Думаю, для начала стоит перестать путать аутентификацию и авторизацию. В исходной статье, на которую ссылаетесь, речь идёт именно про аутентификацию, а не про авторизацию.
И уже написано очень много текста по поводу аутентификации с помощью биометрии - основной посыл, что биометрия может быть дополнительным фактором для аутентификации, но никак не основным и тем более никак не единственным.
Думаю, для начала стоит разобраться с терминологией, а то судя по тексту идентификация и аутентификация - это одно и тоже и по тексту они взаимозаменяют друг друга. Но это разные понятия и за ними стоят разные процессы.
NFC — это технология беспроводной передачи данных (https://ru.wikipedia.org/wiki/Near_Field_Communication), говорить, что через NFC будет счиана вся информация с чипа, всё равно, что говорить, что с компа будет считана вся информация через WiFi.
Thales Group — это европейская компания (https://ru.wikipedia.org/wiki/Thales).
Этот eToken PRO относился к партии, выпущенной до 1 декабря 2017 года.
После этой даты компания «Аладдин Р.Д.» прекратила продажу устройств eToken PRO (Java) в связи с завершением поддержки и поставок производителем — компанией Gemalto, к слову, чуть раньше поглотившей SafeNet, Inc.
Это не совсем корректная информация. Ключи eToken Pro Java продаются и поддерживаются компанией Gemalto. Более того, линейка развивается и выходят новые версии ключей: habr.com/ru/post/281256
Забегая немного вперед, нужно сказать, что работа с ним настраивалась через соответствующие драйверы — SafenetAuthenticationClient-10.0.32-0.x86_64, которые можно получить только в поддержке Аладдин Р.Д. по отдельной online заявке.
Middleware, наверное, всё же лучше запрашивать у производителя или официального дистрибутора продуктов Gemalto.
Думаю, прежде чем писать подобные «разгромные» статьи, следует разобраться в мат.части, тем более, что она уже неоднократно обсуждалась на этом ресурсе.
Смарт-карты (так же как и USB-ключи) имеют защищённое хранилище, в котором лежат закрытые ключи, сгенерированные непосредственно на смарт-карте, некоторые смарт-карты позволяют импортировать в данное защищённое хранилище ключи, сгенерированные за пределами смарт-карты. При этом, ключи могут быть как RSA, так и ГОСТ (например, Gemalto CryptoPro ФКН, JaCarta ГОСТ, ruToken — не помню точно как называется модель). То есть если ключ сгенерирован на смарт-карте, то он никогда эту смарт-карту не покидает и является неизвлекаемым. И вся работа с закрытым ключом происходит только внутри смарт-карты.
Но исторически сложилось так, что на Российском рынке сначала появились ключи, которые умели только RSA и совсем не умели ГОСТ. При этом, компании — разработчики крипто-провайдеров решили использовать данные ключи как флешку с пин-кодом. То есть, те же Крипто Про, СогналКом, ЛИССИ и другие генерируют криптопару (открытый и закрытый ключи) на компьютере и далее кладут криптоконтейнер на смарт-карту в её файловое хранилище (доступ к которому Вы и получили). При этом, при работе, криптоконтейнер (вместе с закрытым ключом) копируется на компьютер, распаковывается и используется для вычислений. При таком подходе, в момент работы с закрытым ключом, он находится в памяти компьютера в открытом виде.
Таким образом, неизвлекаемость ключа обеспечивается его правильной генерацией.
А если Вы работаете с продуктом, который использует смарт-карту как обычную флешку с пин-кодом, тогда она и будет выполнять роль флешки. И не понимаю чем вызвано подобное удивление.
Как мне всегда говорили старшие коллеги — RTFM!
Так а что по поводу второго вопроса:
2. Почему Pkcs11 библиотека работающая с «полностью российской разработкой» токеном Jacarta подписана компанией Athena?
Вы упорно игнорируете этот вопрос — это становится подозрительным.
Допустим.
А что по поводу второго вопроса:
2. Почему Pkcs11 библиотека работающая с «полностью российской разработкой» токеном Jacartaподписана компанией Athena?
