logo Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline learner158  
#1 Оставлено : 29 января 2020 г. 14:26:50(UTC)
learner158

Статус: Участник

Группы: Участники
Зарегистрирован: 29.01.2020(UTC)
Сообщений: 23

Интересный вопрос для знатоков.

Известно, что токен авторизации (например рутокен) имеет защищенную память, в которой хранится закрытый ключ.

К сожалению, это всё, что можно узнать на просторах google.

Какова роль pin-кода в доступе к защищенной памяти и как вообще организована защищенная память токена?

Где-то я читал, что якобы закрытый ключ хранящийся в памяти токена (ГОСТ или RSA) шифруется симметричным ключом (ассиметричный ключ шифруется симметричным алгоритмом). Так ли это? А если это так, то какова роль пин-кода в доступе к симметричному ключу?

Спасибо!
Offline Агафьин Сергей  
#2 Оставлено : 29 января 2020 г. 14:44:00(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 544
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 96 раз в 84 постах
Автор: learner158 Перейти к цитате
Интересный вопрос для знатоков.

Известно, что токен авторизации (например рутокен) имеет защищенную память, в которой хранится закрытый ключ.

К сожалению, это всё, что можно узнать на просторах google.

Какова роль pin-кода в доступе к защищенной памяти и как вообще организована защищенная память токена?

Где-то я читал, что якобы закрытый ключ хранящийся в памяти токена (ГОСТ или RSA) шифруется симметричным ключом (ассиметричный ключ шифруется симметричным алгоритмом). Так ли это? А если это так, то какова роль пин-кода в доступе к симметричному ключу?

Спасибо!


Добрый день.
Сильно зависит от конкретного токена и лучше узнавать данную информацию у производителя.
В подавляющем большинстве случаев ПИН-код - это просто строка, которая предъявляется в токен по открытому каналу и внутри сверяется с эталоном. Если проверка прошла успешно, взводится флаг (признак аутентификации), который разрешает выполнение операций (чтение закрытые ключей, вычисление подписи и т.д.).
Формат хранения ключа - это отдельный вопрос. Чаще всего он находится не в шифрованном, а в маскированном виде. Некоторые реализации вполне могут действительно шифровать ключи на паролях, но я с такими не сталкивался.
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline learner158  
#3 Оставлено : 29 января 2020 г. 15:00:24(UTC)
learner158

Статус: Участник

Группы: Участники
Зарегистрирован: 29.01.2020(UTC)
Сообщений: 23

Подскажите, а вот когда крипто-про создает контейнер закрытого ключа, он шифрует этот ключ в этом контейнере симметричным алгоритмом, или тоже маскировка происходит?
Offline learner158  
#4 Оставлено : 29 января 2020 г. 16:50:18(UTC)
learner158

Статус: Участник

Группы: Участники
Зарегистрирован: 29.01.2020(UTC)
Сообщений: 23

Автор: Агафьин Сергей Перейти к цитате


Формат хранения ключа - это отдельный вопрос. Чаще всего он находится не в шифрованном, а в маскированном виде.


Правильно ли я понимаю, что речь идет о сокрытии настоящего закрытого ключа и его заменой фиктивным, подложным закрытым ключом? (при маскировке, исходные данные заменяются фиктивными, подложными)
Offline Агафьин Сергей  
#5 Оставлено : 29 января 2020 г. 16:52:58(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 544
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 96 раз в 84 постах
Автор: learner158 Перейти к цитате
Подскажите, а вот когда крипто-про создает контейнер закрытого ключа, он шифрует этот ключ в этом контейнере симметричным алгоритмом, или тоже маскировка происходит?


Смотря как создаёт.
Если в "незащищенном" носителе: реестре, жестком диске, флешке, мы шифруем контейнер симметричным алгоритмом (выбирается в зависимости от типа ключа, чаще всего ГОСТ 28147-89) на ключе, выводимом из ПИН-а.
Если на токене, мы полагаемся на средства защиты токена.
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline Агафьин Сергей  
#6 Оставлено : 29 января 2020 г. 16:54:36(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 544
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 96 раз в 84 постах
Автор: learner158 Перейти к цитате
Автор: Агафьин Сергей Перейти к цитате


Формат хранения ключа - это отдельный вопрос. Чаще всего он находится не в шифрованном, а в маскированном виде.


