Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline learner158  
#1 Оставлено : 29 января 2020 г. 14:26:50(UTC)
learner158

Статус: Участник

Группы: Участники
Зарегистрирован: 29.01.2020(UTC)
Сообщений: 23

Интересный вопрос для знатоков.

Известно, что токен авторизации (например рутокен) имеет защищенную память, в которой хранится закрытый ключ.

К сожалению, это всё, что можно узнать на просторах google.

Какова роль pin-кода в доступе к защищенной памяти и как вообще организована защищенная память токена?

Где-то я читал, что якобы закрытый ключ хранящийся в памяти токена (ГОСТ или RSA) шифруется симметричным ключом (ассиметричный ключ шифруется симметричным алгоритмом). Так ли это? А если это так, то какова роль пин-кода в доступе к симметричному ключу?

Спасибо!
Offline Агафьин Сергей  
#2 Оставлено : 29 января 2020 г. 14:44:00(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: learner158 Перейти к цитате
Интересный вопрос для знатоков.

Известно, что токен авторизации (например рутокен) имеет защищенную память, в которой хранится закрытый ключ.

К сожалению, это всё, что можно узнать на просторах google.

Какова роль pin-кода в доступе к защищенной памяти и как вообще организована защищенная память токена?

Где-то я читал, что якобы закрытый ключ хранящийся в памяти токена (ГОСТ или RSA) шифруется симметричным ключом (ассиметричный ключ шифруется симметричным алгоритмом). Так ли это? А если это так, то какова роль пин-кода в доступе к симметричному ключу?

Спасибо!


Добрый день.
Сильно зависит от конкретного токена и лучше узнавать данную информацию у производителя.
В подавляющем большинстве случаев ПИН-код - это просто строка, которая предъявляется в токен по открытому каналу и внутри сверяется с эталоном. Если проверка прошла успешно, взводится флаг (признак аутентификации), который разрешает выполнение операций (чтение закрытые ключей, вычисление подписи и т.д.).
Формат хранения ключа - это отдельный вопрос. Чаще всего он находится не в шифрованном, а в маскированном виде. Некоторые реализации вполне могут действительно шифровать ключи на паролях, но я с такими не сталкивался.
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline learner158  
#3 Оставлено : 29 января 2020 г. 15:00:24(UTC)
learner158

Статус: Участник

Группы: Участники
Зарегистрирован: 29.01.2020(UTC)
Сообщений: 23

Подскажите, а вот когда крипто-про создает контейнер закрытого ключа, он шифрует этот ключ в этом контейнере симметричным алгоритмом, или тоже маскировка происходит?
Offline learner158  
#4 Оставлено : 29 января 2020 г. 16:50:18(UTC)
learner158

Статус: Участник

Группы: Участники
Зарегистрирован: 29.01.2020(UTC)
Сообщений: 23

Автор: Агафьин Сергей Перейти к цитате


Формат хранения ключа - это отдельный вопрос. Чаще всего он находится не в шифрованном, а в маскированном виде.


Правильно ли я понимаю, что речь идет о сокрытии настоящего закрытого ключа и его заменой фиктивным, подложным закрытым ключом? (при маскировке, исходные данные заменяются фиктивными, подложными)
Offline Агафьин Сергей  
#5 Оставлено : 29 января 2020 г. 16:52:58(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: learner158 Перейти к цитате
Подскажите, а вот когда крипто-про создает контейнер закрытого ключа, он шифрует этот ключ в этом контейнере симметричным алгоритмом, или тоже маскировка происходит?


Смотря как создаёт.
Если в "незащищенном" носителе: реестре, жестком диске, флешке, мы шифруем контейнер симметричным алгоритмом (выбирается в зависимости от типа ключа, чаще всего ГОСТ 28147-89) на ключе, выводимом из ПИН-а.
Если на токене, мы полагаемся на средства защиты токена.
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline Агафьин Сергей  
#6 Оставлено : 29 января 2020 г. 16:54:36(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: learner158 Перейти к цитате
Автор: Агафьин Сергей Перейти к цитате


Формат хранения ключа - это отдельный вопрос. Чаще всего он находится не в шифрованном, а в маскированном виде.


