История о том, как я флешку по воздуху прокинул

[gleb4u]

Часто пользовались USB Redirector на работе Аутсорс админов ( сервера/сеть/прикладные задачки) на самом деле очень стабильная софтина, но для её настройки, требуется танец с бубном + тайное знание, но на 50+ HV работала без отказа, всё, от HASP ключей для 1С до касс, единственное, что как раз таки вопрос ЭЦП, мы просто другими методами решали ( с новыми версия Рутокена ( не лайт) ) скоро такие фокусы не пройдут, а так, переодически всякие контуры/сбисы могут выпустить ЭЦП на Физ/ИП экспортируемую, что так же позволит, просто вытянуть из неё сам .crt и 6 файликов (Header и т.п.), ну или через крипто про скопировать.

Статья интересная, про Pi в контексте удалённого USB хаба я ещё не думал, век живи, век учись.
Автору спасибо и хорошего настроения =)

[Pro100lamer]

Спасибо!
Расберри много где можно прикрутить, универсальная штука. У меня осталась еще со времен когда игрался с домашними серверами и "роботами" но продолжения не было, по этому валялась без дела.
Скопировать в реестр как раньше можно было, не вышло. Вот и заморочился.
USB Redirector "потыкал" там вроде условно бесплатно на linux-linux есть, но при наличии альтернативы в виде VirtualHere не имеет смысла.

[Xokare]

Только хотел написать. С рутокен лайт просто экспоритуертся эцп и кладётся локально на комп. И всё работает, без каких-либо пробросов по интернету. Но автор всё равно молодец

[not-allowed-here]

veracrypt и Yandex Disk невариант? ато "прокидка по воздуху" Флешки - ну такое себе с тз безопасности...

[Sly_tom_cat]

+/- - любой бла-бла-диск - это отдать свои секреты (путь даже зашифрованные) непонятным людям.

Тогда уже veracrypt + SyncThing или что-то подобное.

[Pro100lamer]

Опишите поподробнее "veracrypt и Yandex Disk". Не совсем понятно как можно решить данную задачу с помощью этих инструментов?

[not-allowed-here]

Для работы с Яндекс.Диском в VeraCrypt вам нужно создать зашифрованный контейнер в VeraCrypt, сохранить его как обычный файл, а затем переместить этот файл-контейнер в вашу папку Яндекс.Диска. Так, ваши данные будут зашифрованы и синхронизированы облачным сервисом, при этом сам файл контейнера будет защищен паролем. 

Шаг 1: Установка VeraCrypt 

1. Скачайте установочный файл VeraCrypt с официального сайта VeraCrypt.

2. Установите программу на ваш компьютер, следуя инструкциям установщика.

Шаг 2: Создание зашифрованного контейнера 

1. Запустите VeraCrypt.

2. В главном окне нажмите кнопку «Создать том».

3. Выберите опцию «Создать зашифрованный файл-контейнер» и нажмите «Далее».

4. Выберите «Обычный том VeraCrypt».

5. Укажите местоположение и имя для вашего файла-контейнера (например, ЗашифрованныеДанные.hc).

6. Установите размер контейнера, выберите алгоритм шифрования и хэширования.

7. Создайте и подтвердите надежный пароль для контейнера.

8. Выберите тип файловой системы.

Шаг 3: Использование контейнера с Яндекс.Диском 

1. Монтирование:

   После создания контейнера, в VeraCrypt выберите свободный слот для диска (например, диск F:), нажмите кнопку «Выбрать файл», найдите созданный контейнер и нажмите кнопку «Смонтировать».

2. Ввод пароля:

   Введите установленный пароль и нажмите «ОК». Контейнер будет смонтирован как виртуальный диск.

3. Перемещение данных:

   Скопируйте нужные файлы и папки внутрь этого виртуального диска.

4. Синхронизация с Яндекс.Диском:

   Закройте окно виртуального диска (размонтируйте его в VeraCrypt), чтобы сохранить все изменения. Переместите созданный файл-контейнер (например, ЗашифрованныеДанные.hc) в папку вашего Яндекс.Диска.

5. Доступ к данным:

   Теперь вы можете открыть этот файл-контейнер через Яндекс.Диск, смонтировать его, ввести пароль и получить доступ к вашим зашифрованным данным.

[Pro100lamer]

Спасибо, очень подробно и понятно. Многим будет полезно. Содержимое ключа предпочту оставить на ключе. Ну а так тоже как альтернатива.

[Kanut]

Спасибо, очень подробно и понятно. Многим будет полезно

Тем, кто сам не в состоянии попросить LLM написать инструкцию по использованию veracrypt и Yandex Disk? :)

[not-allowed-here]

А я последнее время подсел на гугловского помощника он адекватно агрегирует инфу сокращая время поиска в разы.

[Kanut]

Да это сколько угодно. Лично я ничего против не имею и сам LLM регулярно пользуюсь.

Просто стиль и оформление сразу бросаются в глаза :)

[K0styan]

Тут вопрос ещё: это действительно флэшка или специализированный USB-токен? Потому что из второго просто не получится достать то, что можно будет потом синхронизировать.

[not-allowed-here]

Ну сказано же флешка.... Если это токен с крипто контейнером - то многий софт же умёт детектировать такую прокидку там как повезет может и не проканать....

[rdp]

Наши безопасники оказывается уже давно используют какую-то аппаратную приблуду для этого.

Безопасники лучше всех знают, как обходить системы безопасности.

[apevzner]

USBIP в целом работает, но только Linux-Linux. Под Windows все сложно: нужен режим разработчика для клиента — тоже минус.

