OpenPGP SmartCard
Makdaam w swoim komentarzu do jednego z moich wpisów wspomniał o istnieniu kart typu smartcard wspierających OpenPGP. Taka alternatywa dla kart wspierających X.509 oraz trzymania kluczy GPG na dysku twardym. Obecnie kartę taką (tj. OpenPGP Card) można zdobyć na dwa sposoby. Pierwszym z nich jest dołączenie do FSFE, co kosztuje 60 € i skutkuje m.in. otrzymaniem ładnej, zielonej karty. Na to mnie oczywiście nie stać. Drugim sposobem jest kupno karty poprzez sklep kernel concepts za jedyne 16,40 € plus koszty przesyłki. Do tego przydałby się jeszcze standardowy czytnik smartcard. We wspomnianym sklepie kosztuje przynajmniej 30 €, a podejrzewam, że w Polsce jest dostępny za nieco niższą kwotę. A jakie korzyści płyną z posiadania takiej karty?
To proste. Umożliwia bezpiecznie przechowywanie i wykorzystywanie prywatnego klucza OpenPGP bez obawy o to, iż zostanie on komukolwiek ujawniony (nawet w zaszyfrowanej postaci). Rozwiązanie takie ułatwia również wykorzystanie tego klucza na wielu komputerach - karta mieści się w portfelu, a czytnik posiada niewielkie rozmiary.
A jak już jesteśmy przy inteligentnych kartach to jestem ciekaw, jak szeroko wykorzystywane są Java Cards.
Odbiegając od tematu. Wyjeżdżając na praktykę mam w końcu okazję do tego, aby zostać notariuszem Thawte WoT (obok CAcert). Wygląda na to, że w firmie Ce3 (N 52°13′7.3164″, E 20°59′20.6016″) znajduje się sporo osób, które są w stanie nieodpłatnie poświadczyć tożsamość w programie Thawte. I nie jest to aż tak daleko od akademika w którym będę przebywać (okolice N 52°14′15.2118″, E 20°54′59.871″). To niesamowite, iż niektórzy "notariusze Thawte" oczekują ponad 100 złotych za potwierdzenie tożsamości, którego rezultatem jest 35 z 50 wymaganych punktów. To więcej, niż życzą sobie polskie centra certyfikacyjne.
Komentarze:
1.
Grzegorz dnia 2009-06-28 o 00:26:42 powiedział(a):
Karta ładna, poręczna i praktyczna, ale całość zbyt mało popularna, aby angażować w to niemałe moim zdaniem pieniądze.
2.
Zal dnia 2009-06-28 o 00:31:46 powiedział(a):
@Grzegorz: Nie jest to raczej przeznaczone dla zwykłego użytkownika. Takiemu przydałaby się karta przeznaczona dla certyfikatów X.509 i certyfikat kwalifikowany z jednego z polskich centrów certyfikacyjnych. Podpis elektroniczny już powoli wkracza do Polski :]
Co do samego OpnePGP SmartCard - zdecydowanie lepiej sprawdzałaby się w roli karty dla admina (około 70 PLN za większe bezpieczeństwo to niewiele), czy też dla paranoików ;D Szczególnie, że samą kartę można wykorzystać do wielu celów - nie tylko do pospisywania dokumentów (w tym mejli), ale również np. do kontroli dostępu do dysku twardego (ala opisywany przeze mnie DM-Crypt, LUKS i klucz na dysku USB).
3.
groszek dnia 2009-06-28 o 01:05:37 powiedział(a):
Hym, nie lepiej kupić za 15zł czytnik kart sim a do tego czystą karte (która może mieć kilkanaście mb), i tam trzymać taki klucz? Równie ładna i poręczna, a dużo tańsza i bardziej uniwersalna... w dodatku można użyć do tego prawdziwą sim, działającą (np play - rok ważności po doładowaniu 5zł) by była awaryjnie.
4.
Zal dnia 2009-06-28 o 01:08:32 powiedział(a):
@groszek: A karta taka zapewnia bezpieczeństwo przechowywanych na niej kluczy i wykonywanie funkcji kryptograficznych z ich wykorzystaniem?