Подскажите, пожалуйста,
1. Зачем импортировать ключ в токен предварительно сгенерив его программно и сохранив в pfx? Это же прямой путь к утечке и/или подмене сертификата.
2. Почему Pkcs11 библиотека работающая с «полностью российской разработкой» токеном Jacartaподписана компанией Athena?
P.S. Спасибо за статью!
Последняя картинка — это ключи OTP. Слияние Gemalto и Safent произошло совсем недавно (от сюда и приставка Gemalto), по этому видимо пока OTP ключи Gemalto и указаны как «сторонние».
Подробнее, так подробнее…
1. Как уже написали, до 2010 года (может до 2011, точно не помню) существовало две компании:
— Aladdin Knowledge Systems — израильская компания, которая и была разработчиком и производителем eToken;
— Аладдин Р.Д. — российская компания, которая имела уникальные права на продажу ключейeToken в России. Так же компания Аладдин Р.Д. является разработчиком собственных решений на базе ключей eToken.
2. Ключ eToken ГОСТ является разработкой российской компании Аладдин Р.Д. и к Aladdin Knowledge Systems имеет посредственное отношение, ключи eToken используются как аппаратная платформа для апплета ГОСТ — подробнее ранее писал тут.
3. Компания Safenet купила израильскую компанию Aladdin Knowledge Systems и их продукты. Российская компания Аладдин Р.Д. осталась самостоятельной компанией.
4. Российская компания Аладдин Р.Д. разработала и выпустила собственный продукт JaCarta, аналог продукта eToken, как, например, ruToken, eSmart Token и другие.
Таким образом, JaCarta — это не eToken и не замена eToken и не развитие линейки eToken. JaCarta — это новый продукт, разработанный компанией Аладдин Р.Д.
eToken ГОСТ, как продукт, принадлежит компании Аладдин Р.Д., а не компании Safenet, по этому компания Safenet никак не могла «забить» на eToken ГОСТ.
Теперь Аладдин Р.Д. выпускает и продвигает собственный продукт JaCarta.
А eToken'ами занимается компания Safenet.
1. По моему при определённой сноровке и некоторой тренировке такую подпись можно очень просто подделать.
2. Что мешает написать аналог key-loger'а который отсканирует подпись и будет эмулировать?
3. Даже если не заморачиваться подделкой, Вы уверены, что билметрическая подпись уникальна для 7 000 000 000 человек?
а ЭЦП в данном случае «защищается» двухфакторностью, то есть помимо сертификата для ЭЦП, нужно ещё и pin-код знать, а уж если Вы сами всё отдали другому человеку, то значит Вы сами ему доверили подпись от Вашего имени…
Супер! Спасибо!
Подскажите, пожалуйста, насколько информаия на курсе отличается от книг В.М. Голдовского?
Думаю, для начала стоит перестать путать аутентификацию и авторизацию. В исходной статье, на которую ссылаетесь, речь идёт именно про аутентификацию, а не про авторизацию.
И уже написано очень много текста по поводу аутентификации с помощью биометрии - основной посыл, что биометрия может быть дополнительным фактором для аутентификации, но никак не основным и тем более никак не единственным.
Думаю, для начала стоит разобраться с терминологией, а то судя по тексту идентификация и аутентификация - это одно и тоже и по тексту они взаимозаменяют друг друга. Но это разные понятия и за ними стоят разные процессы.
Thales Group — это европейская компания (https://ru.wikipedia.org/wiki/Thales).
Это не совсем корректная информация. Ключи eToken Pro Java продаются и поддерживаются компанией Gemalto. Более того, линейка развивается и выходят новые версии ключей: habr.com/ru/post/281256
Middleware, наверное, всё же лучше запрашивать у производителя или официального дистрибутора продуктов Gemalto.
