Возможно ли организовать базу паролей, которая будет принимать один из нескольких аппаратных ключей для разблокировки?
Добрый вечер!
Собственные соображения.
Аппаратный ключ надёжнее файла-ключа, т.к. его невозможно извлечь с устройства. Раз его невозможно извлечь, то в качестве резервирования база паролей должна принимать один из нескольких уникальный аппаратных ключей, что, к примеру средствами keepass 2, keepass XC сделать нельзя, т.к. аппаратный ключ может быть один. Стоит ли заморачиваться или создать файл ключ на токен с пин-кодом и этого будет более чем достаточно?
Drno, Действительно корректнее было бы написать "невозможно программно извлечь, возможно извлечение только при физическом доступе и при наличии спецоборудования". Суть в том, чтобы закрытые ключи оставались на отдельных устройствах и не могли быть легко извлечены, но при этом была возможность зайти в базу при наличии хотя бы одного аппаратного ключа.
Токен мне кажется будет удобнее в этом плане.
Если интересует совсем аппаратная история, а не программная, можешь рассмотреть (или посмотреть) как работают модули доверенной загрузки. Например АПМДЗ Соболь или Аккорд.
И у тех и у других полностью аппаратная часть. Подключенный на плату модуль - к модулю конфигурируется свой ключ (в виде таблетки или флеш-токена), наклепать таких можешь несколько штук (условно для админа, руководителя и пользователя). Перед загрузкой любой ОС у любого устройства просит предъявить персональный идентификатор.