सरल पासवर्ड सुरक्षा नहीं करते हैं, और जटिल पासवर्ड को याद नहीं किया जा सकता है। इसलिए, वे अक्सर कीबोर्ड के नीचे या मॉनिटर पर स्टिकर पर पाए जाते हैं। पासवर्ड के लिए "भुलक्कड़" उपयोगकर्ताओं के दिमाग में बने रहने और सुरक्षा की विश्वसनीयता खो जाने की नहीं है, दो-कारक प्रमाणीकरण (2FA) है।

डिवाइस के स्वामित्व के कारकों और इसके पिन कोड के ज्ञान के संयोजन के कारण, पिन कोड खुद को सरल और याद रखने में आसान हो सकता है। पिन की लंबाई और यादृच्छिकता में कमी को भौतिक स्वामित्व और पिन की खोज पर प्रतिबंध की आवश्यकता के लिए मुआवजा दिया जाता है।

इसके अलावा, राज्य संस्थानों में ऐसा होता है कि वे सब कुछ GOST के अनुसार काम करना चाहते हैं। लिनक्स में प्रवेश करने के लिए इस विकल्प के बारे में 2FA और चर्चा की जाएगी। मैं दूर से शुरू करूँगा।

PAM मॉड्यूल

प्लगेबल ऑथेंटिकेशन मॉड्यूल्स (PAMs) एक मानक एपीआई और अनुप्रयोगों में विभिन्न प्रमाणीकरण तंत्रों के कार्यान्वयन के साथ मॉड्यूल हैं।
PAM के साथ काम करने वाली सभी उपयोगिताओं और एप्लिकेशन उन्हें उठा सकते हैं और उपयोगकर्ता को प्रमाणित करने के लिए उनका उपयोग कर सकते हैं।
व्यवहार में, यह कुछ इस तरह से काम करता है: लॉगिन कमांड पीएएम में बदल जाता है, जो कॉन्फ़िगरेशन फ़ाइल में निर्दिष्ट मॉड्यूल का उपयोग करके सभी आवश्यक जांच करता है और परिणाम को वापस लॉगिन कमांड में वापस करता है।

librtpam

सक्रिय कंपनी द्वारा विकसित मॉड्यूल घरेलू क्रिप्टोग्राफी के नवीनतम मानकों के अनुसार असममित कुंजी का उपयोग करके स्मार्ट कार्ड या यूएसबी टोकन द्वारा उपयोगकर्ताओं के दो-कारक प्रमाणीकरण को जोड़ता है।

इसके काम के सिद्धांत पर विचार करें:

टोकन उपयोगकर्ता के प्रमाण पत्र और उसकी निजी कुंजी को संग्रहीत करता है;
प्रमाणपत्र उपयोगकर्ता की होम निर्देशिका में विश्वसनीय के रूप में सहेजा गया है।

प्रमाणीकरण प्रक्रिया इस प्रकार है:

रुटोकन उपयोगकर्ता के व्यक्तिगत प्रमाणपत्र की खोज करता है।
एक टोकन पिन का अनुरोध किया जाता है।
यादृच्छिक डेटा को सीधे रुतोकन चिप में एक निजी कुंजी पर हस्ताक्षरित किया जाता है।
उपयोगकर्ता प्रमाणपत्र से सार्वजनिक कुंजी का उपयोग करके प्राप्त हस्ताक्षर को सत्यापित किया जाता है।
मॉड्यूल कॉलिंग एप्लिकेशन को हस्ताक्षर सत्यापन का परिणाम देता है।

आप GOST R 34.10-2012 (लंबाई 256 या 512 बिट्स) या पुराने GOST R 34.10-2001 का उपयोग करके प्रमाणित कर सकते हैं।

चाबियों की सुरक्षा के बारे में चिंता करने की आवश्यकता नहीं है - वे सीधे रुतोकेन में उत्पन्न होते हैं और क्रिप्टोग्राफिक संचालन के दौरान अपनी मेमोरी को कभी नहीं छोड़ते हैं।

