https://opennet.dev/openforum/vsluhforumID3/88669.html Разработчики проекта Mozilla поделились (https://blog.mozilla.org/security/2013/02/13/using-cryptostick-as-an-hsm/) опытом построения защищённой инфраструктуры для формирования цифровых подписей для пакетов, распространяемых через внутренние репозитории. Для хранения закрытых ключей используется USB-брелок Crypto Stick (http://www.crypto-stick.org/), выступающий в роли HSM-модуля (http://en.wikipedia.org/wiki/Hardware_security_module).<br><br><br>Crypto Stick развивается в соответствии с принципами Open Hardware (готовые брелки продаются по цене 59 евро, что значительно ниже проприетарных аналогов) и поддерживает интеграцию с различными открытыми приложениями, такими как GnuPG, Mozilla Thunderbird + Enigmail, OpenSSH, Linux PAM, OpenVPN, Mozilla Firefox. Хранение ключей в Crypto Stick полностью изолирует их от системы, предоставляется лишь готовый API для выполнения криптографических операций, которые выполняются на стороне Crypto Stick. Crypto Stick поддерживает интерфейс OpenPGP Card version 2; может хранить тр https://opennet.dev/openforum/vsluhforumID3/88669.html#30 Tue, 19 Feb 2013 20:32:44 GMT Та какой же я специалист. Я не утверждаю, что еТокен один такой проблемный, а все остальные - нет. Просто привел ссылку, чтобы поделиться описанием той проблемы, которая уже известна для еТокенов. А дальше уже Вам решать, насколько это критично в Вашей ситуации. Ну и на винте ключ хранить все же не стоит.<br> https://opennet.dev/openforum/vsluhforumID3/88669.html#29 Sun, 17 Feb 2013 03:32:34 GMT ой, мамка пришла<br> https://opennet.dev/openforum/vsluhforumID3/88669.html#28 Sat, 16 Feb 2013 11:43:45 GMT &gt; гнук/FST-01 веселее, а паяется не хуже <br><br>Годная штука, два чая этому гражданинму. Надо себе такую налутать, пожалуй.<br> https://opennet.dev/openforum/vsluhforumID3/88669.html#27 Sat, 16 Feb 2013 11:40:19 GMT &gt; Или можно так: <br>&gt; http://www.fsij.org/doc-gnuk/index.html <br><br>Во, еще и саму "карту" внутрь read-protected микроконтроллера засунуть :). А то сама карта тоже как бы процессор, там тоже некая фирмвара есть. И верить на честное пионерское фиг знает кому что там нет бэкдоров и лажи - а вот ХРЕН вам. <br><br>Например, я в курсе что у SIM-карт есть кроме всего прочего и инженерные команды, специфичные для каждого производителя. Есть ли там инженерный вход в духе AWARD_SW и прочих подобных, когда позволяется полный оверрайд всех ограничений и допустим слив дампа памяти (со всеми ключами и что там еще) - большой такой вопрос. Какие гарантии?<br><br>&gt; В отличие от - полностью открытая реализация (в Crypto Stick используется готовая <br>&gt; смарткарта OpenPGP).<br><br>Ну да, оно по сути такая читалка получается. Хотя логичнее было бы в самом защищенном от чтения микроконтроллере эмулить карту и хранить ключи, пожалуй. При этом по крайней мере была бы уверенность что бэкдоров нет + для казуального воришки кряк чипа являет собой затра https://opennet.dev/openforum/vsluhforumID3/88669.html#26 Fri, 15 Feb 2013 15:13:23 GMT гнук/FST-01 веселее, а паяется не хуже<br> https://opennet.dev/openforum/vsluhforumID3/88669.html#25 Fri, 15 Feb 2013 15:12:02 GMT Или можно так:<br>http://www.fsij.org/doc-gnuk/index.html<br><br>В отличие от - полностью открытая реализация (в Crypto Stick используется готовая смарткарта OpenPGP).<br><br>Вот разводка для подходящего стика: http://www.seeedstudio.com/wiki/index.php?title=FST-01<br><br>Если лень - оно живет на на перешитом программаторе от STM8S-DISCOVERY (часть с разъемом) - но великовато выходит. Зато по деньгам 15 долларов, вообще без пайки и покупается в ближайшем электронном лабазе.<br> https://opennet.dev/openforum/vsluhforumID3/88669.html#24 Fri, 15 Feb 2013 15:04:36 GMT &gt; Хм, а вот надо поискать разводку,<br><br>Все в SVN. Тем паче что схема тривиальна как топор. Ну, проц. К юсб прицеплен. Ну, для карточки интерфейс. Больше там нифига и нету, собственно :)<br> https://opennet.dev/openforum/vsluhforumID3/88669.html#23 Fri, 15 Feb 2013 15:03:25 GMT &gt; Мониторный дрочер^Wзадрот детектед. Что, (сочувственно) вся наша жизнь - игра?<br><br>Ага, игра. Иначе не интересно. А налутать такую хрень - пара часов времени. Вот версия 2 которая еще вроде как не производится но подготавливается - там уже да, 4-слойка и BGA, такое лутать не получится имхо. А версия 1.2 - в обычном QFP корпусе, такое нынче орава самодельщиков умеет дома на коленке производить. <br><br>Но это еще не все - по мере развития технологий всякий кастом становится все более доступен индивидуалам и небольшим группкам. Так что лазерным резаком, "гаражом" с станками с ЧПУ и прочими 3D принтерами уже никого в общем то и не удивишь. По поводу чего рядовой Вася Пупкин при желании что-то произвести может просто пойти и за разумные бабки произвести ОДИН экземпляр устройства. Единственный на всю планету. Это такой ответ традиционной индустрии на ее магию количества, когда 10 девайсов на традиционной фабрике делать - вообще не але. А чтобы сделать 1 000 000 девайсов - все-равно придется начать с десятка прототипов https://opennet.dev/openforum/vsluhforumID3/88669.html#22 Fri, 15 Feb 2013 14:55:47 GMT &gt; А, скажи мне, милый ребенок - ты сорц OpenSSL когда-нить читал? А, <br>&gt; если читал - ты там чо-то понял?<br><br>Вы как в воду глядели. Вот только сейчас читал сорц AES из PolarSSL в сабжевом устройстве. Понял... хм, понял как он устроен. А чего там такого непонятного? Код там довольно простой, как ни странно. Вот сама криптография - да, это уже сложнее. Ну так я и предпочитаю чтобы на код могло посмотреть как можно больше [b]независимых[/b] профессионалов с разных сторон. Сертифицированные болванчики из органов - доверия почему-то совершенно не внушают, в отличие от математиков/криптографов/... из [b]разныз[/b] стран и юрисдикций.<br>