Küsimus:
Mis on hea nutikaart koduseks kasutamiseks?
SEJPM
2015-09-12 21:32:28 UTC
view on stackexchange narkive permalink

Otsin alati võimalusi oma turvalisuse parandamiseks Internetis. Kuna olen ka programmeerija ja olen mõnevõrra aktiivne rakendustes InfoSec ja Crypto, otsustasin, et kiipkaart on õige tee.

Olen otsides seeläbi kiipkaarti (või USB-märgendit), millel on järgmine kvalifikatsioon:

  • elliptilise kõvera krüptograafia tugi (256 bitti +)
  • RSA tugi (2048 bitti +)
  • igaühe jaoks vähemalt 10 võtme salvestamine
  • FIPS 140-2 3. tase sertifikaat (eelistatud) või kõrge Common Criteria sertifikaat (EAL 4+)
  • peaks olema omandatav eraisikutele (mitteettevõtted)
  • juht ( PKCS # 11 / CSP / CNG) tugi Windows 7 ja Windows 10 (mõlemad x64) kas otse või OpenSC kaudu.
  • Toetus võtmete turvaliseks varundamiseks ja võtmete taastamiseks katastroofi korral (nt pakitud võtme eksport koos teise füüsilise kaardi lahtipakkimise viisiga)
  • Tegelike kaartide puhul: tavalised füüsilised liidesed ( st tarnijapoolseid kaardilugejaid pole vaja)

Mittekohustuslik po Ints sisaldab:

  • kohandatud ECC kõverate tugi
  • Curve25519 / Curve448 natiivne tugi
  • tugi RSASSA-PSS või ECDSA (ilma tarkvara räsimist teostamata)
  • Tegelike kaartide puhul: kontaktivaba operatiivsus
  • Madal hind (< 100 dollarit per tükk)
  • Kvalifitseeritud elektrooniliste allkirjade (st õiguslikult siduvad allkirjad), eelistatavalt Saksa seaduste järgi
Lisan ka Athena SCS IDProtect LASERi hiljem, kui olen sellega testimise lõpetanud, kui kaalute selle ostmist: Pange tähele, et te ei saa sellega riistvara-klaviatuure (nt oma kaardilugeja klaviatuuri) kasutada .
Eelduseks soovin ka võimalust krüpto API-d koos sellega kasutada.
@Michael Seda katab "juhi tugi".
-1
@Michael, Gemaltos ja Athenas on draiveritele alla kirjutanud, ainult SC-HSM-il, mis tegelikult sihib Linuxit, mitte Windowsi, pole õiget draiveri allkirja.
Kaks vastused:
#1
+13
Thomas Pornin
2016-04-19 05:29:03 UTC
view on stackexchange narkive permalink

Välja arvatud varundamisnõuded, näib Gemalto IDPrime MD vastavat teie nõuetele. Mõned hoiatused:

  • RSA tipp on 2048 bitti; ECC jaoks toetab see ainult kolme standardset NIST-kõverat (P-256, P-384 ja P-521), mitte kohandatud kõveraid.
  • APDU tasemel on kogemuse järgi allkirjaoperatsioon tõesti käsk teha modulaarset eksponentimist privaatvõtmega; seega ühildub riistvara igasuguste RSA-dega (PKCS # 1 v1.5, PSS ...), kuid räsimine ja polsterdamine toimub hostarvutis.
  • MD 830 on FIPS 140- 2 lvl 3, MD 840 on EAL 5+. Tundub, et pole ühtegi mudelit, mis oleks sertifitseeritud mõlemal pool Atlandi ookeani.
  • Kaardid on saadaval standardsete plastikust ristkülikutena, mis ühilduvad nominaalselt kõigi standardsete lugeritega; kuid saate neid hankida ka vormingus "IDBridge", mis on USB-kaardi lugeja, milles on väike kaart.
  • Üksikuid kaarte saab osta cryptoshopist kuid on natuke ebaselge, mida täpselt saate; on olemas IDPrime MD ja IDPrime .NET kaardid, mis kasutavad sama pakendit ja viimased ei toeta ECC-d (ainult RSA). Hea külg on üksikhind umbes 20 €.
  • Eeldatakse, et kaardid on kohandatud rakendustega (.NETi alamhulgas) programmeeritavad, kuid ma pole seda kunagi proovinud ja ma ei tea, kas see nõuab lisalitsentse või muud sellist. Ma arvan, et sertifikaadid ei laiene kaartidele, mis on ümber programmeeritud.

Mis puudutab varukoopiaid, siis olen valmis kinnitama, et te ei soovi allkirjavõtmete varukoopiaid. Tegelikult võib allkirja võtme varukoopia olemasolu ainult vähendada allkirja legaalset väärtust (kuid siis tekib küsimus, miks soovite midagi allkirjastada; teie loodud allkiri on seaduslik relv, mis on suunatud iseenda poole) .

