Возможно ли раздать ЭЦП с помощью Active Directory?

Question

[denn]

Имеется ЭЦП в виде флеш-носителя и появилась идея подключить флешку в сервер и раздать данную подпись с помощью Active Directory, дабы не плодить флешки и сделать все централизованно. Возможно ли такое или это больные фантазии?

Как вариант, наткнулся на решения DistKontrolUSB и Donglify. Но опять же, нужно втыкать несколько ключей, чтобы каждый юзвер смог использовать ключ.

Comments

[Василий Банников]

Ну как минимум это больные фантазии, тк не секурно.

[hint000]

...хотя и "плодить флешки" тоже не секьюрно.

[Михаил Лялин]

А разве нельзя ЭЦП скопировать в реестр и далее работать через AD с веткой реестра?

Answer 1

[nApoBo3]

Есть такая штука usb over ethernet, она вполне решает вашу задачу. Но как указали в комментарии формально это компрометация одного из факторов аутентификации, хотя токен валяющиеся в бухгалтерии и доступный каждому проходящему мимо вероятно не лучше.
Вопрос зачем в таком сценарии токен вообще и почему не поставить сертификат локально на компьютер?

Comments

[denn]

На счет usb over ethernet чекну, спасибо. А вот с токеном я сам не догоняю. Бухгалтера и другие отделы каждый просит флешку. Но ведь и вправду, можно поставить локально и забыть про флешку))

[Alexey Dmitriev]

denn, Так может стоит догнать?
Если это действительно флешка - на ней лежат файлы ЭЦП - их можно перенести в другое хранилище из локальных - файловая система на компьютере или в реестре.

[Александр Черных]

@nApoBo3

Вопрос зачем в таком сценарии токен вообще и почему не поставить сертификат локально на компьютер?

Рассказываю как это было в нашей стране.

Ранее серты локально лежали в папке, и все кому нужно имели доступ и логинились и подписывали. И было скучно (ирония)

Потом налоговая велела всем перейти на токены (ну потому что секурити надо поднять). И мы перешли. Позже они сбились с этой темы и все вернулось на круги своя.

Однако теперь токены есть и мы пользуемся ими. И теперь кадровичка для своих проф. нужд берет токен у бухгалтерши, чтоб залогинится на сайты органов

Так и живем. Расшаривать токен по сети я не буду, ибо секурити :-)

[Alexey Dmitriev]

Александр Черных, ограничить права доступа на папку с сертификатами ? Поднять терминальный сервер, ограничить на него доступ и обраничить еще и права на папку с сертификатами на нем?

[Александр Черных]

Alexey Dmitriev, я не совсем понял
у меня и так все в терминале, так что никто особо не пострадал от перехода на токены

вопрос удобства пользователю (а ТС хочет именно этого я так понял) это вопрос компромиса удобства и безопасности. Безопасность в приоритете. Когда безопасность не страдает пользователь получает удобства, в ином случае будут делать так как нужно, без удобств.

[nApoBo3]

Александр Черных, не бывает компромисса между удобством и безопасностью. Сначала мы описываем требуемый уровень безопасности, потом подбираем максимально удобное решение. Если мы не реализуем требуемый уровень безопасности, это не компромисс, это "не безопасность".
Токен, это второй фактор аутентификации, "у меня есть, значит это я", если токен находится не у владельца, значит фактор, "у меня есть", скомпрометирован, токен должен быть отозван. Если же мы говорим, что токен может находится у кого угодно, то зачем нужен токен вообще? Запишите подпись в хранилище ОС и используете, это точно не менее безопасно, чем токен с паролем 1111 который может быть вообще где угодно.

[Александр Черных]

nApoBo3, хозяин-барин, делайте как угодно. Вы все знаете