रुतोकन ईडीएस 2.0 एनडीवी 4 के लिए एफएसबी और एफएसटीईसी द्वारा प्रमाणित है, इसलिए इसका उपयोग उन सूचना प्रणालियों में किया जा सकता है जो गोपनीय जानकारी को संसाधित करते हैं।

व्यावहारिक उपयोग

लगभग कोई भी आधुनिक लिनक्स उपयुक्त है, उदाहरण के लिए, हम xUbuntu 18.10 का उपयोग करेंगे।

1) आवश्यक पैकेज स्थापित करें

sudo apt-get install libccid pcscd opensc
यदि आप एक स्क्रीनसेवर के साथ एक डेस्कटॉप लॉक जोड़ना चाहते हैं, तो अतिरिक्त रूप से libpam-pkcs11 पैकेज स्थापित करें।

2) GOST के समर्थन के साथ PAM मॉड्यूल जोड़ें

लाइब्रेरी को https://download.rutoken.ru/Rutoken/PAM/ से डाउनलोड करें
सिस्टम फ़ोल्डर में PAM फ़ोल्डर librtpam.so.1.0.0 की सामग्री की प्रतिलिपि बनाएँ
/usr/lib/ या /usr/lib/x86_64-linux-gnu/ या /usr/lib64

3) librtpkcs11ecp.so के साथ पैकेज स्थापित करें

डीईबी या आरपीएम पैकेज को लिंक से डाउनलोड और इंस्टॉल करें: https://www.rutoken.ru/support/download/pkcs/

4) हम सत्यापित करते हैं कि सिस्टम में रुतोकन ईडीएस 2.0 काम करता है

टर्मिनल में, निष्पादित करें
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -T
यदि आप लाइन Rutoken ECP <no label> देखते हैं - तो सब कुछ ठीक है।

5) प्रमाण पत्र पढ़ें

जांचें कि डिवाइस के पास एक प्रमाण पत्र है
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -O
यदि लाइन के बाद:
Using slot 0 with a present token (0x0)

यदि कुंजियों और प्रमाणपत्रों के बारे में जानकारी प्रदर्शित की जाती है , तो आपको प्रमाणपत्र पढ़ने और इसे डिस्क पर सहेजने की आवश्यकता है। ऐसा करने के लिए, निम्न कमांड चलाएं, जहां {id} के बजाय आपको उस आईडी प्रमाणपत्र को स्थानापन्न करने की आवश्यकता है जिसे आपने पिछले कमांड के आउटपुट में देखा था:
$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -r -y cert --id {id} --output-file cert.crt
यदि cert.crt फ़ाइल बनाई गई है, तो चरण 6 पर जाएँ)।
कुछ भी नहीं है , तो डिवाइस खाली है। अपने व्यवस्थापक से संपर्क करें या कुंजियों का निर्माण करें और अगले चरण का पालन करके स्वयं को प्रमाणपत्र दें।

5.1) एक परीक्षण प्रमाण पत्र बनाएं

चेतावनी! चाबियाँ और प्रमाण पत्र बनाने के लिए वर्णित तरीके परीक्षण के लिए उपयुक्त हैं और मुकाबला मोड में उपयोग के लिए अभिप्रेत नहीं हैं। ऐसा करने के लिए, आपको अपने संगठन के किसी विश्वसनीय प्रमाणीकरण प्राधिकारी या किसी मान्यताप्राप्त प्रमाणीकरण प्राधिकारी द्वारा जारी कुंजियों और प्रमाणपत्रों का उपयोग करना होगा।
PAM मॉड्यूल स्थानीय कंप्यूटरों की सुरक्षा के लिए बनाया गया है और इसमें छोटे संगठनों का काम शामिल है। चूंकि कुछ उपयोगकर्ता हैं, प्रशासक स्वयं प्रमाण पत्र के निरस्तीकरण की निगरानी कर सकता है और मैन्युअल रूप से खातों को ब्लॉक कर सकता है, साथ ही प्रमाण पत्र की वैधता अवधि भी। PAM मॉड्यूल अभी तक CRL द्वारा प्रमाणपत्र सत्यापित करने और विश्वास श्रृंखला बनाने में सक्षम नहीं है।

