» »

Certifikat na USB ključ

Certifikat na USB ključ

zmajcek2 ::

Pozdravljeni

Zanima me kako dati oz. nastaviti certifikat (katerikoli) na USB ključ, tako da ga ni potrebno instalirati na računalnik. Npr. certifikat bi dal na usb ključ vključim ga v računalnik certifikat dela. Brez, da bi ga instaliral in deinstalira, avtomatsko se odstrani iz računalnika.

Hvala

Lp

Igor0 ::

Jaz imam na ključku ( varovanem z dolgim geslom seveda ) instalirano Opero in na njej certifikat Klik NLB. Tako lahko od koderkoli dostopam do banke. Upam, da na compih ne puščam sledi, ki bi jih lahko kdo zlorabil !

LP Igor

StratOS ::

Certifikat se vseeno instalira v sistem, če nočeš ga več uporabljati (oz. pri uporabi public compa) ga pač moreš deinštalirati.
"Multitasking - ability to f##k up several things at once."
"It works better if you plug it in."
"The one who is digging the hole for the other to fall in is allready in it."

Gwanaroth ::

Upam, da na compih ne puščam sledi, ki bi jih lahko kdo zlorabil !


Sledi zagotovo puščaš, saj, ko iz USB ključa importaš tvoj private key v katerikoli brskalnik, tam tudi ostane, dokler ga ne ročno pobrišeš.

O zlorabi pa bi se dalo diskutirat, saj imaš po vsej verjetnosti privatni ključ zaščiten z geslom, plus še eno geslo [vsaj tako je pri Abanetu] za dostop do samega računa.
Lights often keep secret hypnosis..

perci ::

On ma opero kar na ključu, tko da res ne vem kaksne sledove bi v browserju na racunalniku puscal, ce ga sploh ne uporablja.

Cokolesnik ::

Hramba certifikatov (digitalnih potrdil oz. podpisov) bi po mojem mnenju lahko bila mobilno varno shranjena na ActivCard pametnem ključu (USB).

ActivCard pametni ključ je enostaven za uporabo, ker ga uporabljamo skozi USB vrata, združuje pa lastnosti pametne kartice ActivCard Gold in čitalca pametnih kartic. V enem samem ključu so zapisani vsa gesla, ključi in profili za dostopanje do različnih mrež. Uporabnik enostavno vtakne ključ v USB vrata vpiše PIN, ki je potreben za priklop na mrežo. Z njim lahko tudi upravljamo svoje elektronsko bančništvo, se podpisujemo in šifriramo elektronsko pošto.

ActivKey v ima kapaciteto pomnilnika 16K in lahko hrani do štiri digitalna potrdila dolžine 1024 bitov skupaj s pripadajočimi privatnimi ključi. Programska oprema za uporabljanje ActivKey je ActivCard Gold 2.0 ali višja.

Še dve povezavi:
Nakup v enaa.com
Proizvajalec
Uporabniki naj pred pisanjem sporočil uporabljajo iskalnik www.google.com.
Čokolešnik ne vsebuje nobenih aditivov, konzervansov ali umetnih barvil.

StratOS ::

Vseeno ostanejo hashi in kripto providerji ter ostale zadeve v registru, ne vem točno, kam se "datoteka/podatki preslikajo", verjetno pa nekam na sist disk/register.

Z uporabo keylogerjev le pri selektivnih https prenosih brskalnikov ni težko določiti gesla in vstopnih kod, seveda če ne uporabljaš updatan AV !
S pomočjo takšnih keylogerjev dobiš povezavo za preverjanje - spletno stran, providerja, uporabljen certifikat in kode.

Torej, jaz tudi inštaliram določen certifikat z diskete/usb diska (eksternih medijev), pa lahko seveda pri uspešni implementaciji v brskalnik le tega uporabljam še kar naprej, torej 1. dejstvo velja :)

Varnost na prvem mestu :)
"Multitasking - ability to f##k up several things at once."
"It works better if you plug it in."
"The one who is digging the hole for the other to fall in is allready in it."