Правильно ли я понимаю, что речь идет о сокрытии настоящего закрытого ключа и его заменой фиктивным, подложным закрытым ключом? (при маскировке, исходные данные заменяются фиктивными, подложными)


Не совсем. Ключ разделяется на две части: K = K' xor M. Вместо xor могут быть разные операции (умножение по модулю группы точек кривой, сложение по модулю 2^32 и т.п.). Ключ и маска просто хранятся в разных "физических" частях токена и сами по себе без второй части не представляют ценности (см. теорию информации).
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline learner158  
#7 Оставлено : 29 января 2020 г. 16:55:17(UTC)
learner158

Статус: Участник

Группы: Участники
Зарегистрирован: 29.01.2020(UTC)
Сообщений: 23

Да, я заметил, что при записи на токен, криптоконтейнер не создается.
Offline learner158  
#8 Оставлено : 29 января 2020 г. 17:02:28(UTC)
learner158

Статус: Участник

Группы: Участники
Зарегистрирован: 29.01.2020(UTC)
Сообщений: 23

Автор: Агафьин Сергей Перейти к цитате


Не совсем. Ключ разделяется на две части: K = K' xor M. Вместо xor могут быть разные операции (умножение по модулю группы точек кривой, сложение по модулю 2^32 и т.п.). Ключ и маска просто хранятся в разных "физических" частях токена и сами по себе без второй части не представляют ценности (см. теорию информации).


Подскажите, маска это M?



Ключ разделяется на две части - речь о закрытом ключе?


Подскажите, очень интересный вопрос - а нельзя ли разобрать токен, подключиться напрямую к чипу памяти с помощью специального оборудования и найти там K' и отдельно найти M, и получить исходный закрытый ключ?
Offline Агафьин Сергей  
#9 Оставлено : 29 января 2020 г. 17:25:09(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 834
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
Автор: learner158 Перейти к цитате
Автор: Агафьин Сергей Перейти к цитате


Не совсем. Ключ разделяется на две части: K = K' xor M. Вместо xor могут быть разные операции (умножение по модулю группы точек кривой, сложение по модулю 2^32 и т.п.). Ключ и маска просто хранятся в разных "физических" частях токена и сами по себе без второй части не представляют ценности (см. теорию информации).


Подскажите, маска это M?

Ключ разделяется на две части - речь о закрытом ключе?


Подскажите, очень интересный вопрос - а нельзя ли разобрать токен, подключиться напрямую к чипу памяти с помощью специального оборудования и найти там K' и отдельно найти M, и получить исходный закрытый ключ?


Ну, это операция коммутативная, так что не особо важно, что маска, а что "не маска".

Конечно, можно разобраться токен. Вопрос только в том, о каком уровне безопасности идет речь. Если модель нарушителя подразумевает электронный микроскоп, оборудование уровня НИИ и т.п. штуки, то не нужно в ней использовать устройства уровня КС1-КС3.
С уважением,
Сергей
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline learner158  
#10 Оставлено : 29 января 2020 г. 18:09:49(UTC)
learner158

Статус: Участник

Группы: Участники
Зарегистрирован: 29.01.2020(UTC)
Сообщений: 23

Автор: Агафьин Сергей Перейти к цитате
Подскажите, а вот когда крипто-про создает контейнер закрытого ключа, он шифрует этот ключ в этом контейнере симметричным алгоритмом, или тоже маскировка происходит?

Смотря как создаёт.
Если в "незащищенном" носителе: реестре, жестком диске, флешке, мы шифруем контейнер симметричным алгоритмом (выбирается в зависимости от типа ключа, чаще всего ГОСТ 28147-89) на ключе, выводимом из ПИН-а.
Если на токене, мы полагаемся на средства защиты токена.


Если я в Крипто-Про выбираю криптопровайдер "Crypto-Pro Enhanced RSA and AES CSP"

Для каких задач используется симметричный AES? Может быть как раз для шифрования контейнера?

Отредактировано пользователем 29 января 2020 г. 18:14:18(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.