Думаю, для начала стоит перестать путать аутентификацию и авторизацию. В исходной статье, на которую ссылаетесь, речь идёт именно про аутентификацию, а не про авторизацию.
И уже написано очень много текста по поводу аутентификации с помощью биометрии - основной посыл, что биометрия может быть дополнительным фактором для аутентификации, но никак не основным и тем более никак не единственным.
Думаю, для начала стоит разобраться с терминологией, а то судя по тексту идентификация и аутентификация - это одно и тоже и по тексту они взаимозаменяют друг друга. Но это разные понятия и за ними стоят разные процессы.
NFC — это технология беспроводной передачи данных (https://ru.wikipedia.org/wiki/Near_Field_Communication), говорить, что через NFC будет счиана вся информация с чипа, всё равно, что говорить, что с компа будет считана вся информация через WiFi.
Thales Group — это европейская компания (https://ru.wikipedia.org/wiki/Thales).
Этот eToken PRO относился к партии, выпущенной до 1 декабря 2017 года.
После этой даты компания «Аладдин Р.Д.» прекратила продажу устройств eToken PRO (Java) в связи с завершением поддержки и поставок производителем — компанией Gemalto, к слову, чуть раньше поглотившей SafeNet, Inc.
Это не совсем корректная информация. Ключи eToken Pro Java продаются и поддерживаются компанией Gemalto. Более того, линейка развивается и выходят новые версии ключей: habr.com/ru/post/281256
Забегая немного вперед, нужно сказать, что работа с ним настраивалась через соответствующие драйверы — SafenetAuthenticationClient-10.0.32-0.x86_64, которые можно получить только в поддержке Аладдин Р.Д. по отдельной online заявке.
Middleware, наверное, всё же лучше запрашивать у производителя или официального дистрибутора продуктов Gemalto.
Думаю, прежде чем писать подобные «разгромные» статьи, следует разобраться в мат.части, тем более, что она уже неоднократно обсуждалась на этом ресурсе.
Смарт-карты (так же как и USB-ключи) имеют защищённое хранилище, в котором лежат закрытые ключи, сгенерированные непосредственно на смарт-карте, некоторые смарт-карты позволяют импортировать в данное защищённое хранилище ключи, сгенерированные за пределами смарт-карты. При этом, ключи могут быть как RSA, так и ГОСТ (например, Gemalto CryptoPro ФКН, JaCarta ГОСТ, ruToken — не помню точно как называется модель). То есть если ключ сгенерирован на смарт-карте, то он никогда эту смарт-карту не покидает и является неизвлекаемым. И вся работа с закрытым ключом происходит только внутри смарт-карты.
Но исторически сложилось так, что на Российском рынке сначала появились ключи, которые умели только RSA и совсем не умели ГОСТ. При этом, компании — разработчики крипто-провайдеров решили использовать данные ключи как флешку с пин-кодом. То есть, те же Крипто Про, СогналКом, ЛИССИ и другие генерируют криптопару (открытый и закрытый ключи) на компьютере и далее кладут криптоконтейнер на смарт-карту в её файловое хранилище (доступ к которому Вы и получили). При этом, при работе, криптоконтейнер (вместе с закрытым ключом) копируется на компьютер, распаковывается и используется для вычислений. При таком подходе, в момент работы с закрытым ключом, он находится в памяти компьютера в открытом виде.
Таким образом, неизвлекаемость ключа обеспечивается его правильной генерацией.
А если Вы работаете с продуктом, который использует смарт-карту как обычную флешку с пин-кодом, тогда она и будет выполнять роль флешки. И не понимаю чем вызвано подобное удивление.
Как мне всегда говорили старшие коллеги — RTFM!
Так а что по поводу второго вопроса:
2. Почему Pkcs11 библиотека работающая с «полностью российской разработкой» токеном Jacarta подписана компанией Athena?
Вы упорно игнорируете этот вопрос — это становится подозрительным.
Допустим.
А что по поводу второго вопроса:
2. Почему Pkcs11 библиотека работающая с «полностью российской разработкой» токеном Jacartaподписана компанией Athena?
Подскажите, пожалуйста,
1. Зачем импортировать ключ в токен предварительно сгенерив его программно и сохранив в pfx? Это же прямой путь к утечке и/или подмене сертификата.
2. Почему Pkcs11 библиотека работающая с «полностью российской разработкой» токеном Jacartaподписана компанией Athena?
P.S. Спасибо за статью!
Последняя картинка — это ключи OTP. Слияние Gemalto и Safent произошло совсем недавно (от сюда и приставка Gemalto), по этому видимо пока OTP ключи Gemalto и указаны как «сторонние».
Подробнее, так подробнее…
1. Как уже написали, до 2010 года (может до 2011, точно не помню) существовало две компании:
— Aladdin Knowledge Systems — израильская компания, которая и была разработчиком и производителем eToken;
— Аладдин Р.Д. — российская компания, которая имела уникальные права на продажу ключейeToken в России. Так же компания Аладдин Р.Д. является разработчиком собственных решений на базе ключей eToken.
2. Ключ eToken ГОСТ является разработкой российской компании Аладдин Р.Д. и к Aladdin Knowledge Systems имеет посредственное отношение, ключи eToken используются как аппаратная платформа для апплета ГОСТ — подробнее ранее писал тут.
3. Компания Safenet купила израильскую компанию Aladdin Knowledge Systems и их продукты. Российская компания Аладдин Р.Д. осталась самостоятельной компанией.
4. Российская компания Аладдин Р.Д. разработала и выпустила собственный продукт JaCarta, аналог продукта eToken, как, например, ruToken, eSmart Token и другие.
Таким образом, JaCarta — это не eToken и не замена eToken и не развитие линейки eToken. JaCarta — это новый продукт, разработанный компанией Аладдин Р.Д.
eToken ГОСТ, как продукт, принадлежит компании Аладдин Р.Д., а не компании Safenet, по этому компания Safenet никак не могла «забить» на eToken ГОСТ.
Теперь Аладдин Р.Д. выпускает и продвигает собственный продукт JaCarta.
А eToken'ами занимается компания Safenet.
1. По моему при определённой сноровке и некоторой тренировке такую подпись можно очень просто подделать.
2. Что мешает написать аналог key-loger'а который отсканирует подпись и будет эмулировать?
3. Даже если не заморачиваться подделкой, Вы уверены, что билметрическая подпись уникальна для 7 000 000 000 человек?
а ЭЦП в данном случае «защищается» двухфакторностью, то есть помимо сертификата для ЭЦП, нужно ещё и pin-код знать, а уж если Вы сами всё отдали другому человеку, то значит Вы сами ему доверили подпись от Вашего имени…
Думаю, для начала стоит перестать путать аутентификацию и авторизацию. В исходной статье, на которую ссылаетесь, речь идёт именно про аутентификацию, а не про авторизацию.
И уже написано очень много текста по поводу аутентификации с помощью биометрии - основной посыл, что биометрия может быть дополнительным фактором для аутентификации, но никак не основным и тем более никак не единственным.
Думаю, для начала стоит разобраться с терминологией, а то судя по тексту идентификация и аутентификация - это одно и тоже и по тексту они взаимозаменяют друг друга. Но это разные понятия и за ними стоят разные процессы.
Thales Group — это европейская компания (https://ru.wikipedia.org/wiki/Thales).
Это не совсем корректная информация. Ключи eToken Pro Java продаются и поддерживаются компанией Gemalto. Более того, линейка развивается и выходят новые версии ключей: habr.com/ru/post/281256
Middleware, наверное, всё же лучше запрашивать у производителя или официального дистрибутора продуктов Gemalto.
Смарт-карты (так же как и USB-ключи) имеют защищённое хранилище, в котором лежат закрытые ключи, сгенерированные непосредственно на смарт-карте, некоторые смарт-карты позволяют импортировать в данное защищённое хранилище ключи, сгенерированные за пределами смарт-карты. При этом, ключи могут быть как RSA, так и ГОСТ (например, Gemalto CryptoPro ФКН, JaCarta ГОСТ, ruToken — не помню точно как называется модель). То есть если ключ сгенерирован на смарт-карте, то он никогда эту смарт-карту не покидает и является неизвлекаемым. И вся работа с закрытым ключом происходит только внутри смарт-карты.
Но исторически сложилось так, что на Российском рынке сначала появились ключи, которые умели только RSA и совсем не умели ГОСТ. При этом, компании — разработчики крипто-провайдеров решили использовать данные ключи как флешку с пин-кодом. То есть, те же Крипто Про, СогналКом, ЛИССИ и другие генерируют криптопару (открытый и закрытый ключи) на компьютере и далее кладут криптоконтейнер на смарт-карту в её файловое хранилище (доступ к которому Вы и получили). При этом, при работе, криптоконтейнер (вместе с закрытым ключом) копируется на компьютер, распаковывается и используется для вычислений. При таком подходе, в момент работы с закрытым ключом, он находится в памяти компьютера в открытом виде.
Таким образом, неизвлекаемость ключа обеспечивается его правильной генерацией.
А если Вы работаете с продуктом, который использует смарт-карту как обычную флешку с пин-кодом, тогда она и будет выполнять роль флешки. И не понимаю чем вызвано подобное удивление.
Как мне всегда говорили старшие коллеги — RTFM!
2. Почему Pkcs11 библиотека работающая с «полностью российской разработкой» токеном Jacarta подписана компанией Athena?
Вы упорно игнорируете этот вопрос — это становится подозрительным.
А что по поводу второго вопроса:
2. Почему Pkcs11 библиотека работающая с «полностью российской разработкой» токеном Jacartaподписана компанией Athena?
1. Зачем импортировать ключ в токен предварительно сгенерив его программно и сохранив в pfx? Это же прямой путь к утечке и/или подмене сертификата.
2. Почему Pkcs11 библиотека работающая с «полностью российской разработкой» токеном Jacartaподписана компанией Athena?
P.S. Спасибо за статью!
1. Как уже написали, до 2010 года (может до 2011, точно не помню) существовало две компании:
— Aladdin Knowledge Systems — израильская компания, которая и была разработчиком и производителем eToken;
— Аладдин Р.Д. — российская компания, которая имела уникальные права на продажу ключейeToken в России. Так же компания Аладдин Р.Д. является разработчиком собственных решений на базе ключей eToken.
2. Ключ eToken ГОСТ является разработкой российской компании Аладдин Р.Д. и к Aladdin Knowledge Systems имеет посредственное отношение, ключи eToken используются как аппаратная платформа для апплета ГОСТ — подробнее ранее писал тут.
3. Компания Safenet купила израильскую компанию Aladdin Knowledge Systems и их продукты. Российская компания Аладдин Р.Д. осталась самостоятельной компанией.
4. Российская компания Аладдин Р.Д. разработала и выпустила собственный продукт JaCarta, аналог продукта eToken, как, например, ruToken, eSmart Token и другие.
Таким образом, JaCarta — это не eToken и не замена eToken и не развитие линейки eToken. JaCarta — это новый продукт, разработанный компанией Аладдин Р.Д.
eToken ГОСТ, как продукт, принадлежит компании Аладдин Р.Д., а не компании Safenet, по этому компания Safenet никак не могла «забить» на eToken ГОСТ.
Теперь Аладдин Р.Д. выпускает и продвигает собственный продукт JaCarta.
А eToken'ами занимается компания Safenet.
2. Что мешает написать аналог key-loger'а который отсканирует подпись и будет эмулировать?
3. Даже если не заморачиваться подделкой, Вы уверены, что билметрическая подпись уникальна для 7 000 000 000 человек?
а ЭЦП в данном случае «защищается» двухфакторностью, то есть помимо сертификата для ЭЦП, нужно ещё и pin-код знать, а уж если Вы сами всё отдали другому человеку, то значит Вы сами ему доверили подпись от Вашего имени…