USB token na uložení klíčů

Jirka Smělík

USB token na uložení klíčů
« kdy: 02. 05. 2011, 15:35:25 »
Ahoj, pořídil jsem si S/MIME certifikát na podepisování mailů a uvažuju, že si koupím nějaký USB token pro uložení těchto (časem jich určitě budu mít víc) certifikátů. Jaký si mám ale koupit? Neměl by být nějak moc drahý a hlavně my měl mít stoprocentní podporu v Linuxu. Existuje něco, co má ovladače přímo v systému a pro co není třeba odněkud stahovat nějaké binární balíčky výrobce? Díky za tipy


Re: USB token na uložení klíčů
« Odpověď #1 kdy: 02. 05. 2011, 16:20:06 »
Rozhodně bych se vyhnul čemukoli, co vyžaduje nějaký closed-source middleware od výrobce. Mám asi dva tokeny, které už nemůžu používat na MacOS, protože výrobce už je odepsal, middleware pro novější MacOSy není a starý nefunguje...

Pak taky jestli se v téhle branži moc nevyznáš, tak si dej bacha na výrobky, které se jako tokeny jenom tváří a ve skutečnosti všechno podstatné dělají softwarově (to se týká i známých značek - např. SafeNet iKey 1000 má známou zásadní zranitelnost, protože je softwarový. Když jsem se ptal chlapíka z účtařské firmy, která je na autentizaci používá, jestli o tom vědí, vůbec nechápal, o čem mluvím...)

Když jsem tohle (open+rozumná cena) řešil před nějakými dvěma lety, jediné, co mi přišlo schůdné pro osobní požití, byly tokeny Feitian. V té době jsem je sehnal z Francie (http://www.gooze.eu/), jestli se dneska už dají koupit i v ČR, nevím. Gooze jako prodejce můžu doporučit, kupoval jsem několikrát, vše bez problémů, včetně reklamace jednoho vadného kousku.

Jestli budeš čínského výrobce považovat za dostatečně důvěryhodného a jestli Feitian bude splňovat všechny tvoje technické požadavky, to už si musíš rozmyslet sám. (je to poměrně nový výrobce a software občas nemá některé featury oproti zavedenějším značkám - např. ještě nedávno umožňoval jenom jednopinový profil, teď už to myslím neplatí, nevím)

viz http://www.opensc-project.org/opensc/wiki/feitian-pki-token http://www.opensc-project.org/opensc/wiki/FTCOSPK01C -- mám oboje a vcelku k plné spokojenosti.

Re: USB token na uložení klíčů
« Odpověď #2 kdy: 02. 05. 2011, 16:27:45 »
Ještě k tomu tisícovkovému iKey: http://www.artofhacking.com/tucops/hack/naps/live/aoh_ikey1000.htm


 Users must be aware that administrator access can easily be gained
    and should not trust the security of the token if it is not always
    directly in their  possession.  If  a legitimate user  loses their
    USB key, all data, including the private information, needs to  be
    considered  to   have  been   potentially  compromised   and   the
    credentials stored on the key should be treated appropriately.

:)

dracul

Re: USB token na uložení klíčů
« Odpověď #3 kdy: 02. 05. 2011, 17:03:43 »
doporucuju http://www.gooze.eu/feitian-epass-pki-token
nedavno jsem si ho nechal z francie poslat (posilaj po cele EU)

pozor na iKey 1000-3000, neumej 2048 (a vic) bitove klice

pak mam jeste tenhle https://www.startssl.com/?app=6
ale tam je krapet problem s ovladacema

Jirka Smělík

Re: USB token na uložení klíčů
« Odpověď #4 kdy: 02. 05. 2011, 17:41:28 »
Díky za tipy, podívám se na ně. Jak je to s podporou v Linuxu? Potřebují tyhle věci nějaký middleware nebo ne? A případně je v distribucích?


dracul

Re: USB token na uložení klíčů
« Odpověď #5 kdy: 02. 05. 2011, 17:58:59 »
ten Feitian ePass PKI token jede v pohode pres opensc

tukan

Re: USB token na uložení klíčů
« Odpověď #6 kdy: 03. 05. 2011, 16:55:16 »
Parada, uz dlouho hledam zpusob, jak ulozit klice nejak rozumne a mit je vzdy sebou.  Diky moc za odpoved.

Re: USB token na uložení klíčů
« Odpověď #7 kdy: 03. 05. 2011, 17:02:35 »
ten Feitian ePass PKI token jede v pohode pres opensc

I Feitian PKI card (smart karta) - viz odkaz výš. U ní je navíc hodně příznivá cena - pokud mám v plánu používat víc karet.

Navíc Gooze nabízí tyhle karty zdarma developerům zajímavých OSS projektů, což může být pro někoho zajímavý: http://www.gooze.eu/feitian-pki-free-software-developer-card