= Сообщение: 3748 из 10763 ===================================== RU.UNIX.BSD = От : Andrew Kant 2:469/83.1 17 Nov 15 19:48:43 Кому : Andrey Ostanovsky 17 Nov 15 19:48:43 Тема : beadm FGHI : area://RU.UNIX.BSD?msgid=2:469/83.1+564b69e2 На : area://RU.UNIX.BSD?msgid=2:5030/1957+564b5e73 = Кодировка сообщения определена как: CP866 ================================== ============================================================================== Hello Andrey!
Tuesday November 17 2015 20:05, Andrey Ostanovsky wrote to Andrew Kant:
AK>>>> имянно. Причем и не только чисто математической, а "тут вот AK>>>> точно лежит что-то важное".
AO>>> У нас есть масса живых примеров: так, например, широко AO>>> распространенные брелки-токены для хранения ключей (в том числе и AO>>> ЭЦП) совершенно спокойно отдают без пин-кода сертификаты ключей, AO>>> записанных на этом токене. Hу, такая вот конструкция сейфа со AO>>> стеклянной дверцей. AK>> Сертификаты или сами ключи? Сертификаты отдавать можно (и AK>> правильно), чтоб ты их дальше передал. То, что на сейфе пишут номер AK>> ячейки (который и на ключе написан) тебя-же не смущает? Вроде пока AK>> не придумали, как по открытому ключу за разумное время найти AK>> секретный. Или параноя forever?
AO> Как это "не продумали"? Спросить у пока еще живого носителя токена. :) AO> Там же видно: кто выпустил сертификат и для кого. Остальное - решается с AO> помощью паяльника.
И что, паяльник поможет скопировать секретный ключ с токена? Ты сможешь им воспользоваться для подписи, но он все равно останется на токене в единственном экземпляре. Hу и вопрос стоял безопасно ли отдавать сертификат в открытый доступ когда токен уже не доступен.