KeePassXC – Надежное решения для хранения паролей / Хабр

Получается, что рутокен эцп и jacarta гост не являются токенами с неизвлекаемым ключом?

Опять нет. Данные устройства могут реализовывать функционал ФКН (но, возможно, в меньшем объеме, чем при использовании их совместно с СКЗИ КриптоПРО), но для этого нужен софт, который умеет работать с апплетами размещенными на токенах. Таким софтом может быть

. Он это

. При генерации ключевой пары в мастере КриптоАРМ можно выбрать криптопровайдер, который будет использоваться, например, Rutoken ECP или eToken GOST. Это и позволит использовать токен как ФКН.

Как сделать, чтобы все было хорошо?

Чтобы с помощью продуктов ООО “КРИПТО-ПРО” реализовать технологию ФКН, необходимо:

1. Купить специальную версию библиотеки СКЗИ: — для Рутокен ЭЦП — СКЗИ КриптоПРО Рутокен CSP. — для JaCarta ГОСТ – СКЗИ КриптоПро ФКН CSP.

2. Одновременно с библиотекой СКЗИ необходимо приобрести специально подготовленные токены, содержащие в себе программные части (апплеты), с которыми умеет работать КриптоПРО Рутокен CSP или КриптоПро ФКН CSP соответственно.

Какой менеджер паролей выбрать. что лучше keepass, keepassx или keepassxc

Менеджеров паролей много. Стоит выбрать тот, у которого открыт исходный код (что позволяет убедиться, что ваши пароли не будут отправлены злоумышленнику и/или в алгоритме шифрования нет закладок).

Одним из популярных, хорошо зарекомендовавших себя является KeePass. Изначально эта программа была написана для Windows, но с помощью Mono (открытая реализация .NET платформы, включающая рабочую среду и компилятор) работает и на Linux, Mac OS X.

У KeePass имеется два популярных ответвления:

У всех этих трёх программ взаимосовместимые базы данных.

В операционных системах Linux в стандартных репозиториях обычно доступны 2-3 из этих программ, в некоторых дистрибутивах они предустановлены, например, KeePassXC предустановлена в Tails и Whonix.

Рассмотрим установку и как пользоваться KeePass и KeePassXC.

Почему следует использовать менеджеры паролей

Главные правила безопасного использования паролей:

• пароль должен быть сложным (то есть включать в себя 4 группы символов — большие и маленькие буквы, цифры, специальные символы, — и не состоять из слов или их комбинации, которые можно найти в словаре)
• нельзя использовать один и тот же пароль на разных сайтах и сервисах, поскольку компрометация вашего пароля, например, на плохо защищённом сайте/форуме, может дать злоумышленнику доступ к вашей почте, облачному хранилищу, социальным сетям, сетевой папке и т. д.
• пароли не должны храниться на компьютере в текстовых файлах, а также в общедоступных местах (стикер с паролем на компьютере — это тоже плохо)

При соблюдении этих условий, нужно помнить большое количество сложных паролей, что на практике невозможно. Поэтому многие пользователи эти условия не соблюдают (что плохо), а те, кто соблюдают, вынуждены записывать пароли, например, в текстовый файл (если файл не зашифрован, то это тоже плохо).

Помочь в этой ситуации может менеджер паролей — программа, которая хранит в зашифрованном виде ваш пароль. То есть вместо множества паролей, вам достаточно запомнить один мастер-пароль.

Как пользоваться keepass

В левом окне вы можете видеть перечень групп — группы нужны чтобы упорядочить ваши пароли. Вы можете сохранять любые пароли в любую группу, а также создавать свои собственные группы. То есть группа — это что-то вроде папки.

Чтобы сохранить пароль, выберите группу, в которую вы будете сохранять, и нажмите «Добавить запись», также можно воспользоваться сочетанием клавиш Ctrl i:

Вы можете ввести любые данные или оставить любые поля пустыми, можно изменить значок, воспользоваться генератором сильных паролей, установить срок истечения пароля и т.д.

