Ну так скажем, я вляпывался в немного тупую штуку с simplesnap

кстати, любопытно а на zfs libxo там не прикрутили ещё :)

Собственно токен — это вот эта смарткарта. а корпус и плата в нём — это просто USB SmartCard reader стандартный скорее всего. Стоит 3 копейки на алиэкспрессе. Т.е. интерес представляет именно то, что выглядит как SIM-карта, но если доки нет и оно никак не реагирует на тыканья палочкой — то что с неё толку?

собственно я всё понял. доходчиво.

(вздыхает)

Ну т.е. не SIM-карта таки. Понятно.

а то у меня сразу в голове товарищи майоры нарисовались

а то у меня сразу в голове товарищи майоры нарисовались

?

Have "date modified" in .zfs/snapshot/<snapshot> reflect snapshot creation time https://github.com/zfsonlinux/zfs/issues/1133

интересно, а почему забили на публикацию квартальных отчетов?

Ну т.е. не SIM-карта таки. Понятно.

а почему бы это должна была быть сим-карта, и причем тут майоры?

я бы кстати был не против, если б фря токенами загрузку/авторизацию поддерживала

интересно, а почему забили на публикацию квартальных отчетов?

ну... так надо чтоб их кто то во первых организовывал, а во вторых писал :)

я бы кстати был не против, если б фря токенами загрузку/авторизацию поддерживала

Авторизацию поддерживает же, есть PAM-модули в портах. Загрузка — сложнее, конечно, очень много в загрузчик тащить надо

там на английском, кстати был вроде ряд статей, типа как фря хорошо и как я докатился до жизни такой, народ вполне хвалил

Авторизацию поддерживает же, есть PAM-модули в портах. Загрузка — сложнее, конечно, очень много в загрузчик тащить надо

ну... на самом деле для поддержки загрузки с GELI не так уж и много

по идее

по идее

Весь OpenSC, а так, да, немного :-)

раньше (насколько я помню) в рассылке запрашивалось наполнение квартального отчета, но видать все решили забить... не радостно это, плохой звоночек

ну... на самом деле для поддержки загрузки с GELI не так уж и много

ну просто то GELI вроде даже вон для ZFS что то придумывали, но наверное в 12-й

ну... на самом деле для поддержки загрузки с GELI не так уж и много

Но если в GELI, т.е. в ядро, то попроще, конечно, чем в loader. USB и HID уже есть как минимум. Другой вопрос — какие токены поддерживают key derivation с внутренним секретом, то что нужно GELI

раньше (насколько я помню) в рассылке запрашивалось наполнение квартального отчета, но видать все решили забить... не радостно это, плохой звоночек

ну так вот поди кому то запрашивать и поднадоело, вечно была проблема с наполнением

ну просто то GELI вроде даже вон для ZFS что то придумывали, но наверное в 12-й

буковки знакомые увидел?

Но если в GELI, т.е. в ядро, то попроще, конечно, чем в loader. USB и HID уже есть как минимум. Другой вопрос — какие токены поддерживают key derivation с внутренним секретом, то что нужно GELI

меня бы устроил даже эквивалент из экзампла, где файл + пассфраза, только вместо файла токен

а, ну хотя да, без поддержки не обойтись 8)

меня бы устроил даже эквивалент из экзампла, где файл + пассфраза, только вместо файла токен

Токены так не работают. Токены обычно выполняют криптопримитивы с использованием ключей, которые из токена физически не достать.

ибо иначе все те же недостатки файла

Т.е. в случае GELI, например, можно хранить некоторый материал (изначально рандомные 512 байт, например) который в токене превращать в мастер-ключ (которым защищён блок дальнейших ключей, на сколько я помню архитектуру GELI, хотя могу ошибаться) шифруя внутри токена ключом который никогда не покинет токен. Но обычно токены заточены под конткретные протоколы и надо смотреть что там есть подходящего из криптопримитивов. Может расшифровка блока с ключами на токене… Это вот скорее всего получится.

Было бы интересно таким занятся, только надо понять какие токены распростраенны и что у них общего. У меня есть Yubikey Neo, он может быть GPG Card, и есть NXP SAM2, он вещь в себе ни с чем не совместимая и к тому же с доукументацией под NDA (у меня етсь документация, но она помечена на моё имя, не могу я её никому дать).

