти (со всеми ключами и что там еще) - большой такой вопрос. Какие гарантии? > В отличие от - полностью открытая реализация (в Crypto Stick используется готовая > смарткарта OpenPGP). Ну да, оно по сути такая читалка получается. Хотя логичнее было бы в самом защищенном от чтения микроконтроллере эмулить карту и хранить ключи, пожалуй. При этом по крайней мере была бы уверенность что бэкдоров нет + для казуального воришки кряк чипа являет собой затратное начинание. А кто готов потратить несколько ...цать килобаксов и более - всяко вскроет чипак в специализированной лабе. Теоретически смарткарты к такому более устойчивы. Практически - это может запросто быть и просто маркетинговым булшитом. Вон MIFARE в свое время знатно облажался. С крутым 48 битным :))) ключом. А те лохи которые верили что это круто - столкнулись с толпами hi-tech зайцев и прочими радостями. > Вот разводка для подходящего стика: http://www.seeedstudio.com/wiki/index.php?title=FST-01 Ценно, ценно. Его бы еще под лут оптимизануть :). А так STM32 - неплохо, да. > Если лень - оно живет на на перешитом программаторе от STM8S-DISCOVERY (часть > с разъемом) - но великовато выходит. Зато по деньгам 15 долларов, > вообще без пайки и покупается в ближайшем электронном лабазе. У меня есть скиллы в лутинге. Кажется мне придется их потестить еще разок. Спасибо, я то ломал бошку - чего ж они саму карту не эмулируют как вариант. А оказывается - все уже придумано до нас :)
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

	19. "Mozilla использует Crypto Stick для формирования цифровых по..."	+/–
	Сообщение от Crazy Alex (ok) on 15-Фев-13, 17:44
	Хм, а вот надо поискать разводку, забавная штука должна получиться.
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	24. "Mozilla использует Crypto Stick для формирования цифровых по..."	+/–
	Сообщение от Аноним (??) on 15-Фев-13, 19:04
	> Хм, а вот надо поискать разводку, Все в SVN. Тем паче что схема тривиальна как топор. Ну, проц. К юсб прицеплен. Ну, для карточки интерфейс. Больше там нифига и нету, собственно :)
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	26. "Mozilla использует Crypto Stick для формирования цифровых по..."	+1 +/–
	Сообщение от Crazy Alex (ok) on 15-Фев-13, 19:13
	гнук/FST-01 веселее, а паяется не хуже
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	28. "Mozilla использует Crypto Stick для формирования цифровых по..."	+/–
	Сообщение от Аноним (??) on 16-Фев-13, 15:43
	> гнук/FST-01 веселее, а паяется не хуже Годная штука, два чая этому гражданинму. Надо себе такую налутать, пожалуй.
	Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема