שְׁאֵלָה:
מהו כרטיס חכם טוב לשימוש ביתי?
SEJPM
2015-09-12 21:32:28 UTC
view on stackexchange narkive permalink

אני תמיד מחפש דרכים לשפר את האבטחה שלי באינטרנט. מכיוון שאני גם מתכנת ופעיל במקצת ב- InfoSec וב Crypto החלטתי שכרטיס חכם הוא הדרך.

אני ובכך לחפש כרטיס חכם (או אסימון USB) שיש לו את הכישורים הבאים:

  • תמיכה ב הצפנת עקומת אליפטי (256 ביט +)
  • תמיכה ב- RSA (2048 ביט +)
  • אחסון של לפחות 10 מקשים מכל אחד מהם
  • FIPS 140-2 רמה 3 הסמכה (מועדפת) או גבוהה הסמכת קריטריונים משותפים (EAL 4+)
  • צריך להיות בר-רכישה עבור אנשים פרטיים (שאינם חברות)
  • נהג ( PKCS # 11 / CSP / CNG) תמיכה ב- Windows 7 ו- Windows 10 (שניהם x64), ישירות או באמצעות OpenSC.
  • תמיכה בגיבוי מפתח מאובטח והשבת מפתח במקרה של אסון (למשל ייצוא מפתח עטוף יחד עם דרך לפרוש כרטיס פיזי אחר)
  • לכרטיסים בפועל: ממשקים פיזיים סטנדרטיים ( כלומר אין צורך בקוראי כרטיסים ספציפיים לספק)

לא חובה תכולות כוללות:

  • תמיכה בעקומות ECC מותאמות אישית
  • תמיכה מקורית ב- Curve25519 / Curve448
  • תמיכה ב- RSASSA-PSS או ECDSA (בלי שהתוכנה עושה את הגיבוב)
  • לכרטיסים בפועל: הפעלה ללא מגע
  • מחיר נמוך (< $ 100 ל חתיכה)
  • הסמכה לחתימות אלקטרוניות מוסמכות (כלומר חתימות מחייבות מבחינה משפטית), רצוי על פי החוק הגרמני
אני אוסיף גם את ה- Athena SCS IDProtect LASER בשלב מאוחר יותר, לאחר שסיימתי את הבדיקה איתו, אם אתה שוקל לקנות אותו: שים לב שאתה לא יכול להשתמש במקלדות חומרה (למשל לוח הכריכה של הקורא שלך) איתו. .
אני גם רוצה בתור דרישה מוקדמת את היכולת להשתמש בממשק ה- API של הצפנה איתו.
@Michael מכוסה על ידי "תמיכת נהג".
לא בהכרח, ישנם מוצרים המוצעים עם מנהלי התקנים שאינם חתומים - אין אפשרות מבחינתי. @SEJPM
@Michael ובכן, Gemaltos והאתנאות חתמו על מנהלי התקנים, רק ה- SC-HSM שממוקד בפועל לינוקס ולא ל- Windows אין את חתימת הנהג המתאימה.
שתיים תשובות:
Thomas Pornin
2016-04-19 05:29:03 UTC
view on stackexchange narkive permalink

למעט דרישות הגיבוי, נראה ש Gemalto IDPrime MD תואם את הדרישות שלך. כמה אזהרות:

  • זה מגיע לראש 2048 סיביות עבור RSA; עבור ECC, הוא תומך רק בשלוש עקומות NIST סטנדרטיות (P-256, P-384 ו- P-521), ולא בעקומות מותאמות אישית.
  • מניסיון, ברמת APDU, פעולת החתימה היא באמת פקודה לבצע מערך מודולרי עם המפתח הפרטי; לפיכך, החומרה תואמת לכל מיני RSA (PKCS # 1 v1.5, PSS ...) אך הגיבוב והריפוד מתבצעים במחשב המארח.
  • MD 830 הוא FIPS 140- 2 רמה 3, MD 840 הוא EAL 5+. נראה כי אין מודל מוסמך לשני צידי האוקיינוס ​​האטלנטי.
  • הכרטיסים זמינים כמלבני פלסטיק בגודל סטנדרטי, תואמים באופן סמלי לכל הקוראים הסטנדרטיים; אך ניתן להשיג אותם גם בפורמט "IDBridge" שהוא קורא כרטיסי USB עם כרטיס בתוכו, בגודל קטן.
  • כרטיסים בודדים ניתן לקנות מ cryptoshop אבל לא ברור בדיוק מה מקבלים; ישנם כרטיסי IDPrime MD ו- IDPrime .NET המשתמשים באותה אריזה, והאחרונים אינם תומכים ב- ECC (רק RSA). בצד החיובי, מחיר הפרט יעמוד על כ -20 €.
  • הכרטיסים אמורים להיות מתוכנתים מחדש עם יישומים מותאמים אישית (בקבוצת משנה של .NET) אבל מעולם לא ניסיתי את זה ואני לא יודע אם זה דורש רישיונות נוספים או דברים כאלה. אני חושב שההסמכות אינן חלות על כרטיסים שתוכנתו מחדש.

באשר לגיבויים, אני מוכן להצהיר כי אינך מעוניין בגיבויים למפתחות חתימה. למעשה, נוכחות של גיבוי למפתח חתימה יכולה רק להוריד את הערך החוקי של חתימה (אך אז זה מעלה את השאלה מדוע תרצה לחתום על משהו; חתימה שאתה מייצר היא כלי נשק חוקי המופנה כלפי עצמך) .

עבור מפתחות הצפנה, גיבויים נחוצים כדי למנוע אובדן נתונים, ואז אין פיתרון טוב באמת עם כרטיסים אלה, אם אתה רוצה שמפתחות פרטיים אף פעם לא קיימים מחוץ לחומרה המוסמכת. לשימוש אישי, אפילו לפרנואיד, תוכלו לארגן טקס ייצור מפתחות בו אתם מייצרים את המפתחות במחשב לא מקוון, אתחול מעל CDROM וללא דיסק קשיח; המחשב היה דוחף את המקש בארבעה או 5 כרטיסים חכמים, שיהיו כל כך הרבה גיבויים.

הערה לקונה המעוניין: חבר אכן קנה את אחד הכרטיסים הללו והיו לו בעיות אדירות לגרום לו לפעול כראוי תחת לינוקס, מכיוון שככל הנראה אפילו ספריית PKCS מספר 11 לא עשתה הידור. הכל עבד אם כי כנראה תחת Windows. חנויות אחרות עם כרטיסים אלה הן [SmartCardFocus] (http://www.smartcardfocus.com/) ו- [Gemalto Webstore] (https://webstore.gemalto.com/INTERSHOP/web/WFS/GEMALTO-B2CCORP-Site/ en_US / - / EUR / התחל ברירת מחדל).
התעניינתי בקנייה של הכרטיס החכם הזה לשימוש לינוקס ו- Windows. אבל נאמר לי שרישיון Gemalto SafeNet נדרש כדי להשיג את מנהל ההתקן בלינוקס. המשווק של Gemalto שאליו יצרתי קשר אמר לי שאני צריך לקנות לפחות 25 רישיונות. יצרתי כאן שרשור כדי לאשר או לא מה שהמשווק אמר לי: https://security.stackexchange.com/questions/206573/does-opensc-required-proprietary-gemalto-safenet-middleware-to-support-gemalto-iSo נראה כי כרטיס זה אינו מתאים לשימוש ביתי אם הוא אושר.
SEJPM
2016-06-20 03:10:45 UTC
view on stackexchange narkive permalink

מכיוון שאני מרגיש שאנשים מסוימים עשויים לא להיות מרוצים מהמלצתו של תומאס לכרטיסי ה- IDPrime של Gemalto, רציתי לתת כאן אפשרות אחרת:

ה- Smartcard-HSM

  • הוא מציע 1024-2048 סיביות RSA או עד 320 סיביות ECC כאשר כל עקומות ה- NIST וה- Brainpool נטענות מראש ואולי אפילו תומכות בעקומות מותאמות אישית (למרות שאני ' אין לנו שום מקור לזה כרגע)
  • הוא תומך בחתימות ECDSA ו- RSA ומאפשר SHA-1 מבוסס חשיש כרטיס (ECDSA) ו- SHA1 / -256 / -384 / -512 מבוסס RSA חשיפה מוקדמת ("PKCS", עשויה להיות PKCS מספר 1 v1.5)
  • מערכת ההפעלה מאושרת על ידי CC EAL5 +, פלטפורמת השבב היא רק EAL2 +, את TOE ניתן למצוא כאן
  • הוא נשלח כגורם טופס כרטיס רגיל (מגע, ממשק כפול וממשק כפול), כמיקרו SD עם אלמנט מאובטח וזיכרון רגיל של 1GB וכאסימון USB
  • המשווק היחיד כרגע הוא card-o-matic, כרטיסים בודדים יהיו בסביבות 20 € ליחידה, האסימונים יהיו בסביבות 80 € ומ"ר ore
  • תמיכת מנהל התקן זמינה באמצעות OpenSC, תומכת ב- Windows CAPI וב- PKCS # 11, מנהל ההתקן (עבור Windows) מועבר באופן נוסף ומחייב השבתת בדיקות חתימת הנהג עבור ההתקנה, אולם ספריית OpenSC PKCS # 11 יש את המגבלות שלה, למשל, רק יישום אחד יכול לגשת לאסימון בו זמנית
  • אם ביצעת אתחול הכרטיס עם מפתח ספציפי (נקרא מפתח-הצפנת-מפתח-מפתח (DKEK)) אז אתה יוכלו לבצע גיבויי מפתח מחוץ לכרטיס, אחרת לא

TL; DR: זה עשוי להיות מעט יקר וקצת לא נוח מעת לעת, ו מוגבלת במקצת ברמת האבטחה, אך אם גיבויים, בריכת מוח ו / או הסמכת CC גבוהה הם מה שאתה מחפש, זו עשויה להיות הבחירה הנכונה.

יש לציין שפניתי ליצרן בנוגע לחתימת הנהג והוא השיב שזה לא שווה להם כי הם מכוונים בעיקר למערכות לינוקס ומוטבעות ולא ל- Windows.


שאלה ותשובה זו תורגמה אוטומטית מהשפה האנגלית.התוכן המקורי זמין ב- stackexchange, ואנו מודים לו על רישיון cc by-sa 3.0 עליו הוא מופץ.
Loading...