Так есть же вроде подписанный клиент для венды: https://github.com/vadimgrn/usbip-win2

[Pro100lamer]

Спасибо, не увидел. Протестирую если будет время.

[apevzner]

С USBIP та проблема, что в нём не предусмотрен PnP. Т.е., можно воткнуть и "примонтировать" устройство, но если оно отсоединится (например, из-за того, что драйвер сделает reset), оно отвалится.

А хотелось бы, чтобы клиенты автоматически получали нотификации о появлении новых устройств и автоматически их "монтировали" (вероятно, не все подряд, а по каким-то критериям).

Не знаю, может если бы USBIP сервер экспортировал бы не конечные устройства, а виртуальный USB hub, как устройство, это бы и работало. Но линуксный сервер так не умеет.

[positroid]

Никакой паники из-за «забытой» флешки!

Правильно понимаю, что теперь причины паники изменились и их стало больше?) Отключение питания, доступность сети и прочие

[Pro100lamer]

XD Именно так! Вопрос тоже решаемый но не такой критичный как осознание в моменте что ты потерял ЭЦП. Тут больше эмоциональная составляющая. Кто сталкивался, меня поймет.

[f000]

Неэкспортируемая? Копию нельзя сделать? Одна дома, одна с собой, одна в сейфе.

[Pro100lamer]

В лоб не получилось, неэкспортируемая.

[alexrus]

У вас Рутокен S, легкое гугление быстро приведет вас с способу копирования. (Да, даже неэкспортируемоего контейнера)

[efcadu]

Насколько я знаю, с Рутокен S не копируется, только Lite. Ну и если приспичит - цена вопроса 1800 руб за Рутокен Lite и один поход в налоговую, чтобы перевыпустить ЭЦП.

[Xokare]

Без похода в налоговую. При наличии действующей УКЭП можно выпустить новую УКЭП удалённо через сайт налоговой. Так что вопрос только покупки рутокен лайт

[alexrus]

Выпустить можно только на тот же носитель

[alexrus]

Копируется

[HarutAdyan]

Нельзя

[fronik]

Если я правильно понял, и флэшка = токен с ЭП, то ЭП можно скопировать (в т.ч. и неэкспортируемую). И вполне безопасно с паролем хранить ЭП в реестре КриптоПро нужного компьютера (а флэшку оставить в надёжном месте). При каждой подписи запрашивается пароль.

[edo1h]

ЭП можно скопировать (в т.ч. и неэкспортируемую

Это как так?

[Viteran33]

Поискать инструменты(буквально несколько минут), насколько я помню запрет на экспорт ЭЦП записан как некий флаг, т.е. просто текстовое поле. А дальше ПО для работы с ЭЦП видя этот флаг не дает копировать, если взять ПО которому будет плевать на этот флаг, Вы без проблем можете делать копии своей ЭЦП.

[edo1h]

Тогда очень большие вопросы к отечественным криптографам. Ибо весь смысл аппаратного токена в том, что закрытый ключ генерируется внутри и никогда не покидает токен

[belav]

А в чём вопрос? Главное, нельзя подделать. А копировать не запрещено.

[K0styan]

Несанкционированное копирование принципиально от подделки не отличается: что так, что так у постороннего появляется неотличимый от оригинала ключ.

[not-allowed-here]

Если все правильно настроено то скопировать хардовый токен нельзя. То что мало кто заморачивается нормальной настройкой это отдельная опера....

[sinigr]

Это вопрос к тому, где генерируется ключ. Если ключи генерируются ПО, и затем записываются в токен, то чаще всего они пишутся в виде контейнера (по сути в виде файла).

Если же ключи генерируются на самом токене, и закрытый ключ находится в защищенной области памяти, то подписание выполняется на самом токене, и занимает больше времени, чем если ключи в виде контейнера, особенно это заметно при подписании большого количества мелких документов.

И КриптоПРО, и ViPNet хранят свои ключи в виде контейнеров, более того, есть утилиты, позволяющие конвертировать контейнеры между ними.

[edo1h]

Если ключи генерируются ПО, и затем записываются в токен, то чаще всего они пишутся в виде контейнера (по сути в виде файла)

и чем это лучше просто файла на флешке?

[belav]

Запустить крипто про, там есть копирование ключа. Можно на отдельную флешку, можно на комп.

[Moog_Prodigy]

Такой вопрос - а так и в магазине можно стенку приподнять? А какая машина! А через такой мост сможет работать переходник usb - 485 или usb-ttl ? А вайфай свисток? Про последний я знаю лишь свою статистику, что оно работает на кабелях длиной до метра а потом скорости не вывозит. Последнее - к вопросу "подключиться к точке доступа удаленно".

[lv333]

Любое юсб устройство в теории можно через IP прикинуть. Но вот идею с вайфай свистком если честно недопонял... Нет, технически сделать можно, только вот зачем???

[edo1h]

устройство может ожидать реакции хоста в течении какого-то срока, а через интернет реакция может занять десятки-сотни мс…

[belav]

Можно. Я так удаленно менял vid-pid у cp2101.

[IZh]

Или пристегнуть к ключам от квартиры. Тогда не получится уйти, не взяв.

[HarutAdyan]

Только начало прочитал и не понял, чем RDP не подходит?

[sansar]

rdp вообще зло, запрещает работу со смарт картами и другими эцп при активном внешнем подключении.

[not-allowed-here]

У rdp надо на обоих концах дллы патчить иначе он токены не увидит....

[maxdm]

Можно и не патчить.
В КриптоПро CSP последних версий есть возможность отключить перенаправление смарт-карт при RDP подключении.