И что, благодаря этой технологии в электронной почте Федерального Собрания больше нельзя переслать вирус?
Конечно можно. Как говорят «бумага все стерпит». Проверка достоверность данных (как в разведке), их незараженность (как при сексе) — лежит на получателе. И другого быть ничего не может. Поэтому получаемые данные с внешнего сервера (он же принадлежит Интернет) должны быть проверены и перепроверены как на внешнем, так и на внутреннем серверах.
Проверка может включать проверку на вирусы, проверку на контент и т.д.
Все подтверждает эксперимент и опыт.
В ЦБ РБ эта технология используется более 10 лет. И уж как они проверяли с точки зрения безопасности, прежде чем начали использовать. И количество устройств каждыц год растет.
Да, чуть не забыл. Первым, кто использовал эту технологию, было Федеральное Собрание для безопасного использования электронной почты.
ваше утверждение «гарантируется отсутствие заражения» ложно
Нет проблем, значит у вас есть доказательство (как у теоремы Пифагора — Пифагоровы штаны не все стороны равны).
Выложте это доказательство.
Только в вашем сексе кто-нибудь получает удовольствие (уж не операционистка ли?)?
А здесь реально человек получает требуемую информацию, не боясь что получит венерическое заболевание.
И этот некий канал вроде оптопары — «гальваническая», так сказать, развязка
Если гальваническая развязка — это оптика, но с сохранением IP-взаимодействия, то это не развязка.
Внешний сервер, как и любой другой компьютер, подключенный к Интернет — может быть взломан.
Веревка IEE1394 и драйвер устроены так, что любое злоумышленное действие с веревкой не внешнем сервере, становится известным на внутреннем сервере. И он просто разрывает связь до выяснения причин или переходит на резерв.
А как подключена ваша DMZ к внешнему миру?
И окажется, что это сетевые протоколы, это межсетевые экраны и т.д. Но чтобы защитить межсетевой экран, надо поставить еще один и т.д.
Первое, все объекты токена хранятся на флэшке зашифрованные на PIN-е.
Создаваемый токен жестко привязан к флэшке (в частности, к ее серийному номеру) и «партия» не прокатит. Неизвлекаемость нафлэшке подразумевает (впрочем, так же и классическом токене) невозможность экспортировать значение закрытьго ключа (CKA_SENSITIVE=CK_TRUE && CKA_EXTRACTABLE=CK_FALSE).
Да, здесь криптографические операции, например, подпись, выполняются не в отдельном устройстве (аппаратном токене), а на компьютере (библиотеке), к которому подключена флэшка. И это, естественно, отличает аппаратный токен от программно-аппаратного токена.
Можете. У вас ключи хранятся вместе с сертификатом в PKCS#12?
Если это так, то для импорта можно воспользоваться Redfox или FoxXCA.
В РуТокен ЭЦП флаги устанавливаются по умолчанию и ключ становится неизвлекаемым.
Эмм, а где эти «флаги» выставлять?
В программе, которую вы можете написать сами в соответствии с PKCS#11 v.2.30, например: priv_atts <<
pk11_attr_bool(CKA_TOKEN, true) <<
pk11_attr_bool(CKA_PRIVATE, true) <<
pk11_attr_data(CKA_LABEL, getIntName().toUtf8()) <<
new_id << pk11_attr_bool(CKA_SENSITIVE, true) <<
pk11_attr_bool(CKA_DECRYPT, true) <<
pk11_attr_bool(CKA_SIGN, true) <<
pk11_attr_bool(CKA_UNWRAP, true)<< pk11_attr_bool(CKA_EXTRACTABLE, false);
Куда, добавили? В XCA? Так он и так хорошо написан.
А вот добавить поддержку ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012 в OpenSSL или в поддержку токенов PKCS#11- да тут нужна смекалка и несколькими строчками не обойдешься.
А когда это сделано, то и не зазорно добавить и несколько строк.
У каждого токена может быть своя политика выставления флагов:
CKA_SENSITIVE=CK_TRUE, а атрибута CKA_EXTRACTABLE=CK_FALSE
Из тех, что на слуху, это RuToken ECP (РуТокен ЭЦП) — ключ не извлекаемый!!! Хотя на него можно импортировать закрытый ключ, например, из PKCS#12.
