Нельзя ли ключ из secring.txk использовать из токена?

Внимание

Для участия в обсуждениях и оформления подписки на новые сообщения форума вам необходимо зарегистрироваться.
Главная » Основные форумы » Система QUIK
Страницы: 1
RSS
Нельзя ли ключ из secring.txk использовать из токена?, qcrypto32, secring.txk, yubikey, rutoken, openssl, pki
 
#1
02.10.2021 13:06:10
У квика при использовании штатного криптопровайдера Qcrypto32 приватный ключ хранится в открытом виде в файле secring.txk.
Нельзя ли этот ключ поместить в токен yubikey или rutoken (2021 год на дворе если что)? Генерация ключа внутри токена не требуется. Вот есть в комплекте квика dll криптопровайдер openssl. Через него нельзя это как-то сделать?
Обращаться к брокеру, менять брокера, менять способ авторизации не предлагать (спасибо за понимание). Речь идёт только о том, чтобы из файла secring.txk взять строчку с ключом и как-то её поместить в токен.
 
 
#2
02.10.2021 15:14:51
Если я не ошибаюсь, штуки вроде RuToken-а не просто хранят ключ, а выполняют шифрование-дешифровку данных. Так что запихать туда secring.txk не получится.
Наверное можно найти брокера который работает с RuToken-ами и попросить у него такой ключ.

А что мешает просто залить secring.txk просто на флешку? и ее втыкать по мере необходимости?
 
 
#3
02.10.2021 15:32:09
Цитата
Arrigo написал:
Если я не ошибаюсь, штуки вроде RuToken-а не просто хранят ключ, а выполняют шифрование-дешифровку данных.
Да, токены хранят внутри себя секретный ключ и по запросу программы генерируют на основе секретного ключа производные сессионные ключи. Речь именно о таком функционале. Секретный ключ лежит в secring.txk в текстовом виде. Хочу из файла его взять, поместить в токен и чтобы квик работал с токеном, а не с файлом.

Цитата
Arrigo написал:
Наверное можно найти брокера который работает с RuToken-ами
Не, я не решаю бизнес задачу "запрос-решение-продукт-деньги". Как потребитель решаю задачу "есть ключи, есть квик, есть шифрование - нельзя ли это всё бесплатно сделать лучше чем сейчас".

Цитата
Arrigo написал:
А что мешает просто залить secring.txk просто на флешку? и ее втыкать по мере необходимости?
Необходимость 24x7 - торгует алго с автоматическим реконнектом по утрам (полный автомат). Поэтому речи о 2FA через СМС не идёт. Задача заключается в том, чтобы ключ не лежал в открытом виде на диске. Есть же стандарт PKCS#11, есть какой-то openssl криптопровайдер. Не, я понимаю, что если просто так всё будет работать, то ни криптопро, ни сигналком не заработают денег. Но, коллеги - времена не те.
 
 
#4
02.10.2021 16:01:26
Цитата
suturee написал:
чтобы ключ не лежал в открытом виде на диске
Он и не лежит в открытом виде. Введите неправильный пароль в окне авторизации и убедитесь, что квик не сможет ключ извлечь.
Цитата
suturee написал:
нельзя ли это всё бесплатно сделать лучше чем сейчас
Либо я чего-то не понял, либо бесплатный ключик стоит от 2500 рубликов и до ой-ой. Также интересно, а пальчики юзера как в железку попадают вместе с приватным ключом? Сливаются ли они при этом куда-то? А то как-то эти все удобства уже проходили, сначала в бой бросаются те, кому "нечего скрывать", а потом уже ВСЕ ЗАКОНОМ ОБЯЗАНЫ.
 
 
#5
02.10.2021 16:07:25
Цитата
Anton написал:
Либо я чего-то не понял, либо бесплатный ключик стоит от 2500 рубликов и до ой-ой.
Если ключ уже есть для gmal, github и shh, то ещё и для квика получается бесплатно, просто через запятую. А ещё есть TPM в материнских платах, который для этого можно использовать (но это неудобно).
 
 
#6
02.10.2021 16:15:35
Цитата
Anton написал:
Также интересно, а пальчики юзера как в железку попадают вместе с приватным ключом?
По-хорошему этот приватный ключ внутри токена и должен генерироваться, и за его пределы не выходить. Я сейчас про более простой вариант помещения готового ключа в токен. Пальцы не нужны. Ни yubikey ни рутокен не на отпечатке работают. Только нажатие.
 
 
#7
02.10.2021 16:23:27
Цитата
Anton написал:
А то как-то эти все удобства уже проходили
Это уже реальность для меня. С августа-сентября гитхаб перестал использовать пароли для коммитов. Нельзя задать свой пароль. Генерирует длинную строчку в качестве пароля. Но это уже не пароль, т.к. нельзя запомнить и ввести по памяти. Это уже ключ - такое надо где-то хранить.
 
 
#8
02.10.2021 17:33:33
Цитата
suturee написал:
Пальцы не нужны.
Принято, откладываем пальцы в сторону.
Цитата
suturee написал:
этот приватный ключ внутри токена и должен генерироваться, и за его пределы не выходить.
Все равно не понимаю, как оно может работать на автомате без митма со стороны поставщика ключа. Пусть квик начал подключение, ему нужен сессионный ключ, где он будет искать его, если таблетка у юзера где-то далеко? Или она на сервере воткнута? Кто тогда кнопку жмет? Если она таки у юзера, надо юзера как-то найти и запрос ему послать, что малореально без помощи сервера производителя таблетки, а это значит, что итоговый сессионный ключ пойдет тоже через сервер производителя таблетки (обратно от юзера к квику). Что в общем и есть митм тксть по обоюдному согласию.
 