В KeePass есть встроенная функция поиска по все базе данных — очень удобно, вы можете ввести адрес сайта или другую информацию для быстрого получения пароля:

Клик по каждому полю записи в БД имеет своё действие:

Как пользоваться keepassxc

По умолчанию в KeePassXC нет групп для сортировки сохраняемых паролей:

Для создания новых групп, кликните правой кнопкой на «Корень» и выберите «Новая группа»:

Достаточно ввести имя группы и желательно установить для неё собственную иконку:

Создайте несколько групп для удобного доступа к паролям:

Как создать базу данных keepassxc

Нажмите кнопку «Создать новую базу данных»:

Имя и описание заполните на ваше усмотрение (можно ничего не менять):

На следующем окне вы можете выбрать задержку для доступа к базе данных — чем выше значение, тем надёжнее защита от брут-форса, но больше времени требуется для чтения и сохранения базы данных.

Если нажать на кнопку «Дополнительные параметры», то здесь вы сможете выбрать алгоритмы шифрования, функцию формирования ключа и сделать настройку количества итераций — чем больше итераций, тем сложнее брут-форс, но и дольше задержка при открытии и сохранении БД.

Дважды введите мастер-пароль:

Выберите папку, куда вы хотите сохранить файл БД с паролями:

Конфигурация тестового стенда

Соберем тестовый стенд с конфигурацией, типовой для машин, участвующих в электронном документообороте (ЭДО):

1. ОС MS Windows 7 SP1
2. СКЗИ КриптоПРО CSP 3.9.8423
3. Драйверы Рутокен для Windows (x86 и x64). Версия: v.4.1.0.0 от 20.06.2022, WHQL-certified
4. Единый Клиент JaCarta и JaCarta SecurLogon. Версия 2.9.0 сборка 1531
5. КриптоАРМ Стандарт Плюс 5. Версия 5.2.0.8847.

Для тестирования будут использоваться токены с неизвлекамым ключом:

1. Рутокен ЭЦП. Версия 19.02.14.00 (02)
2. JaCarta ГОСТ. Номер модели JC001-2.F09 v2.1

Матчасть

То, что на рынке принято называть токеном с неизвлекаемым ключом, правильно называется

Главным отличием ФКН от обычных токенов (Рутокен S, JaCarta PKI, …) в том, что при выполнении криптографических преобразований (например, формирование электронной подписи) закрытый ключ не покидает устройство. В то время как при использовании обычных токенов закрытый ключ копируется с токена в память комптьютера.

Использование ФКН требует особой организации взаимодействия между прикладным криптографическим ПО и библиотекой СКЗИ (криптопровайдером или, по-другому, CSP).

Здесь важно увидеть, что программная часть библиотеки СКЗИ должна знать о существовании на токене апплета, реализующего криптографический функционал (например, генерация ключа, подпись данных и т.д.) и уметь с ним работать.

Менеджеры паролей для мобильных телефонов

У программы KeePass много версий для мобильных телефонов на разных платформах, в том числе Android, iOS.

Методика тестирования

Смоделируем типовой процесс подготовки Администратором информационной безопасности ключевых документов для организации ЭДО:

1. генерируется контейнер закрытого ключа и запрос на сертификат открытого ключа;
2. после прохождения в удостоверяющем центре процедуры сертификации из запроса получается сертификат;
3. сертификат в совокупности с контейнером закрытого ключа образует готовую для использования ключевую информацию. Данную ключевую информацию, записанную на носителе, будем называть исходным ключевым документом;
4. с исходного ключевого документа изготавливаются копии, которые записываются на отчуждаемые носители (далее будем называть их рабочими ключевыми документами) и передаются уполномоченным пользователям;
5. после изготовления необходимого количества рабочих ключевых документовисходный ключевой документ уничтожается или депонируется на хранение в орган криптографической защиты информации.

В нашем случае мы не будем пользоваться услугами центров сертификации, а сгенерируем ключевой контейнер с самоподписанным сертификатом и разместим его в реестре компьютера (АРМа генерации ключевой информации), это и будет

исходный ключевой документ

. Затем скопируем ключевую информацию на Рутокен ЭЦП и JaCarta ГОСТ, изготовив

рабочие ключевые документы

. После этого уничтожим

исходный ключевой документ

, удалив из реестра ключевой контейнер. И, наконец, попробуем скопировать ключевую информацию с рабочих ключевых документов обратно в реестр.

Настройка keepass

Для настройки KeePass в меню перейдите в «Сервис» → «Параметры»:

На вкладке «Безопасность» рекомендуется включить блокировку БД при длительной неактивности и при переходе компьютера в спящий режим.