Установив флаги CKA_SENSITIVE=CK_TRUE && CKA_EXTRACTABLE=CK_FALSE
можно сделать неизвлекаемым ключ даже программно-аппаратных токенах на USB-флэшках.
Конечно можно. Как говорят «бумага все стерпит». Проверка достоверность данных (как в разведке), их незараженность (как при сексе) — лежит на получателе. И другого быть ничего не может. Поэтому получаемые данные с внешнего сервера (он же принадлежит Интернет) должны быть проверены и перепроверены как на внешнем, так и на внутреннем серверах.
Проверка может включать проверку на вирусы, проверку на контент и т.д.
В ЦБ РБ эта технология используется более 10 лет. И уж как они проверяли с точки зрения безопасности, прежде чем начали использовать. И количество устройств каждыц год растет.
Да, чуть не забыл. Первым, кто использовал эту технологию, было Федеральное Собрание для безопасного использования электронной почты.
Нет проблем, значит у вас есть доказательство (как у теоремы Пифагора — Пифагоровы штаны не все стороны равны).
Выложте это доказательство.
А здесь реально человек получает требуемую информацию, не боясь что получит венерическое заболевание.
Более того, если мы хотим получить доступ к Web-ресурсам Интернет, то в качестве внешнего ресурса, как правило, используется SQUID
Если гальваническая развязка — это оптика, но с сохранением IP-взаимодействия, то это не развязка.
Внешний сервер, как и любой другой компьютер, подключенный к Интернет — может быть взломан.
Веревка IEE1394 и драйвер устроены так, что любое злоумышленное действие с веревкой не внешнем сервере, становится известным на внутреннем сервере. И он просто разрывает связь до выяснения причин или переходит на резерв.
И окажется, что это сетевые протоколы, это межсетевые экраны и т.д. Но чтобы защитить межсетевой экран, надо поставить еще один и т.д.
Нет, конечно. Сетевого взаимодействия нет. Написан драйвер, по которому как по каналу (pipe) передаются данные.
Создаваемый токен жестко привязан к флэшке (в частности, к ее серийному номеру) и «партия» не прокатит. Неизвлекаемость нафлэшке подразумевает (впрочем, так же и классическом токене) невозможность экспортировать значение закрытьго ключа (CKA_SENSITIVE=CK_TRUE && CKA_EXTRACTABLE=CK_FALSE).
Да, здесь криптографические операции, например, подпись, выполняются не в отдельном устройстве (аппаратном токене), а на компьютере (библиотеке), к которому подключена флэшка. И это, естественно, отличает аппаратный токен от программно-аппаратного токена.
Если это так, то для импорта можно воспользоваться Redfox или FoxXCA.
В РуТокен ЭЦП флаги устанавливаются по умолчанию и ключ становится неизвлекаемым.
В программе, которую вы можете написать сами в соответствии с PKCS#11 v.2.30, например:
priv_atts <<
pk11_attr_bool(CKA_TOKEN, true) <<
pk11_attr_bool(CKA_PRIVATE, true) <<
pk11_attr_data(CKA_LABEL, getIntName().toUtf8()) <<
new_id <<
pk11_attr_bool(CKA_SENSITIVE, true) <<
pk11_attr_bool(CKA_DECRYPT, true) <<
pk11_attr_bool(CKA_SIGN, true) <<
pk11_attr_bool(CKA_UNWRAP, true)<<
pk11_attr_bool(CKA_EXTRACTABLE, false);
Да, именно так сегодня!
А вот добавить поддержку ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012 в OpenSSL или в поддержку токенов PKCS#11- да тут нужна смекалка и несколькими строчками не обойдешься.
А когда это сделано, то и не зазорно добавить и несколько строк.
Айзек Азимов. Чувство силы — The Feeling of Power (1959).
Из тех, что на слуху, это RuToken ECP (РуТокен ЭЦП) — ключ не извлекаемый!!! Хотя на него можно импортировать закрытый ключ, например, из PKCS#12.
Установив флаги CKA_SENSITIVE=CK_TRUE && CKA_EXTRACTABLE=CK_FALSE
можно сделать неизвлекаемым ключ даже программно-аппаратных токенах на USB-флэшках.
Это немного отдельная песня и я бы сейчас на этом не зацикливался!