आसान तरीका (ब्राउज़र के माध्यम से)

परीक्षण प्रमाण पत्र प्राप्त करने के लिए, रूटोकेन पंजीकरण केंद्र वेब सेवा का उपयोग करें। प्रक्रिया में 5 मिनट से अधिक नहीं लगेगा।

गीक पथ (कंसोल और संभवतः संकलक के माध्यम से)

OpenSC संस्करण की जाँच करें
$ opensc-tool --version
यदि संस्करण 0.20 से कम है, तो हमारे GitHub से GOST 2012 समर्थन के साथ pkcs11- टूल शाखा को अपग्रेड करें या एकत्र करें (इस लेख के जारी होने के समय 0.20 अभी तक जारी नहीं किया गया है) या मुख्य एएनएससी परियोजना की मास्टर शाखा से 8cf1e6f की तुलना में बाद में नहीं।

हम मापदंडों के साथ एक महत्वपूर्ण जोड़ी बनाते हैं:
--key-type: GOSTR3410-2012-512: (-2012 512 c ), GOSTR3410-2012-256:A (-2012 256 A)

--id: ऑब्जेक्ट आइडेंटिफ़ायर (CKA_ID) ASCII तालिका से हेक्स में दोहरे अंकों के वर्ण संख्या के रूप में। मुद्रित वर्णों के लिए केवल ASCII कोड का उपयोग करें आईडी को स्ट्रिंग के रूप में ओपनएसएसएल पास करना होगा। उदाहरण के लिए, ASCII कोड "3132" स्ट्रिंग "12" के अनुरूप है। सुविधा के लिए, आप स्ट्रिंग को ASCII कोड में परिवर्तित करने के लिए ऑनलाइन सेवा का उपयोग कर सकते हैं ।

$ ./pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type GOSTR3410-2012-512:A -l --id 3132

आगे हम एक सर्टिफिकेट बनाएंगे। नीचे दो तरीकों का वर्णन किया जाएगा: सीए के माध्यम से पहला (हम परीक्षण सीए का उपयोग करेंगे), दूसरा - स्व-हस्ताक्षरित। ऐसा करने के लिए, आपको पहले स्थापित करना होगा और ओपनएसएसएल संस्करण 1.1 को कॉन्फ़िगर करना होगा या बाद में इंस्टॉल और कॉन्फ़िगर ओपनएसएसएल मैनुअल का उपयोग करके एक विशेष rtengine मॉड्यूल के माध्यम से रुतोकेन के साथ काम करना होगा।
उदाहरण के लिए: OpenSSL में '- -id 3132 ' के लिए आपको " pkcs11:id=12 " निर्दिष्ट करना होगा।

आप एक परीक्षण CA की सेवाओं का उपयोग कर सकते हैं, जिनमें से कई हैं, उदाहरण के लिए, यहाँ , यहाँ और यहाँ , इसके लिए हम एक लिंक प्रमाणपत्र अनुरोध करेंगे

एक अन्य विकल्प आलस्य का शिकार होना और स्व-हस्ताक्षरित बनाना है
$ openssl req -utf8 -new -keyform engine -key "pkcs11:id=12" -engine rtengine -out req.csr

डिवाइस पर प्रमाण पत्र डाउनलोड करें
$ openssl req -utf8 -x509 -keyform engine -key "pkcs11:id=12" -engine rtengine -out cert.cer

6) सिस्टम में प्रमाण पत्र पंजीकृत करें

सुनिश्चित करें कि आपका प्रमाणपत्र बेस 64 फ़ाइल जैसा दिखता है:

यदि आपका प्रमाणपत्र इस तरह दिखता है:

तब आपको प्रमाणपत्र को DER प्रारूप से PEM प्रारूप (base64) में परिवर्तित करना होगा

$ openssl x509 -in cert.crt -out cert.pem -inform DER -outform PEM
फिर से हम जांचते हैं कि अब सब कुछ क्रम में है।

विश्वसनीय प्रमाणपत्रों की सूची में एक प्रमाणपत्र जोड़ें

$ mkdir ~/.eid
$ chmod 0755 ~/.eid
$ cat cert.pem >> ~/.eid/authorized_certificates
$ chmod 0644 ~/.eid/authorized_certificates