Igor0 ::

Nikjer nisem zasledil, da bi lahko kaj puščal za sabo, sicer pa je varovan z geslom sam dostop na ključ, geslo pred uporabo certifikata in geslo ob vstopu v Klik.
Res pa je, da pri dostopu na net ne potrebujem drugega browserja kot na ključ instalirano Opero.

Pa tudi z računa mi kaj veliko ne bi mogel morebitni nepridiprav sneti, ker sam za to poskrbim še prehitro. !

LP Igor

Mr_Globus ::

Kako pa usb klič zaščitiš z geslom?

jurre ::

@Mr_Globus
jaz sem pri mojem kljucu dobil na cdju program za zaklenit particijo z geslom. Vse lepo in prav, ce ne vpises gesla se vidi prazna particija, samo ni mi jasno kako mi lahko vsak formatira kljuc:\ (izpise opozorilo da je zasciteno z geslo, ce zelis nadaljevati pa das da, pa ti formatira...

StratOS ::

Igor0 jaz sem govoril o standardnem načinu in ne preko eksternega diska oz. medija.

Na tem mediju imaš zaščitene le podatke do dostopa do certifikata in browserja.
Še vedno pa lahko preko keylogerjev dobiš ključ za dostop, kodo za certifikat (private key) in PIN za dostop do zaščitene vsebine.

PKI je kratica za Public Key Infrastructure. Pod to kratico se skriva infrastruktura za varen (kodiran) pretok podatkov. Pretok podatkov poteka s pomočjo privatnih in javnih ključev. Vsak od udeležencev ima svoj privatni ključ in svoj javni ključ. Ko prvi pošlje sporočilo drugemu, ga kodira s svojim privatnim ključem in prejemnikovim javnim ključem. Prejemnik odkodira sporočilo s svojim privatnim ključem in pošiljateljevim javnim ključem.
PKI je največkrat implementiran v obliki SSL (Secure Socket Layer) protokola. Za SSL potrebujemo certifikatno agencijo (CA), ki nam bo izdala certifikat. CA nam lahko privatni ključ zgenerira ali pa ji ga pošljemo v kodirani obliki (zahtevek preko brskalnika). Na podlagi zahtevka nam CA izda javni ključ v obliki digitalnega potrdila (certifikata). Ista CA izda tudi digitalno potrdilo strežniku. Strežnik je nastavljen tako, da verjame potrdilu CA, ki mu je izdala certifikat. Ko pošljemo zahtevek strežniku, se nam strežnik predstavi s svojim certifikatom, s katerim nam zagotavlja, da smo zahtevek poslali na pravi strežnik. Strežnik pa od nas pričakuje, da se bomo predstavili s svojim certifikatom in tako preveri, če smo upravičeni do dostopa podatkov na njem.
Za enostavno delovanje potrebujemo digitalna potrdila vseh treh udeležencev - CA certifikat, strežniški certifikat in seveda svoj certifikat.
Če nimamo strežniškega certifikata, nas bo brskalnik vsakokrat pri vzpostavitvi povezave vprašal če zaupamo strežniku, ob pregledu strežniškega certifikata pa bo videti, kot da ne zaupamo CA. Če svojega certifikata nimamo, se strežniku ne moremo predstaviti.


Res me pa zanima "integracija" browserja na eksternem disku in operacijskim sistemom
"Multitasking - ability to f##k up several things at once."
"It works better if you plug it in."
"The one who is digging the hole for the other to fall in is allready in it."

Igor0 ::

StratOS tebe verjetno zanima samo hranjenje certifikata na ključu, da ne bi bil naložen na compu. Ena od 'naših' bank to podpira, vendar ne vem na pamet katera. Sem v firmi videl, da se pri dostopu na portal banke uporablja USB ključ.
Sama namestitev Opere na ključ - enostavna, snameš z neta, naložiš, dodaš zaznamke in ostalo navlako in že ni razlike med tisto na compu in tisto na ključku.