Смарт-карты (так же как и USB-ключи) имеют защищённое хранилище, в котором лежат закрытые ключи, сгенерированные непосредственно на смарт-карте, некоторые смарт-карты позволяют импортировать в данное защищённое хранилище ключи, сгенерированные за пределами смарт-карты. При этом, ключи могут быть как RSA, так и ГОСТ (например, Gemalto CryptoPro ФКН, JaCarta ГОСТ, ruToken — не помню точно как называется модель). То есть если ключ сгенерирован на смарт-карте, то он никогда эту смарт-карту не покидает и является неизвлекаемым. И вся работа с закрытым ключом происходит только внутри смарт-карты.
Но исторически сложилось так, что на Российском рынке сначала появились ключи, которые умели только RSA и совсем не умели ГОСТ. При этом, компании — разработчики крипто-провайдеров решили использовать данные ключи как флешку с пин-кодом. То есть, те же Крипто Про, СогналКом, ЛИССИ и другие генерируют криптопару (открытый и закрытый ключи) на компьютере и далее кладут криптоконтейнер на смарт-карту в её файловое хранилище (доступ к которому Вы и получили). При этом, при работе, криптоконтейнер (вместе с закрытым ключом) копируется на компьютер, распаковывается и используется для вычислений. При таком подходе, в момент работы с закрытым ключом, он находится в памяти компьютера в открытом виде.
Таким образом, неизвлекаемость ключа обеспечивается его правильной генерацией.
А если Вы работаете с продуктом, который использует смарт-карту как обычную флешку с пин-кодом, тогда она и будет выполнять роль флешки. И не понимаю чем вызвано подобное удивление.
Как мне всегда говорили старшие коллеги — RTFM!
2. Почему Pkcs11 библиотека работающая с «полностью российской разработкой» токеном Jacarta подписана компанией Athena?
Вы упорно игнорируете этот вопрос — это становится подозрительным.
А что по поводу второго вопроса:
2. Почему Pkcs11 библиотека работающая с «полностью российской разработкой» токеном Jacartaподписана компанией Athena?
1. Зачем импортировать ключ в токен предварительно сгенерив его программно и сохранив в pfx? Это же прямой путь к утечке и/или подмене сертификата.
2. Почему Pkcs11 библиотека работающая с «полностью российской разработкой» токеном Jacartaподписана компанией Athena?
P.S. Спасибо за статью!
1. Как уже написали, до 2010 года (может до 2011, точно не помню) существовало две компании:
— Aladdin Knowledge Systems — израильская компания, которая и была разработчиком и производителем eToken;
— Аладдин Р.Д. — российская компания, которая имела уникальные права на продажу ключейeToken в России. Так же компания Аладдин Р.Д. является разработчиком собственных решений на базе ключей eToken.
2. Ключ eToken ГОСТ является разработкой российской компании Аладдин Р.Д. и к Aladdin Knowledge Systems имеет посредственное отношение, ключи eToken используются как аппаратная платформа для апплета ГОСТ — подробнее ранее писал тут.
3. Компания Safenet купила израильскую компанию Aladdin Knowledge Systems и их продукты. Российская компания Аладдин Р.Д. осталась самостоятельной компанией.
4. Российская компания Аладдин Р.Д. разработала и выпустила собственный продукт JaCarta, аналог продукта eToken, как, например, ruToken, eSmart Token и другие.
Таким образом, JaCarta — это не eToken и не замена eToken и не развитие линейки eToken. JaCarta — это новый продукт, разработанный компанией Аладдин Р.Д.
eToken ГОСТ, как продукт, принадлежит компании Аладдин Р.Д., а не компании Safenet, по этому компания Safenet никак не могла «забить» на eToken ГОСТ.
Теперь Аладдин Р.Д. выпускает и продвигает собственный продукт JaCarta.
А eToken'ами занимается компания Safenet.
2. Что мешает написать аналог key-loger'а который отсканирует подпись и будет эмулировать?
3. Даже если не заморачиваться подделкой, Вы уверены, что билметрическая подпись уникальна для 7 000 000 000 человек?
а ЭЦП в данном случае «защищается» двухфакторностью, то есть помимо сертификата для ЭЦП, нужно ещё и pin-код знать, а уж если Вы сами всё отдали другому человеку, то значит Вы сами ему доверили подпись от Вашего имени…