Soru:
Ev kullanımı için iyi bir Akıllı Kart nedir?
SEJPM
2015-09-12 21:32:28 UTC
view on stackexchange narkive permalink

Her zaman internetteki güvenliğimi artırmanın yollarını arıyorum. Aynı zamanda bir programcı olduğum ve bir şekilde InfoSec ve Crypto konusunda aktif olduğum için, akıllı kartın doğru yol olduğuna karar verdim.

Ben bu nedenle aşağıdaki niteliklere sahip bir akıllı kart (veya bir USB belirteci) aranır:

  • eliptik eğri şifreleme (256 bit +) desteği
  • RSA (2048 bit +) desteği
  • Her birinin en az 10 anahtarı için depolama
  • FIPS 140-2 Seviye 3 sertifika (tercih edilen) veya yüksek Ortak Kriterler sertifikası (EAL 4+)
  • Özel şahıslar (şirket olmayanlar) için edinilebilir olmalıdır
  • Sürücü ( PKCS # 11 / CSP / CNG), doğrudan veya OpenSC aracılığıyla Windows 7 ve Windows 10 (her ikisi de x64) için destek.
  • Bir felaket durumunda güvenli anahtar yedekleme ve anahtar kurtarma desteği (örneğin, farklı bir fiziksel kartta sarmayı açmanın bir yolu ile birlikte paketlenmiş anahtar dışa aktarmaları)
  • Gerçek kartlar için: Standart fiziksel arayüzler ( yani, satıcıya özel kart okuyucu gerekmez)

Zorunlu olmayan po ints şunları içerir:

  • Özel ECC eğrileri için destek
  • Curve25519 / Curve448 için yerel destek
  • desteği RSASSA-PSS veya ECDSA (karma işlemi yapan yazılım olmadan)
  • Gerçek kartlar için: Temassız çalışabilirlik
  • Düşük fiyat (< başına 100 $ parça)
  • Nitelikli elektronik imzalar için yeterlilik (ör. yasal olarak bağlayıcı imzalar), tercihen alman yasalarına göre
Ayrıca Athena SCS IDProtect LAZER'i daha sonraki bir noktada ekleyeceğim, testimi bitirdikten sonra, satın almayı düşünüyorsanız: Donanım klavyelerini (örneğin, kart okuyucunuzun pinpad'i) kullanamayacağınızı unutmayın. .
Ayrıca bir ön koşul olarak, kripto API'sini onunla birlikte kullanma yeteneğini de istiyorum.
@Michael Bu, "sürücü desteği" kapsamındadır.
Mutlaka değil, bazı ürünler imzasız sürücülerle sunuluyor - bu benim için bir seçenek değil. @SEJPM
@Michael iyi, Gemaltos ve Athenas sürücüleri imzaladı, sadece Linux'u gerçekten hedefleyen ve Windows'u değil de SC-HSM'nin uygun sürücü imzası yok.
Iki yanıtlar:
Thomas Pornin
2016-04-19 05:29:03 UTC
view on stackexchange narkive permalink

Yedekleme gereksinimleri dışında, Gemalto IDPrime MD gereksinimlerinize uygun görünüyor. Bazı uyarılar:

  • RSA için 2048 bitte zirvede; ECC için, özel eğrileri değil, yalnızca üç standart NIST eğrisini (P-256, P-384 ve P-521) destekler.
  • Deneyimlerden, APDU düzeyinde, imza işlemi gerçekten bir komuttur özel anahtarla modüler üs alma yapmak; bu nedenle, donanım her türlü RSA (PKCS # 1 v1.5, PSS ...) ile uyumludur, ancak hashing ve padding ana bilgisayarda yapılır.
  • MD 830, FIPS 140- 2. Seviye 3, MD 840 EAL 5+. Atlantik’in her iki yakası için de onaylanmış bir model yok gibi görünüyor.
  • Kartlar, nominal olarak tüm standart okuyucularla uyumlu olan standart boyutlu plastik dikdörtgenler olarak mevcuttur; ancak bunları içinde küçük boyutlu bir kart olan bir USB kart okuyucusu olan "IDBridge" formatı altında da edinebilirsiniz.
  • Bireysel kartlar kripto mağazasından satın alınabilir ama tam olarak ne elde ettiğiniz biraz belirsizdir; aynı paketlemeyi kullanan IDPrime MD ve IDPrime .NET kartları vardır ve ikincisi ECC'yi (yalnızca RSA) desteklemez. İşin iyi yanı, bireysel fiyat yaklaşık 20 € olacak.
  • Kartların özel uygulamalarla (.NET'in bir alt kümesinde) yeniden programlanabilmesi gerekiyordu, ancak bunu hiç denemedim ve bilmiyorum ekstra lisanslar veya bunun gibi şeyler gerektirir. Sertifikaların yeniden programlanmış kartları kapsamadığını düşünüyorum.