 
#9
02.10.2021 18:10:43
Цитата
Anton написал:
Пусть квик начал подключение, ему нужен сессионный ключ, где он будет искать его, если таблетка у юзера где-то далеко? Или она на сервере воткнута? Кто тогда кнопку жмет?
В облаке никак. На собственном серваке или нужен токен без кнопки (или конфигурируемый) или TPM. Насколько я понимаю, TPM можно использовать безо всяких нажатий, лишь бы софт позволял.
 
 
#10
02.10.2021 18:35:42
Эээх....
Цитата
suturee написал:
Секретный ключ лежит в secring.txk в текстовом виде. Хочу из файла его взять, поместить в токен и чтобы квик работал с токеном, а не с файлом.
а квичок как поймет где брать/искать ключ?
Цитата
suturee написал:
Как потребитель решаю задачу "есть ключи, есть квик, есть шифрование - нельзя ли это всё бесплатно сделать лучше чем сейчас".
уже для вас все сделано в лучшем виде.
Цитата
suturee написал:
Необходимость 24x7 - торгует алго с автоматическим реконнектом по утрам (полный автомат).
На рутокене кто-то будет кнопку при реконнектах нажимать?
Цитата
suturee написал:
Есть же стандарт PKCS#11, есть какой-то openssl криптопровайдер.
PKCS#N - это просто контейнер.
где связь между обсуждаемой темой и PKCS# и openssl?
Цитата
suturee написал:
Задача заключается в том, чтобы ключ не лежал в открытом виде на диске.
Кто-то говорил что ключ лежит в открытом виде?
Цитата
Anton написал:
Либо я чего-то не понял, либо бесплатный ключик стоит от 2500 рубликов и до ой-ой
Дык это цена рутокена. Я так понимаю это стоимость самой железки +лицензия (отчисления) на устройство.
Цитата
Anton написал:
Также интересно, а пальчики юзера как в железку попадают вместе с приватным ключом? Сливаются ли они при этом куда-то?
Используете в телефоне "разблокировку по отпечатку"? ))
Цитата
suturee написал:
Если ключ уже есть для gmal, github и shh, то ещё и для квика получается бесплатно, просто через запятую
Во всех машинах есть колеса, сиденья и рулевое колесо.
Цитата
suturee написал:
С августа-сентября гитхаб перестал использовать пароли для коммитов. Нельзя задать свой пароль. Генерирует длинную строчку в качестве пароля.
Это не пароль. Это отпечаток ssh-ключа.

Цитата
suturee написал:
На собственном серваке или нужен токен без кнопки (или конфигурируемый) или TPM. Насколько я понимаю, TPM можно использовать безо всяких нажатий, лишь бы софт позволял.
А чем это отличается от того, что файл с ключем лежит на диске?
 
 
#11
02.10.2021 18:38:16
Цитата
suturee написал:
есть какой-то openssl криптопровайдер.
ЗЫ: Я кстати хожу как раз через него. Никаких ключей. Ввод пароля при коннекте и все. Ну мне еще смс падает с пинкодом.
 
 
#12
02.10.2021 20:15:41
Цитата
Arrigo написал:
Используете в телефоне "разблокировку по отпечатку"? ))
Возможно кого-то шокирует, я вообще сотовой связью не пользуюсь. Есть мыльница, в которую аккумулятор вставляется непосредственно перед авторизацией где-то по смс и вынимается непосредственно после. Мыльница ничего такого не умеет и слава богу.
 
 
#13
02.10.2021 20:25:32
Цитата
Arrigo написал:
а квичок как поймет где брать/искать ключ?
В настройках криптопровайдера идентификатор контейнера например.
Цитата
Arrigo написал:
На рутокене кто-то будет кнопку при реконнектах нажимать?
Так при автореконнекте пароль не запрашивается у меня. Т.е. сессия с точки зрения квика та же. При первом подключении нажму, а там пусть реконнектится.


Цитата
Arrigo написал:
PKCS#N - это просто контейнер.где связь между обсуждаемой темой и PKCS# и openssl?
Связь такая что #11 это как раз то, что умеет библиотека openssl для взаимодествия с токенами.

Цитата
Arrigo написал:
А чем это отличается от того, что файл с ключем лежит на диске?
Тем, что ключ лежит внутри криптографического чипа TPM на материнской плате и пределов чипа не покидает.

Цитата
Arrigo написал:
ЗЫ: Я кстати хожу как раз через него. Никаких ключей. Ввод пароля при коннекте и все. Ну мне еще смс падает с пинкодом.
Сертификат.


Коллеги, вопрос простой - да/нет. Если да, то каким образом.
 
 
#14
03.10.2021 04:15:26
Цитата
suturee написал:
Коллеги, вопрос простой - да/нет. Если да, то каким образом.
Если сумеешь - расскажи.
 
 
#15
04.10.2021 07:07:44
Здравствуйте!

Штатной возможности использовать токен для puring/secring не предусмотрено.
 
 
Страницы: 1
Читают тему
Техническая поддержка
+7 383 219 1606
© 2000–2024,
ARQA Technologies
Наверх