Denis Feklushkin writes:
> У меня имеются в наличии секреты:
>
> 2 ключа RSA (java cryptoprovider) от банков
> 1 ключ RSA от моего корпоративного самостийного CA
> 1 ключ RSA для SSL, подписан за деньги чужим CA (нафиг не нужен, но пусть
> будет для комплекта)
> 4 ключа от сайтов с SSL–аутентификацией по сертификату пользователя (в том
> числе там онлайновая бухгалтерия)
> 3 ключа gpg для ЭЦП е–майлов (зачем так много? — так получилось)
> 1 сертификат для PKINIT (это такая штука для получения по сертификату krb5
> TGT. его у меня ещё нет но точно будет)
>
> И я совершил грех — я не смог запомнить все пароли и начал их лепить
> повторяющимися или вообще не ставить! (но /home криптованный)
>
> Вопрос:
>
> Есть ли такой честный USB–токен или другой девайс чтобы под линуксом
> все эти секреты хранились на нём, а для того чтобы ими
> воспользоваться требовался один единственный пароль (пин–код)? И
> желательна возможность бэкапить такой ключ (могу ведь потерять),
> защитив бэкап длинным паролем.
Чтоб хранить все это такого не знаю.
Из того что щупал:
1) Aladdin eToken PRO - честный PKCS#12 токен. В него можно запихнуть
сертификаты. Продукты Mozilla с ним умеют работать. Кроме них его у
меня используют OpenSSH, OpenVPN и PAM. Еще на него подвязаны
шифрованные ФС (EncFS и LUKS). Как с ним работает GnuPG мне не
понравилось. Потому появился второй пункт :)
2) OpenPGP Card - отлично работает с GnuPG. Можно на нее также PAM
привязать и для шифрованных ФС использовать.
Смарт-карты не дают делать бекап секретного ключа. Иначе зачем они
нужны бы были?
> А если появится ещё пара ключей от банка но в формате ГОСТ?
>
> Или отговорите - скажите что я всё делаю не так
Я не знаю смарт-карт которые позволяют работать со всем этим.
Может смотреть на защищенные флешки? Вроде есть с нормальным
шифрованием информации (по конкретным моделям пусть более знающие
товарищи просветят).
--
With Best Regards, Maxim Tyurin
JID: mrko...@jabber.pibhe.com
