Open-Source

Mac/Linux/Windows 的安全令牌,自我管理,首選。開源?

  • March 7, 2013

我正在為我的業務購買評估安全令牌(組合智能卡/usb 讀卡器),適用於:

  • 視窗 7 x64
  • OS X 10.6.x x64
  • Ubuntu Linux(64 或 32 位,10.04 或 10.10,我可以根據可能的令牌彎曲)

我需要的功能是:

  • 登錄認證
  • 全盤加密的身份驗證(在 Linux/Windows 中,Mac 在這裡很靈活)
  • 使用 PGP 和 x.509 證書進行簽名/加密
  • 支持 RSA-2048 密鑰(1024 不夠好。)
  • 我可以自己管理證書
  • 開源中間件/驅動程序(不一定是 FOSS,只是可用的原始碼。可以靈活處理,我只是希望能夠審核程式碼。Linux 上兼容 OpenSC 會很棒。)

有沒有可以做到這一切的代幣?或者我需要多個來完成這個?還是我需要查看智能卡和讀卡器才能得到這個?我已經對此進行了一段時間的研究,甚至獲得了有關產品的準確資訊也花了很長時間。

另外,我在美國,而且歐盟出口法似乎禁止我從那裡購買,所以這些供應商都出局了。我在看 Gooze 的飛天代幣,但因為它們在法國,我買不到。

我不知道您使用什麼軟體進行磁碟加密等操作,但大多數 PKCS.11 卡可以滿足您的大部分需求。由於安全性的工作方式,證書管理有點受限。您不能將自己的私有證書放在卡上,卡必須為您生成它(USB 令牌模擬卡,它不一定是物理上的卡)。這裡有很多複雜性,為了簡單起見,我將對其進行掩飾。

如果您能找到完成您想要的軟體並讀取行業標準 PCKS.11 格式的軟體,那麼該單卡可以提供任何用途的證書。Windows、Linux、Mac 和其他作業系統已經有了登錄解決方案。PGP 和 OpenSSL 都可以與 PKCS.11 互動。TrueCrypt 可以用它來儲存 Trivial Key(不熟悉 TC,所以不確定這到底是什麼意思)。

您可以獲得模擬智能卡讀卡器和卡的標準 PKCS.11 USB 令牌。您可以從各種來源獲取它們,大多數都將它們宣傳為能夠“登錄到 Windows”或類似的。並非所有智能卡/令牌都相同,PKCS.11 卡具有特定功能。

StartSSL以相當便宜的價格出售阿拉丁代幣。Athena還銷售實際的智能卡。

注意:我沒有使用任何 USB 令牌,我們使用實際的智能卡。

因為這些東西都非常複雜,所以沒有很多關於它的公共資訊。供應商通常無法給出簡單的答案,因為這取決於許多因素。因此,為了避免誤導人們,他們什麼都不說(除瞭如何联系他們並讓顧問與您一起制定詳細資訊)。我什至沒有提到從硬體設備頒發智能卡證書的證書頒發機構要求……

引用自:https://serverfault.com/questions/218716