PD
А не, в такой криптопрошной коробке и больше. Но там просто хранилище ключей на обычном диске. Можно и самому сделать.
Size: a a a
2019 November 19
GK
Но если ты посмотришь, hashicorp vault тоже может использовать HSM для хранени ключей
PD
Мы смотрели в свое время. HSM или медленный или очень дорогой или и медленный и дорогой.
GK
Дорогой, да
PD
А увеличения надёжности не даёт - кроме тех, что на спецжелезе, но там места мало.
GK
Хотя, тут я пожалуй поспешил. Vault для мастер ключей интегрируется с HSM. Но нужно поглубже посмотреть
GK
А увеличения надёжности не даёт - кроме тех, что на спецжелезе, но там места мало.
Иногда хотят именно HSM, буквально сейф с ключами
KG
bpmn нотация открытая есть. а нотация проектного планирования есть какая то открытая?
KG
или майкрософт с примаверой не могут договориться
A
У нас только Талесы были, там не хранятся клиентские ключи вообще. И в любом случае много ключей в него не влезет. Плюс схема с хранением приватных ключей в зашифрованном виде в обычном хранилище - вполне себе безопасная. PCI/DSS соответствует.
GK
У нас только Талесы были, там не хранятся клиентские ключи вообще. И в любом случае много ключей в него не влезет. Плюс схема с хранением приватных ключей в зашифрованном виде в обычном хранилище - вполне себе безопасная. PCI/DSS соответствует.
В общем-то, да
RT
Проблема с HSM в ответе на вопрос о том как HSM будет аутентифицировать владельца ключа, чтобы совершить операцию с ключом.
Скорее всего это будет размен ЭП на обычные логин-пароль-смс, что лишает всю затею смысла.
Скорее всего это будет размен ЭП на обычные логин-пароль-смс, что лишает всю затею смысла.
A
В случае логин-пароль-СМС аутентификацией занимается сервер, HSM - это про криптографию.
A
Если надо на HSM, то я сходу могу только вариант со смарт-картой придумать. А это противоречит исходному вопросу.
RT
Есть визионерская идея из области гипотез: смартфон это отличное хранилище для ключа ЭП, если у смартфона есть Secure Element или TPM (у самсунгов точно есть)
GK
Проблема с HSM в ответе на вопрос о том как HSM будет аутентифицировать владельца ключа, чтобы совершить операцию с ключом.
Скорее всего это будет размен ЭП на обычные логин-пароль-смс, что лишает всю затею смысла.
Скорее всего это будет размен ЭП на обычные логин-пароль-смс, что лишает всю затею смысла.
Если пользователь аутентифицирован и авторизован на выполнение подписи, то тогда для подписи используется его ключ
A
Есть визионерская идея из области гипотез: смартфон это отличное хранилище для ключа ЭП, если у смартфона есть Secure Element или TPM (у самсунгов точно есть)
Да, если у пользователя есть его приватный ключ аутентификационный ключ, то можно им пользоваться. А подпись будет на HSM его облачным ключом подписи, как Геннадий написал.
GK
В случае с хранением подписи в зашифрованном pkcs контейнере по сути проиходит то же самое
A
Хранить приватный аутентификационный ключ можно хоть как, лишь бы секьюрно. Вопрос: насколько секьюрно вам надо. От этого зависит стоимость и сложность решения.