token

YubiKey a PAM

Další pokračování návodu s používáním YubiKey tokenů. Tentokrát se podíváme na PAM modul pam_yubico, který v rámci PAMu umožňuje ověřovat yubikey jednorázová hesla. Konkrétně to vyzkoušíme na SSH, nicméně tím, že je to PAM modul, nic nebrání tomu využít OTP autentizaci jinde - přímo do systému, na screensaver, atd.

YubiKey NEO a OpenPGP Card

V předchozím blogu o klíči YubiKey NEO bylo nastíněno, že může fungovat i jako OpenPGP Card. Tedy stát se pro PGP (resp. budeme zkoumat GnuPG) tím, co jsou hardwarové PKI tokeny pro X.509 certifikáty. Výhodou tedy je, že privátní klíč je uložen přímo v klíči a nelze jej softwarově nijak vyexportovat ven. Operace, při kterých je privátní klíč potřeba (podepisování, dešifrování) se pak provádí tak, že data se předají klíči a ten vrátí zpracovaná data zpátky. Narozdíl od situace, kdy privátní klíč je uložen na disku počítače, tady prakticky nelze privátní klíč zkopírovat bez vědomí jeho vlastníka. Lze ukrást celý token, ale toho si vlastník patrně již všimne.

eToken 72k Java PRO a SAC 8.1 na (Gentoo) Linuxu

Krátké howto o rozchození dalšího USB tokenu na nezastaralé distribuci Linuxu. Dříve jsem se zmiňoval o tom, jak rozchodit Rainbow iKey 3000 s pomocí OpenSC. Jelikož iKey 3000 už dnes svými parametry asi příliš nezaujme (jen 1024b RSA klíče) a navíc už ani není moc k dostání. Bylo tedy na místě poohlédnout se po nějaké náhradě. Kandidátem se stal SafeNet eToken PRO 72k Java (dříve Aladdin, nyní označovaný jako SafeNet eToken 5100 - nicméně všechno to jsou shodné tokeny). Ten již není podporovaný pomocí OpenSC (alespoň ne nijak jednoduše), za to ale originální middleware (SAC - SafeNet Authentication Client) podporuje celou škálu operačních systémů (Linux, MacOS X, Windows). Nicméně; podpora na Linuxu lehce pokulhává, pokud je distribuce novější 2 let, ale dá se to rozchodit :)

USB Tokeny a jak je použít

Většina dnes běžně používaných asymetrických šifrovacích algoritmů stojí na principu veřejného a privátního klíče. A je jedno, zda jde o podepisování e-mailů, autorizaci do VPN či cokoliv jiného - pokud se někdo zmocní privátního klíče, je obvykle zaděláno na velký problém. Vzhledem k tomu, že privátní klíč se obvykle válí jako soubor na disku, je riziko ukradení poměrně velké. Nešlo by to udělat nějak lépe?

Subscribe to token