Krüptovõtmete jaoks on andmete kadumise vältimiseks vajalikud varukoopiad ja siis pole nende kaartidega päris head lahendust, kui soovite, et privaatvõtmeid ei oleks kunagi olemas väljaspool sertifitseeritud riistvara. Isiklikuks kasutamiseks, isegi paranoidide jaoks, võiksite korraldada võtmete genereerimise tseremoonia, mille käigus genereerite võtmed võrguühenduseta arvutis, käivitatuna üle CDROM-i ja ilma kõvakettata; arvuti suruks seejärel võtit sisse 4 või 5 kiipkaarti, mis oleks nii palju varukoopiaid.

Märkus huvitatud ostjale: sõber ostis tegelikult ühe neist kaartidest ja tal oli Linuxi all korralikult töötamiseks suuri probleeme, sest ilmselt ei kompileerinud isegi PKCS # 11 teek. Kõik toimis siiski ilmselt Windowsi all. Nende kaartidega on veel poed [SmartCardFocus] (http://www.smartcardfocus.com/) ja [Gemalto veebipood] (https://webstore.gemalto.com/INTERSHOP/web/WFS/GEMALTO-B2CCORP-Site/ et_US / - / EUR / Vaikimisi-Start).
Mind huvitas selle kiipkaardi ostmine kasutamiseks Linuxis ja Windowsis. Kuid mulle öeldi, et draiveri saamiseks Linuxile on vaja Gemalto SafeNeti litsentsi. Gemalto edasimüüja, kellega ühendust võtsin, ütles, et pean ostma vähemalt 25 litsentsi. Lõin siin lõime, et kinnitada või mitte seda, mida edasimüüja mulle ütles: https://security.stackexchange.com/questions/206573/does-opensc-required-proprietary-gemalto-safenet-middleware-to-support-gemalto-iSo tundub, et see kaart ei sobi kodus kasutamiseks, kui see kinnitatakse.
#2
  0
SEJPM
2016-06-20 03:10:45 UTC
view on stackexchange narkive permalink

Kuna arvan, et mõned inimesed ei pruugi olla rahul Thomase soovitusega Gemalto IDPrime kaartidele, tahtsin siin anda veel ühe võimaluse:

The Smartcard-HSM

  • See pakub 1024-2048-bitist RSA-d või kuni 320-bitist ECC-d koos kõigi NIST- ja Brainpool-kõverate eellaadimisega ning võib isegi toetada kohandatud kõveraid (kuigi ma meil pole selle jaoks praegu allikat)
  • See toetab ECDSA ja RSA allkirju ning võimaldab SHA-1-d kaardil räsimisel (ECDSA) ja SHA1 / -256 / -384 / -512 põhinevat RSA eelhäsimine ("PKCS", võib olla PKCS # 1 v1.5)
  • Operatsioonisüsteem on CC EAL5 + sertifikaadiga, kiibiplatvorm on ainult EAL2 +, TOE leiate siit
  • See tarnitakse standardkaardi vormingus (kontakt-, kontaktivaba ja topeltliides), turvalise elemendi ja 1 GB tavalise mäluga micro SD-na ning USB-märgisena
  • ainus edasimüüja on praegu card-o-matic, üksikute kaartide hind on umbes 20 € tükk, märkide hind on umbes 80 € ja m maak
  • Draiveritugi on saadaval OpenSC kaudu, toetades Windowsi CAPI-d ja PKCS # 11, seadme draiver (Windowsi jaoks) tarnitakse täiendavalt ja see nõuab installimisel draiveri allkirjakontrollide keelamist, kuid OpenSC PKCS # 11 teek on siiski oma piirangutega, näiteks pääseb tokenile korraga juurde ainult üks rakendus
  • Kui olete kaardi initsialiseerinud kindla võtmega (nn device-key-encryption-key (DKEK)), siis peate saab võtmete varukoopiaid teha kaardiväliselt, muidu mitte

TL; DR: see võib olla aeg-ajalt natuke kallis ja veidi ebamugav ning mõnevõrra piiratud turbetasemega, kuid kui otsite varukoopiaid, brainpooli ja / või kõrget CC-sertifikaati, võib see olla õige valik.

Tuleb märkida, et võtsin draiveri allkirja osas tootjaga ühendust ja ta vastas, et see pole nende jaoks seda väärt, sest need sihivad peamiselt Linuxit ja manussüsteeme, mitte Windowsi.


See küsimus ja vastus tõlgiti automaatselt inglise keelest.Algne sisu on saadaval stackexchange-is, mida täname cc by-sa 3.0-litsentsi eest, mille all seda levitatakse.
Loading...