Yedeklemelere gelince, imza anahtarları için yedek istemediğinizi belirtmeye hazırım. Aslında, bir imza anahtarı için bir yedeklemenin varlığı, yalnızca bir imzanın yasal değerini düşürebilir (ancak bu, neden herhangi bir şeyi imzalamak isteyeceğiniz sorusunu akla getirir; ürettiğiniz bir imza, kendinize işaret eden yasal bir silahtır) .

Şifreleme anahtarları için, veri kaybını önlemek için yedeklemeler gereklidir ve bu durumda, özel anahtarların sertifikalı donanımın dışında hiçbir zaman bulunmamasını istiyorsanız, bu kartlarla gerçekten iyi bir çözüm yoktur. Kişisel kullanım için, paranoyak olanlar için bile, anahtarları çevrimdışı bir bilgisayarda oluşturduğunuz, bir CDROM üzerinden başlatılan ve sabit disk olmadan bir anahtar oluşturma töreni düzenleyebilirsiniz; bilgisayar daha sonra anahtarı 4 veya 5 akıllı kartta iter ki bu çok fazla yedek olacaktır.

İlgilenen alıcı için not: Aslında bir arkadaşım bu kartlardan birini satın aldı ve görünüşe göre PKCS # 11 kütüphanesi bile derlemediği için Linux altında düzgün çalışmasını sağlamakta büyük sorunlar yaşadı. Görünüşe göre Windows altında her şey çalıştı. Bu kartlara sahip diğer mağazalar [SmartCardFocus] (http://www.smartcardfocus.com/) ve [Gemalto Webstore] (https://webstore.gemalto.com/INTERSHOP/web/WFS/GEMALTO-B2CCORP-Site/) en_US / - / EUR / Varsayılan-Başlangıç).
Linux ve Windows'ta kullanmak üzere bu akıllı kartı satın alarak ilgilenmiştim. Ancak, Linux'ta sürücüyü almak için Gemalto SafeNet lisansının gerekli olduğu söylendi. İletişim kurduğum Gemalto satıcısı bana en az 25 lisans satın almam gerektiğini söyledi. Satıcının bana söylediklerini onaylamak ya da onaylamamak için burada bir ileti dizisi oluşturdum: https://security.stackexchange.com/questions/206573/does-opensc-required-papeetary-gemalto-safenet-middleware-to-support-gemalto-iSo Bu kart onaylanırsa ev kullanımı için uygun görünmüyor.
SEJPM
2016-06-20 03:10:45 UTC
view on stackexchange narkive permalink

Thomas'ın Gemalto IDPrime Kartları önerisinden bazı kişilerin memnun kalmamış olabileceğini düşündüğüm için, burada başka bir seçenek daha vermek istedim:

Akıllı Kart-HSM

  • Tüm NIST ve Brainpool eğrilerinin önceden yüklenmiş olduğu 1024-2048-bit RSA veya 320-bit ECC sunar ve hatta özel eğrileri destekleyebilir (ancak I ' şu anda bunun için bir kaynak yok)
  • ECDSA ve RSA imzalarını destekliyor ve karta dayalı karma (ECDSA) ve SHA1 / -256 / -384 / -512 tabanlı RSA tabanlı SHA-1'e izin veriyor ön hashing ("PKCS", PKCS # 1 v1.5 olabilir)
  • İşletim sistemi CC EAL5 + sertifikalıdır, yonga platformu sadece EAL2 +, TOE burada bulunabilir
  • Standart bir kart form faktörü (temaslı, temassız ve çift arayüzlü) olarak, güvenli elemanlı mikro SD ve 1 GB normal bellek ve USB belirteci olarak gönderilir
  • şu anda yalnızca bayi card-o-matic, bireysel kartlar parça başına yaklaşık 20 €, jetonlar yaklaşık 80 € ve m olacak ore
  • Sürücü desteği, Windows CAPI ve PKCS # 11'i destekleyen OpenSC aracılığıyla sağlanır, aygıt sürücüsü (Windows için) fazladan sağlanır ve kurulum için sürücü imza kontrollerinin devre dışı bırakılmasını gerektirir, ancak OpenSC PKCS # 11 kitaplığı bununla birlikte sınırlamaları vardır, örneğin yalnızca bir uygulama aynı anda jetona erişebilir
  • Kartı belirli bir anahtarla (cihaz anahtarı şifreleme anahtarı (DKEK) olarak adlandırılır) başlattıysanız, kart dışı anahtar yedeklemeleri yapabilecektir, aksi halde değil

TL; DR: Zaman zaman biraz pahalı ve biraz rahatsız edici olabilir ve Güvenlik düzeyinde biraz sınırlı, ancak aradığınız şey yedekleme, beyin havuzu ve / veya yüksek CC sertifikasıysa, bu doğru seçim olabilir.

Üreticiyle sürücü imzasıyla ilgili olarak iletişime geçtiğimi ve kendileri için buna değmediğini söyledi çünkü esas olarak Windows değil, Linux ve gömülü sistemleri hedeflediler.


Bu Soru-Cevap, otomatik olarak İngilizce dilinden çevrilmiştir.Orijinal içerik, dağıtıldığı cc by-sa 3.0 lisansı için teşekkür ettiğimiz stackexchange'ta mevcuttur.
Loading...