[bcn-pm] OT - smartcard?

[Josep Monés i Teixidor]

On dc, 2004-10-06 at 16:04, Alex Muntada w

> 
> En aquest cas, el que més et convé és un disc o memòria flash
> per USB, sense cap dubte. És el mètode més portable i amb més
> capacitat que trobaràs, tot i que potser és més car.

Les diferències principals entre aquesta solució i la smart card "no
criptogràfica" serien:

* La flash usb és més fàcil d'instal·lar en els ordinadors (encara pocs
tenen lectors de smart cards)

* La flash usb està  exposada en el cas de corrupció del sistema de
fitxers, cosa que a mi personalment ja m'ha passat diverses vegades (el
host controla el sistema de fitxers, en el cas de l'smart card ho fa la
targeta) a no ser que tinguis un interruptor de "read only" i el facis
servir sempre així.

* A les smart cards pots obligar a presentar un pin per llegir les
dades; protegint (a més del xifratge de la clau en sí) l'accés a la
informació. També pots tenir diferents nivells de seguretat per
l'escriptura, fent més complicat que es puguin sobreescriure les dades
(imagineu que algú em modifica la meva clau introduint una de nova i jo
no me n'assabento).

* Aquest darrer avantatge també està present en les APIs de targeta, que
permeten agafar en exclusivitat, si es vol, el dispositiu, per evitar
que un troià s'aprofiti que has presentat un pin per llegir o escriure
dades a una targeta (es clar que si et foten un troià també et poden
modificar l'api hehe). 

> 
> El que no tinc tant clar és si el pots utilitzar directament
> com a dispositius de seguretat des de les aplicacions, com en
> el cas de Mozilla. És això el que t'interessa? Algú ha provat
> si funciona amb dispositius USB?

Si et refereixes a utilitzar-lo com a token PKCS#11, no es pot (a no ser
que utilitzis un PKCS#11 que ho faci tot en software i el configuris
perquè ho emmagatzemi allà).

El que sí que existeix, ara tirant-me pedres al meu teulat, són tokens
USB. Són smartcards criptogràfiques + lector en una espècie de
"pendrive" d'aquests (de fet moltes vegades són els mateixos
microcontroladors de les targetes amb el perifèric USB incorporat).
Perden part de la comoditat de la mida (no te les pots posar a la
cartera) però eviten comprar el lector. Aquests sí que tenen un PKCS#11
al que es pot accedir des de Mozilla (o openssl o el que sigui) com si
fos una smart card. 

La meva experiència amb l'USB (no sé la vostra) però és que al connector
no li agrada massa que l'estigui enxufant i desenxufant tot el dia.
Sempre em compro cables per no malmetre el USB de l'ordinador i els he
d'anar canviant cada dos per tres (és clar que a la feina portem això de
connectar i desconnectar a un extrem). Però la meva opinió segur que és
esbiaixada.

A reveure,
-- 
Josep Monés i Teixidor
Clau GnuPG: gpg --recv-keys 80E85CC4
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: This is a digitally signed message part
Url : http://mail.pm.org/archives/barcelona-pm/attachments/20041006/1fed106c/attachment.bin