https://ssl.opennet.dev/openforum/vsluhforumID3/111161.html Представлен (https://blog.krypt.co/the-end-of-id-rsa-d8fd2951d406) проект Kryptonite (https://krypt.co/), предлагающий новую систему для хранения закрытых ключей SSH на смартфоне, вместо размещения в файле ~/.ssh/id_rsa. Kryptonite состоит из двух частей - ssh-агента, запускаемого на стороне рабочих станций, и мобильного приложения для Android и iOS, занимающегося хранением ключей. Агент написан на языке Go и распространяется (https://github.com/kryptco) в исходных текстах, но лицензия на код пока не определена (https://github.com/kryptco/kryptonite-android/blob/master/LICENSE).<br><br><br>Kryptonite может рассматриваться как подобие двухфакторной аутентификации для SSH-ключей. Все операции с ключами выполняются на смартфоне, а размещаемый на локальной системе агент лишь получает результат операции, выполненной на стороне смартфона с закрытым ключом. На локальной системе ключи не фигурируют ни в каком виде. Каждая операция с ключом требует явного подтверждения на смартфоне и ввода кода доступа к ключу. <br><br><br>Так как https://ssl.opennet.dev/openforum/vsluhforumID3/111161.html#186 Mon, 08 May 2017 23:37:28 GMT &#171;французские так-то&#187;<br> https://ssl.opennet.dev/openforum/vsluhforumID3/111161.html#185 Sat, 06 May 2017 11:16:55 GMT Если нет уж настолько денег на железку - значит, защищать нечего. Хотя если не брать смарткарты, то вложиться можно.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/111161.html#184 Sat, 06 May 2017 10:54:20 GMT С моей точки зрения - уж больно невелика разница между "взять и пин потыкать" и "спереть и разобрать". Ну, зависит от условий, конечно, но делать такие штуки без заказа имеет смысл только если лично ты понимаешь, как их применить. А дальнейшая защита - в принципе тоже делаема как-то на STM32, но я там не рылся и не особо хочу.<br><br>Из Usages для GNUK: <br> Use with OpenSSH through gpg-agent (as ssh-agent)<br><br>Шифрует сам - собственно, как вы и хотели, "Note that there is no ways to export keys from the Gnuk Token, so please be careful." - но вот генерация происходит на компе.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/111161.html#183 Sat, 06 May 2017 09:39:10 GMT &gt; я что-то не пойму - тебе пoнтоваться лопатой, или решить мелкую проблемку - сохранить ключи от утекания?<br><br>Мне бы в идеале один телефон.<br><br>&gt; мы про какие сейчас "обновления" - обоев? С обновлениями ядра я демонстрировал, хреново там все (и это редхат, который кормит своих кернельных разработчиков, а не дебиан какой, в котором ядро от vanilla неотличимо). bash можете не обновлять, андроеду он не нужен. хром обновляется гуглем (и лиса тоже гуглем), поинтенсивней чем в "обычном линуксе", где надо ждать пока майнтейнеры почешутся (или ломать нахрен пакетную систему). Ну, это если с телефона с ключехранилищем вообще по сети шариться, а не держать его в основном выключенным.<br><br>Мы про обновления ядра. У меня, например, VPS есть на OpenSUSE, и обновления ядра прилетают в худшем случае раз в месяц-два. И всё остальное фиксится весьма оперативно, в отличие от устройсв Sony, HTC и др., коими доводилось пользоваться.<br><br>&gt; это гражданин зачем-то озвучил как зримый для всех благий пример. Я на десятилетний компьютер тож https://ssl.opennet.dev/openforum/vsluhforumID3/111161.html#182 Sat, 06 May 2017 08:12:52 GMT &gt; один на все ключи разом, или ключ один на все сервера? По-моему, так себе идея.<br><br>У тебя для каждого сервера отдельный ключ со своим паролем? Ты админишь два сервера или носишь с собой под каждую ёлку монитор с бумажками?