5.
groszek dnia 2009-06-28 o 01:10:02 powiedział(a):
No dobra, ale na czym polega takie bezpieczeństwo? Bo jak zgubisz taką kartę to i tak nie będzie wesoło.
A klucze możesz normalnie zapisać w formie plików - wiele kluczy. Także w kontenerze truecrypt :)
6.
Zal dnia 2009-06-28 o 01:20:01 powiedział(a):
@groszek: Bezpieczeństwo takiej karty polega na tym, że raz umieszczone na niej klucze już nigdy jej nie opuszczą. Duża ich część (nie wiem, czy w przypadku tej karty OpenPGP również) umożliwia samodzielne wygenerowanie kluczy, co daje gwarancję tego, że nigdzie on nie wypłynie. A do tego dochodzi łatwość wykorzystania tego w praktyce.
W przypadku gdybym miał zastosować kartę SIM to pewnie i tak wybrałbym zamiast tego pendrive ;] Byłoby jeszcze łatwiej.
7. kklimonda dnia 2009-06-28 o 02:25:27 powiedział(a):
Jakiej wielkości klucz można na takiej karcie zmieścić?
8.
Moarc dnia 2009-06-28 o 07:56:46 powiedział(a):
Mniej więcej 4,5 metra, jeżeli ułożysz go spiralnie na powierzchni karty.
9. crypto dnia 2009-06-28 o 09:25:00 powiedział(a):
@kklimonda
Niestety tylko 1024 bity RSA. Karta jest przestarzała jest w planie nowa karta która większe klucze będzie mogła przechowywać.
Ale tokeny kryptograficzne są poręczniejsze niż karta, odpalane przez USB, brak problemu z czytnikiem. Ja bym stawiał na tokeny a nie karty w przyszłości.
10.
Zal dnia 2009-06-28 o 10:48:21 powiedział(a):
@kklimonda: Tak, obecnie jedynie klucze RSA o długości 1024 bitów, chociaż sama specyfikacja pozwala na dłuższe klucze. Kwestia implementacji po stronie karty. Nowa wersja karty w sklepie kernel concepts będzie dostępna od 1 lipca bieżącego roku - pytanie tylko, czy ta wersja będzie już wspierać dłuższe klucze.
Na marginesie, widziałem ostatnio wersję alfa oprogramowania dla JavaCard implementującego funkcjonalność OpenPGP cards, które pozbawione jest powyższego limitu, ale ze względu na wiele innych czynników - nie nadaje się do wykorzystania ;]
@crypto: Popraw mnie jeśli się mylę. Rozumiem, że token kryptograficzny jest pojęciem nieco szerszym, niż karta kryptograficzna i może posiadać np. przystępniejszy interfejs (m.in. USB), niż sama karta. Nie mylę się?
Jeżeli się nie mylę to faktycznie, tokeny mają szansę stać się bardziej popularne, niż karty.
11.
Grzegorz dnia 2009-06-28 o 10:52:50 powiedział(a):
crypto: Powinieneś założyć własnego Joggera, bo masz sporą wiedzę, miło czyta się Twoje komentarze. Pełne wpisy (nawet jeśli byłyby wydawane sporadycznie) z pewnością pozwoliłby lepiej ogarnąć tematy, na które wypowiadasz się w komentarzach. Już na starce miałbyś kilkunastu stałych czytelników ;)
12. Makdaam dnia 2009-06-30 o 15:53:55 powiedział(a):
Apropos czytnika, właśnie namierzyłem na allegro czytniki do kart chipowych na express card za 88PLN. Wygląda na to, że mieści się w całości w laptopie, a na tym mi głównie zależało. Jeżeli Cię to interesuje mogę zamieścić wynik testów sprzętu pod Linuxem.
13. honey dnia 2009-07-06 o 16:21:30 powiedział(a):
http://shop.kernelconcepts.de/product_info.php?cPath=1_26&products_id=42
Jest już nowa wersja karty z obsługą dłuższego klucza.
ł.