Комментарии 10
Решение интересное.
Но на мой взгляд нужно делать продукт, который будет реализовывать «облачный токен» внутри компании.
Держать приватные ключи «где-то у кого-то» в Интернете можно только в исключительных случаях, когда ключи не представляют большой ценности.
Но на мой взгляд нужно делать продукт, который будет реализовывать «облачный токен» внутри компании.
Держать приватные ключи «где-то у кого-то» в Интернете можно только в исключительных случаях, когда ключи не представляют большой ценности.
Спасибо.
По первому замечанию. Нет проблем развернуть облачный сервис на сервере в корпоративной сети (на каком-нибудь сервере с IP-адресом 192.168.х.х). Так что ничего делать не надо.
Что касается второго. Весь вопрос что-такое Интернет и «где-то у кого-то». Конечно, это должен быть проверенный провайдер.
По первому замечанию. Нет проблем развернуть облачный сервис на сервере в корпоративной сети (на каком-нибудь сервере с IP-адресом 192.168.х.х). Так что ничего делать не надо.
Что касается второго. Весь вопрос что-такое Интернет и «где-то у кого-то». Конечно, это должен быть проверенный провайдер.
Правильно ли я понял что в статье описывается — продукт (фрагмент) компании ЛИСИ-СФОТ LCSSL (http://soft.lissi.ru/ls_product/skzi/OpenSSL)?
Если нет то как реализовать функционал облачного токена в частном облаке?
Если нет то как реализовать функционал облачного токена в частном облаке?
По первому вопросу — нет не так. Это разные продукты, но имеющие на нижнем уровне одну и туже реализацию российскиз криптоалгоритмов. Если говорить о каких-то прототипах — то это естественно программый токен LS11SW.
По второму. Облако состоит из двух частей: серверной и клиентской/пользовательской.
Материал написан на основании того, что серверная часть уже поднята в интернете по адресу pkcs11.ru:4444 и статье не рассматривается. Для Частного облака компания должна выделить сервер, например, по адрему 192.168.0.45:4567 и на нем запустить серверную часть облака. Остальное по тексту с учетом адреса сервиса.
По второму. Облако состоит из двух частей: серверной и клиентской/пользовательской.
Материал написан на основании того, что серверная часть уже поднята в интернете по адресу pkcs11.ru:4444 и статье не рассматривается. Для Частного облака компания должна выделить сервер, например, по адрему 192.168.0.45:4567 и на нем запустить серверную часть облака. Остальное по тексту с учетом адреса сервиса.
Положил личный сертификат в облачный токен, подключил его к плагину госуслуг и оплатил налоговую задолжность через портал ГОСУСЛУГ .OC — linux.
А зачем? Безопасность от такого решения падает, а сложность реализации растет. Можно спокойно авторизоваться с помощью двухфакторной авторизации самих ГУ.
На сайте той-же налоговой есть свой облачный токен, для подписи деклараций. Но там он оправдан, т.к. сильно упрощает процесс подачи декларации, при этом подпись Вы можете осуществить и с обычного токена (на сколько я помню).
На сайте той-же налоговой есть свой облачный токен, для подписи деклараций. Но там он оправдан, т.к. сильно упрощает процесс подачи декларации, при этом подпись Вы можете осуществить и с обычного токена (на сколько я помню).
Можно спокойно авторизоваться с помощью двухфакторной авторизации самих ГУ.
На сайте ГУ есть несколько способов авторизации:
— с помощью пароля
— с помощью электронных средств.
С помощью пароля — к этому способу вообще нет доверия.
С помощью электронных средств — имеется в виду использования сертификата и электронной подписи.
Если обычный токен — это токен, используемый как флэшка, только с PIN-кодом (а так используется 99% токенов у нас), то тоже доверия мало. Если же вы имеете в виду ГОСТ-вый токен PKCS#11, то да.
Недостаток у реального, а не облачного токена, один — стеречь его надо.
— с помощью пароля
Авторизация с помощью пароля используется двухфакторная, с помощью СМС. Не верх секьюрности, но при хранении пароля отдельно от телефона позволяет гарантировать неуязвимость от автоматического взлома. Разумеется, если ломать будут лично Вас, то это возможно. Но неуязвимых систем вообще не существует.
Если же вы имеете в виду ГОСТ-вый токен PKCS#11, то да.
Под токеном я имею ввиду что-то вроде этого, дешево и сердито!
Недостаток у реального, а не облачного токена, один — стеречь его надо.
Так это не недостаток, а достоинство:
Для доступа к физическому токену мне нужно знать пароль/пин-код и иметь физический доступ к носителю одновременно. Т.е. хакер на другом конце планеты не вскроет сейф, а медвежатник не узнает пароль.
Для доступа же к облачному токену достаточно знать пароль! Более того, нужно доверять другому человеку свой токен, что в наше время может слишком дорого стоить!
Ссылку на токен вы дали правильную. Но Вопрос остался: как этот токен используют — как флэшку или токен PKCS#11.
Да, именно так.
Ноесли мы доверяем СМС от банка, то что мешает тому же банку вместо генерации одноразовых паролей, зпвести у себя для своих клиентов облачный криптографический токен. Мы же доверяем банкам!?
Но неуязвимых систем вообще не существует
Да, именно так.
Ноесли мы доверяем СМС от банка, то что мешает тому же банку вместо генерации одноразовых паролей, зпвести у себя для своих клиентов облачный криптографический токен. Мы же доверяем банкам!?
как флэшку или токен PKCS#11.
Разумеется я имею ввиду вариант использования с неизвлекаемым ключом. Хранишь в открытом виде — «сам себе злобный Буратино».
зпвести у себя для своих клиентов облачный криптографический токен.
На сайте налоговой это костыль, который закрывает законную необходимость в подписании декларации! Это я понимаю.
А зачем на сайте банка? Авторизация по «облачному криптоконтейнеру» менее надежна, чем простой пароль, а подпись на документах может быть легко заменена подписью самого банка. Зачем мне и банку это? Какой в этом смысл?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Криптографический облачный сервис PKCS#11: от мифа к реальности