На вкладке «Интерфейс» вы сможете очень тонко настроить внешний вид программы под ваш вкус:

Настройка keepassxc

Для настройки KeePassXC в меню перейдите в «Сервис» → «Параметры».

На вкладке «Безопасность» вы можете установить время хранения данных в буфере обмена.

Здесь же вы сможете настроить блокировки при отсутствии активности, переходе компьютера в спящей режим или сворачивании KeePassXC.

По-новому взглянем на наш тестовый стенд

В качестве одного из ключевых носителей использовался Рутокен ЭЦП. Через «Панель управления Рутокен» о нем можно получить следующую информацию:

В последней строке указана фраза «Поддержка КриптоПРО ФКН: Нет», а это значит, что на токене нет апплета, с которым умеет работать СКЗИ КриптоПРО CSP. Таким образом, реализация технологии ФКН с использованием СКЗИ и токенов, описанных в конфигурации тестового стенда, невозможна.

Аналогичная ситуация и с JaCarta ГОСТ. Более того, СКЗИ КриптоПРО CSP, по крайней мере та версия, которая использовалась в тестовом стенде, использует данные ключевые носители как «обычные токены», которые, в свою очередь, являются просто носителями ключа.

Это утверждение очень просто подтвердить. Для этого надо поставить СКЗИ КриптоПРО CSP на чистую машину без драйверов от токенов и подключить токен JaCarta ГОСТ. ОС Windows 7 обнаружит токен JaCarta ГОСТ как «Устройство чтения смарт-карт Microsoft Usbccid (WUDF)». теперь можно попробовать создать ключ на токене и скопировать его в реестр компьютера. Весь функционал СКЗИ успешно отработает.

Проведение тестирования

1. Создадим

исходный ключевой документ

2.Сформируем

рабочие ключевые документы

3.Уничтожим исходный ключевой документ

4. Скопируем ключевую информацию из

рабочих ключевых документов

Как мы видим, ключевая информация успешно скопирована или, другим языком, извлечена из токенов с неизвлекаемым ключом. Получается, что производители токенов и СКЗИ врут? На самом деле нет, и ситуация сложнее, чем кажется на первый взгляд. Исследуем матчасть по токенам.

Установка keepassxc в linux

Менеджер паролей KeePassXC присутствует в репозиториях многих популярных дистрибутивов, таких как Debian, Ubuntu, Linux Mint, Fedora, не говоря уже об Arch и Manjaro. Другими словами, вы можете установить KeePassXC из официальных репозиториев этих дистрибутивов, достаточно лишь выполнить команду для установки:

Debian / Ubuntu / Linux Mint

sudo apt install keepassxc

Fedora

Для дистрибутива Fedora так же можно установить KeePassXC из официальных репозиториев, при этом, не важно какая у вас версия Fedora 31 / 32 / 33:

sudo dnf install keepassxc

Arch / Manjaro

Ну и конечно же в дистрибутивах Arch и его ответвлений KeePassXC можно установить из официальных репозиториев, а так же найти его в репозиториях AUR. Про установку из AUR мы сегодня говорить не будем, а возьмем KeePassXC из официальных репозиториев, для установки из официальных репозиториев достаточно выполнить команду:

sudo pacman -S keepassxc

Установка keepassxc из ppa

Вернемся к дистрибутиву Ubuntu, для данного дистрибутива предусмотрен PPA репозиторий, он так же подойдет и для дистрибутивов которые основываются на Ubuntu, к примеру один из самых популярных – Linux Mint. И так, для установки KeePassXC из репозитория PPA, первым делом необходимо добавить сам PPA репозиторий, открываем терминал и вводим адрес репозитория:

sudo add-apt-repository ppa:phoerious/keepassxc

Затем устанавливаем KeePassXC введя команду:

sudo apt install keepassxc

Заключение

Данный способ хранения является безопасным, и даже если у вас взломали систему, ваши пароли останутся в безопасности. Для устройств Android могу порекомендовать KeePassAndroid, база паролей из KeePassXC совершенно спокойно можно открыть в KeePassAndroid.

Я сам пользуюсь KeePassXC, тут главное, запомнить один пароль от KeePassXC, а в нем уже и будут храниться ваши пароли, которые вы с легкостью сможете из него копировать. По началу, когда я только начал пользоваться менеджерами паролей, было не привычно, а сейчас, считаю это весьма удобным. Так же рекомендую посетить официальный сайт данного менеджера паролей keepassxc.org.