Может быть, поддержка GPG Card на первое время самое разумное.

Но всё равно придётся реализацию всего стека SmartCard ISO 7xxx и 14xxx (Не помею точно номеров) тащить в ядро. Это немало.

Токен в рамках терминологии GELI может быть User Key. В Token пихаем зашифрованный Master Key, получаем из токена расшифрованный, дальше работаем как обычно. Вмешательство в GELI минимальное.

Было бы интересно таким занятся, только надо понять какие токены распростраенны и что у них общего. У меня есть Yubikey Neo, он может быть GPG Card, и есть NXP SAM2, он вещь в себе ни с чем не совместимая и к тому же с доукументацией под NDA (у меня етсь документация, но она помечена на моё имя, не могу я её никому дать).

@vgadfly по нашенским скажет

TPM ещё может быть актулаен за пределами России.

А он совсем не SmartCard. Т.е. получается, что нужен довольно развесистый фреймворк.

TPM ещё может быть актулаен за пределами России.

а он ещё жиф? когда то на заре, помнится я его даже завёл (чтоб определился), а вот недавно оно там как то непотребно начало в логи ругаться

а он ещё жиф? когда то на заре, помнится я его даже завёл (чтоб определился), а вот недавно оно там как то непотребно начало в логи ругаться

Да что ему будет, на всех энтерпрайзных платах и ноутах стоит. Ну, если не в России покупать. У нас оно требуте всякого уведомления ФСБ и поэтому к нам везут без них. Я читал спеки — нормальный маленький HSM, почему бы не юзать?

а почему бы это должна была быть сим-карта, и причем тут майоры?

человек написал "симкарта".

много токенов встречаю от актива - рутокены. вариант с эцп нормально цепляется к браузеру и ssh, т.е. довольно универсельный девайс

ну я скорее в смысле поддержки во фре, хотя каких то тематичных статей вообще тоже как то особо не видно, по началу то была шумиха

ну я скорее в смысле поддержки во фре, хотя каких то тематичных статей вообще тоже как то особо не видно, по началу то была шумиха

В портах вроде есть библиотека поддержки, но зачем бы его цеплять кроме как для загрузки — непонтяно. Для SSL он категорчиески не годится, медленный и алгоритмы по нынешним временам смешные. Для авторизации пользователей тоже — память ключей крохотная. но что бы проверить подписи лоадера / расшифровать ключи FDE его достаточно. Но в ядро/лоадер совать надо. Видимо, никто не заморочился. Может, кстати, Джунипер… Они много странного делают и далеко не всё показывают

много токенов встречаю от актива - рутокены. вариант с эцп нормально цепляется к браузеру и ssh, т.е. довольно универсельный девайс

Ну да, там PKCS #11 наверняка, кстати. Можно и на него ориентироваться. Это я как-то забыл к вечеру, что у нас же стандарт есть. Уродливый, но хоть какой-то

ну да, вот эту фигню с портов я и раскочегаривал, девайс она таки находила, а вот с ключами мне копать уже было лень, не настоящий я криптопараноик :)

не заставляли тебя, видать, госорганы сношаться...

Хотя что это я. ПКЦС не определяет протокол к карте. А значит каждый токен может работать через свою систему команд. Ох.

если бы было так, то для каждого токена нужен был бы драйвер. но сейчас этого не требуется

если бы было так, то для каждого токена нужен был бы драйвер. но сейчас этого не требуется

Ну вообще, PKCS#11 модулей много. Одного универсального нет, на сколько я понимаю.

если бы было так, то для каждого токена нужен был бы драйвер. но сейчас этого не требуется

читаю всякие документы — нигде не вижу общих APDU для реализации PKCS#11. Везде пишут, что они vendor-specific. Там пяток команд из ISO-7816, но почти всё что дальше ввода PIN'а — vendor-specific. Общего найти не могу.