Glede varovanja ključka z geslom pa je tako. Lahko uporabiš priložen software, lahko z neta snameš kaj, kar je pač po tvoji presoji boljše in zadeva se zaklene. Sam uporabljam 10 mestno case sensitiv alfanumerično kodo , in verjemi, keyloggerji nimajo veliko možnosti. Pogoj pa je, da ključek izgubim ter da hoče nekdo, ki ga najse pobrati vsebino, in ne, da mi kdo namesti na comp, kjer klljuček uporabljam, kakšen snifer. Tudi formatirati se ga brez kode ne da, tako da format in poznejši data recovery ne pride v poštev. To velja za sistem kodiranja, ki zahteva tudi software na compu in ne le na ključku. Tako zaklenjen ključek trudi ni uporaben kjerkoli.

Pa še to ! Vvem, da se bo našel kdo, ki bo to demantiral. Vem, da se da vsaka zaščita odstraniti ali obiti, vendar je vprašanje, koliko truda je za to potrebno. Jaz na ključku, ki bi ga našel, pa bi bil zaklenjen, sigurno ne bi zapravljal dragocenih ur, da bi potem ugotovil, da so na njem neuporabne neumnosti. Večina namreč ključka ne zaklepa, od tistih, ki pa ga zaklepajo, pa stavim, da 99% zaklepa, ker je pač ta možnost podana in ne zato, ker so na ključku pomembni podatki.

LP Igor

StratOS ::

Vse lepo in prav.

Certifikat je le dodatek brskalniku (ali več inštaliranim) in vsebuje crypto podporo brskalniku za https prenos podatkov. Certifikat brez privat ključa je torej nepomembna datoteka.

Toda, da bi brskalnik bil inštaliran potrebuje določene vnose v register, vsaj za registracijo activex kontrolnikov in uporabe crypto funkcij.Tudi podatki za certifikat se morajo nahajati na njem (oz. vsaj linki do USB diska in gonilniki le tega ).

Če imaš inštaliran brskalnik na ključu, more biti inštaliran tudi do OS-a zaradi zgornje navedenih dejstev, pa tudi ime diska, črke pogona (novo spoznanega) in tudi dodatnih driverjev USB ključa za to, ki se inštalira za pravilno delovanje diaka (USB ključa) na OS.

Z dekripcijo komunikacije brez ključev se ne da ubadati.
Vendar se pa z keylogerji dosti da tudi na zaščitenem usb ključu.Lahko dobiš (oz. jih posanme) vse tri kode za delovanje.

Za vse ostalo, kako poteka komunikacija.

Private key je le ključ (parameter) oz del ključa kripto algoritma, ki se izmenjuje med kriptiranim prenosom in dekripcijo in pregledom private keya preko public key-a CA serverja, na katerega se nanaša.

Kot sem povedal
Res me pa zanima "integracija" browserja in certifikata na eksternem disku in operacijskim sistemom
"Multitasking - ability to f##k up several things at once."
"It works better if you plug it in."
"The one who is digging the hole for the other to fall in is allready in it."

Zgodovina sprememb…

  • spremenila: StratOS ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Backup in uvoz SIGEN-CA certifikata

Oddelek: Omrežja in internet
4412209 (1098) kow
»

Kje na disku je shranjen certifikat za banko

Oddelek: Pomoč in nasveti
4520140 (18176) technolog
»

Preverjanje digitalnega podpisa

Oddelek: Informacijska varnost
338175 (6327) neki4
»

KLIK NLB - Varnost ?!?!

Oddelek: Loža
415024 (3567) madviper
»

ActivCard pametni ključ

Oddelek: Kaj kupiti
142910 (2739) Airskull

Več podobnih tem