<br> https://ssl.opennet.dev/openforum/vsluhforumID3/111161.html#181 Sat, 06 May 2017 00:22:11 GMT &gt; За 100 баксов будет хлам, а не телефон с поддержкой из Китая <br><br>я что-то не пойму - тебе пoнтоваться лопатой, или решить мелкую проблемку - сохранить ключи от утекания? <br>&gt; или Индии, и соответствующим уровнем сервиса.<br><br>то есть все же - понтoваться? <br><br>&gt; Хорошие телефоны от более-менее нормальных <br><br>для озвученной задачи не нужен хороший. Нужен минимально-китайский - типа вон валяющегося у меня на столе (он, на самом деле, overpriced - где-то в столе лежит "мегафон", в девичестве m3sa - стоил аж тыщу рублей, новый, да, в мегафоне. Все, кроме tpm модуля, там есть. В том что за сто есть и модуль (хз как понять, умеет ли он им пользоваться) Апдейты, что характерно, первые пару лет тоже были, хотя и не по воздуху, четверка, кажись, так вообще не умела. Дальше ему полагалось быть либо разбитым, либо просто так выкинутым. Что, в целом, и слуцилась.<br><br>&gt; Обновления для телефона выходят часто раз в полгода, и это в лучшем <br><br>для пресловутого мегафона они выходили раз в пару месяцев. <br><br>&gt; случае. Сравните с часто https://ssl.opennet.dev/openforum/vsluhforumID3/111161.html#180 Fri, 05 May 2017 22:34:23 GMT А вы -- прекрасный образец задранного самомнения, любящий переходить на личности, и обвинять всех и каждого в незнании. ;-)<br><br>За 100 баксов будет хлам, а не телефон с поддержкой из Китая или Индии, и соответствующим уровнем сервиса. Хорошие телефоны от более-менее нормальных вендоров стоят дороже.<br><br>Обновления для телефона выходят часто раз в полгода, и это в лучшем случае. Сравните с частотой выхода обновлений обычного линукса.<br><br>Уж сколько раз было, что вендоры забывали обновлять телефоны, концентрируясь на новыз моделях. И речь не о десятилетних девайсах (это вы передёргиваете), а о стандартном сроке поддержки, который в большинстве случаев составляет 2, и лишь в редких -- 3 года. Через 3 года девайс превращается в набор дыр.<br><br>Наличие исходников меняет многое -- можно разобраться и пофиксить самому, в отличие от стоковой прошивки, защищённой от изменения при помощи Secure boot и всяких там root detection daemon'ов. Наличие исходников всегда лучше их отстутствия. Утверждать обратное, как минимум, нелог https://ssl.opennet.dev/openforum/vsluhforumID3/111161.html#179 Fri, 05 May 2017 22:02:36 GMT &gt; Защита от физического доступа - это та песня, которую я петь не <br>&gt; умею, а делать пин "чтобы было" - тупо.<br><br>так это логический доступ - тупо шифруем пином что-то ценное, и после третьей неудачой попытки расшифровать - заменяем содержимым таймера, чисто поржать.<br><br>&gt; - это прикрыться от удалённых атак и, в отличие от юбикея <br>&gt; - обойтись открытым кодом, благо GNUK - более-менее проверенная временем <br><br>но это ж вроде только хранилка pgp-шных ключей, или они тоже что-то новое сделали с тех пор как я на них смотрел? (в смысле, оно само даже пошифровать pgp'ом ничего не может, ему нужна помощь за...хоста?)<br><br>&gt; Насчёт хрупкости, врочем - не понимаю, откуда такая идея.<br><br>я про вариант с экраном и клавиатурой, разумеется, а не типовой gnuk token.<br>там есть ньюансы, оно придумано для нежненько на стол класть двумя руками.<br><br> https://ssl.opennet.dev/openforum/vsluhforumID3/111161.html#178 Fri, 05 May 2017 21:48:37 GMT &gt;&gt; fail2ban это хороший способ заблокировать вход администратору :-) <br>&gt; Используя только ключи невозможно ошибиться в пароле или еще каким-то образом допустить <br><br>только ключи - да, но тут же ж их объявили ненадежными и жаждут гугле-отп, он вполне себе ошибка auth. (и с ключами, мягко говоря, перпендикулярен)<br><br>&gt; ошибку ауфа, да еще трижды подряд. Ну плюс к тому мой <br>&gt; вот статик, с которого и только с которого я захожу у клиентов на серверах в вайтлисте,<br><br>вот его и будут ломать.<br>