если бы было так, то для каждого токена нужен был бы драйвер. но сейчас этого не требуется

Назови пару токенов, которые работают без своих драйверов, я пойду их документацию читать

ну насколько я понял после дров на ридер уже сам pcsc подбирает драйвер на токен. в логах видно

у меня определяется как какой-то немецкий персональный паспорт и пипец

Пости как sane со сканерами

0x7fdef4945780 22:13:29.649 [pkcs15-init] card-coolkey.c:2241:coolkey_match_card: called 0x7fdef4945780 22:13:29.649 [pkcs15-init] card-coolkey.c:934:coolkey_apdu_io: called 0x7fdef4945780 22:13:29.649 [pkcs15-init] card-coolkey.c:2368:coolkey_card_reader_lock_obtained: called Using card driver German ID card (neuer Personalausweis, nPA). Couldn't bind to the card: Not supported

кстати, написал на lissi.ru, обещали помочь с токеном.задачу обозначил как: обзавестись СКЗИ/ЭП (аналогом Yubikey), чтобы с одной стороны можно было работать с ресурсами типа госуслуг, с другой стороны хранить на токене ssh/gpg ключи. обещали помочь через пару недель (у них там пожар был)

Токен в рамках терминологии GELI может быть User Key. В Token пихаем зашифрованный Master Key, получаем из токена расшифрованный, дальше работаем как обычно. Вмешательство в GELI минимальное.

А вот zfs с его raidz поверх geli не доводилось заводить?

@blacklion79 ты кстати на лиссиковские поделки не смотрел? http://soft.lissi.ru/ls_product/skzi/PKCS11/

я бы кстати был не против, если б фря токенами загрузку/авторизацию поддерживала

Лол, не в текущем виде. Нужен нормальный фреймворк для смарткарт

с этого момента поподробнее - я туда могу симку втыкнуть? ?

Да

Да

втыкнул уже. если кратко - без изменений

Можешь вставить и cardpeek- ом потыкать

но там и симка такая... короч ни пина нет, ни в работоспособности уверенности

Ни поддержки pkcs скорее всего

cardos-tool-ом тыкал

cardpeek попробуй ещё

Ни поддержки pkcs скорее всего

в симке-то? ну слоты она должна была показать. или нет?

Он некоторые стандартные протоколы знает, типа emv и sim

Слоты у ридера

У карты разве что ATR

ERROR: S client not available

угу. ок

но это завтра или на выхах

короче я совсем упоролся по криптотокену. оч. хочу уже.

Купи рутокен эцп :)

еще потрахаётесь здесь!

Он из коробки в opensc

Он из коробки в opensc

это я уже видел когда pcsc перебирал драйверы ? мелькал rutoken

Он из коробки в opensc

ну я так понял lissi наковыряли отовсюду всего и в psck#11 наделали интерфейса. вопрос есть смысл в их поделии? просто я в своё время когда в банке москвы счет открывал они предложили волшебный выбор из одного варианта, и это был НЕ рутокен. так вот лиссиковская либа я так понял претендует на некую универсальную прослойку

я про LS_HW11

Для линуксов обычно дают проприеритарный драйвер-прослойку, отдающий сразу pkcs#11

ну а тут как бы такое же, только спектром пошире. но это я ещё потыкаю в них палочкой.

Я немного ковырял весь этот опенсорсный стэк, но подзабыл уже, кто на ком стоит

У нас свой

У нас свой

"у нас" это у кого?

В конторе. Проприеритарная реализация ccid, 7816 и смарткарт

а если не секрет что за контора?

НПО Эшелон

а если не секрет что за контора?

свой загрузчик делают, покупай!

свой загрузчик делают, покупай!

не, я сейчас на мели, не способен конторы покупать...

Вот про нас немного писали https://www.recordedfuture.com/russian-vulnerability-analysis/

хех

"Russian vulnerabilities published by year." :))))

The public record and available data is not yet sufficient to determine the relationship between FSTEC and Russian state-sponsored cyber operations. However, it is clear that FSTEC’s vulnerability database is utilized by Russian intelligence services in a different manner than CNNVD is by Chinese intelligence. In China, CNNVD delays or hides the publication of vulnerabilities being used by the intelligence services, while in Russia, it is possible that FSTEC publishes vulnerabilities being used by the intelligence services in order to protect against them.

Текстик забавный сам по себе, да

"русские хакеры идут"

ну хотя нет. не так грубо.

шишел-мышел… эшелон =)

сорян за флуд, видимо усталость

а вообще, мы значит где-то неподалёку

ну хотя нет. не так грубо.

паяльник доставай, песню запеевай =)

шишел-мышел, пёрнул, вышел вон?

ах, да =) жи-ши с буквой “и” =)