Правильно ли я понимаю, что речь идет о сокрытии настоящего закрытого ключа и его заменой фиктивным, подложным закрытым ключом? (при маскировке, исходные данные заменяются фиктивными, подложными)


Не совсем. Ключ разделяется на две части: K = K' xor M. Вместо xor могут быть разные операции (умножение по модулю группы точек кривой, сложение по модулю 2^32 и т.п.). Ключ и маска просто хранятся в разных "физических" частях токена и сами по себе без второй части не представляют ценности (см. теорию информации).
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline learner158  
#7 Оставлено : 29 января 2020 г. 16:55:17(UTC)
learner158

Статус: Участник

Группы: Участники
Зарегистрирован: 29.01.2020(UTC)
Сообщений: 23

Да, я заметил, что при записи на токен, криптоконтейнер не создается.
Offline learner158  
#8 Оставлено : 29 января 2020 г. 17:02:28(UTC)
learner158

Статус: Участник

Группы: Участники
Зарегистрирован: 29.01.2020(UTC)
Сообщений: 23

Автор: Агафьин Сергей Перейти к цитате


Не совсем. Ключ разделяется на две части: K = K' xor M. Вместо xor могут быть разные операции (умножение по модулю группы точек кривой, сложение по модулю 2^32 и т.п.). Ключ и маска просто хранятся в разных "физических" частях токена и сами по себе без второй части не представляют ценности (см. теорию информации).


Подскажите, маска это M?



Ключ разделяется на две части - речь о закрытом ключе?


Подскажите, очень интересный вопрос - а нельзя ли разобрать токен, подключиться напрямую к чипу памяти с помощью специального оборудования и найти там K' и отдельно найти M, и получить исходный закрытый ключ?
Offline Агафьин Сергей  
#9 Оставлено : 29 января 2020 г. 17:25:09(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 544
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 96 раз в 84 постах
Автор: learner158 Перейти к цитате
Автор: Агафьин Сергей Перейти к цитате


Не совсем. Ключ разделяется на две части: K = K' xor M. Вместо xor могут быть разные операции (умножение по модулю группы точек кривой, сложение по модулю 2^32 и т.п.). Ключ и маска просто хранятся в разных "физических" частях токена и сами по себе без второй части не представляют ценности (см. теорию информации).


Подскажите, маска это M?

Ключ разделяется на две части - речь о закрытом ключе?


Подскажите, очень интересный вопрос - а нельзя ли разобрать токен, подключиться напрямую к чипу памяти с помощью специального оборудования и найти там K' и отдельно найти M, и получить исходный закрытый ключ?


Ну, это операция коммутативная, так что не особо важно, что маска, а что "не маска".

Конечно, можно разобраться токен. Вопрос только в том, о каком уровне безопасности идет речь. Если модель нарушителя подразумевает электронный микроскоп, оборудование уровня НИИ и т.п. штуки, то не нужно в ней использовать устройства уровня КС1-КС3.
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline learner158  
#10 Оставлено : 29 января 2020 г. 18:09:49(UTC)
learner158

Статус: Участник

Группы: Участники
Зарегистрирован: 29.01.2020(UTC)
Сообщений: 23

Автор: Агафьин Сергей Перейти к цитате
Подскажите, а вот когда крипто-про создает контейнер закрытого ключа, он шифрует этот ключ в этом контейнере симметричным алгоритмом, или тоже маскировка происходит?

Смотря как создаёт.
Если в "незащищенном" носителе: реестре, жестком диске, флешке, мы шифруем контейнер симметричным алгоритмом (выбирается в зависимости от типа ключа, чаще всего ГОСТ 28147-89) на ключе, выводимом из ПИН-а.
Если на токене, мы полагаемся на средства защиты токена.


Если я в Крипто-Про выбираю криптопровайдер "Crypto-Pro Enhanced RSA and AES CSP"

Для каких задач используется симметричный AES? Может быть как раз для шифрования контейнера?

Отредактировано пользователем 29 января 2020 г. 18:14:18(UTC)  | Причина: Не указана

Offline Агафьин Сергей  
#11 Оставлено : 29 января 2020 г. 18:22:40(UTC)
Агафьин Сергей

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 544
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 96 раз в 84 постах
Автор: learner158 Перейти к цитате
Автор: Агафьин Сергей Перейти к цитате
Подскажите, а вот когда крипто-про создает контейнер закрытого ключа, он шифрует этот ключ в этом контейнере симметричным алгоритмом, или тоже маскировка происходит?

Смотря как создаёт.
Если в "незащищенном" носителе: реестре, жестком диске, флешке, мы шифруем контейнер симметричным алгоритмом (выбирается в зависимости от типа ключа, чаще всего ГОСТ 28147-89) на ключе, выводимом из ПИН-а.
Если на токене, мы полагаемся на средства защиты токена.


Если я в Крипто-Про выбираю криптопровайдер "Crypto-Pro Enhanced RSA and AES CSP"

Для каких задач используется симметричный AES? Может быть как раз для шифрования контейнера?


Для каких хотите. Это обычный провайдер 24 типа аналогичный Microsoft Enhanced RSA and AES Cryptographic Provider.
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.