अंतिम पंक्ति विश्वसनीय प्रमाण पत्रों की सूची को अन्य उपयोगकर्ताओं द्वारा आकस्मिक या जानबूझकर परिवर्तनों से बचाती है। यह उस स्थिति को समाप्त करता है जब कोई अपना प्रमाण पत्र यहां जोड़ता है और आपकी ओर से लॉग इन कर सकता है।

7) प्रमाणीकरण कॉन्फ़िगर करें

हमारे PAM मॉड्यूल का कॉन्फ़िगरेशन पूरी तरह से मानक है और अन्य मॉड्यूल की सेटिंग की तरह ही किया गया है। हम फ़ाइल /usr/share/pam-configs/rutoken-gost-pam में मॉड्यूल का पूरा नाम रखते हैं, चाहे वह डिफ़ॉल्ट, मॉड्यूल प्राथमिकता और प्रमाणीकरण मापदंडों द्वारा सक्षम हो।
प्रमाणीकरण मापदंडों में ऑपरेशन की सफलता के लिए आवश्यकताएं हैं:

आवश्यक: ऐसे मॉड्यूल को एक सकारात्मक प्रतिक्रिया लौटना चाहिए। यदि मॉड्यूल कॉल के परिणाम में नकारात्मक उत्तर होता है, तो इससे प्रमाणीकरण त्रुटि होगी। अनुरोध रीसेट हो जाएगा, लेकिन बाकी मॉड्यूल को कॉल किया जाएगा।
अपेक्षित (आवश्यक): आवश्यक के समान, लेकिन तुरंत प्रमाणीकरण विफलता की ओर जाता है और बाकी मॉड्यूल की उपेक्षा करता है।
पर्याप्त: यदि इस तरह के मॉड्यूल के सामने आवश्यक या पर्याप्त मॉड्यूल में से कोई भी नकारात्मक परिणाम नहीं लौटाता है, तो मॉड्यूल एक सकारात्मक उत्तर लौटाएगा। शेष मॉड्यूल को नजरअंदाज कर दिया जाएगा।
वैकल्पिक (वैकल्पिक): यदि स्टैक में कोई आवश्यक मॉड्यूल नहीं हैं और पर्याप्त मॉड्यूल में से कोई भी सकारात्मक परिणाम नहीं लौटाता है, तो वैकल्पिक मॉड्यूल में से कम से कम एक सकारात्मक उत्तर देना चाहिए।

फ़ाइल की पूरी सामग्री /usr/share/pam-configs/rutoken-gost-pam :

Name: Rutoken PAM GOST
Default: yes
Priority: 800
Auth-Type: Primary
Auth: sufficient /usr/lib/librtpam.so.1.0.0 /usr/lib/librtpkcs11ecp.so

फ़ाइल सहेजें, फिर निष्पादित करें
$ sudo pam-auth-update
दिखाई देने वाली खिड़की में, रुतोकन पैम GOST के पास एक तारांकन चिह्न रखो और ठीक पर क्लिक करें

8) सेटिंग की जाँच करें

यह समझने के लिए कि सब कुछ कॉन्फ़िगर किया गया है, लेकिन लॉग इन करने की क्षमता नहीं खोना है, कमांड दर्ज करें
$ sudo login
अपना उपयोगकर्ता नाम दर्ज करें। यदि सिस्टम को डिवाइस पिन की आवश्यकता है तो सब कुछ सही ढंग से कॉन्फ़िगर किया गया है।

9) टोकन निकालते समय कंप्यूटर लॉक को कॉन्फ़िगर करें

libpam-pkcs11 पैकेज में pkcs11_eventmgr, उपयोगिता शामिल है pkcs11_eventmgr, जो PKCS # 11 घटनाओं के होने पर आपको विभिन्न क्रियाएं करने की अनुमति देता है।
pkcs11_eventmgr कॉन्फ़िगर करने के लिए, कॉन्फ़िगरेशन फ़ाइल का उपयोग करें: /etc/pam_pkcs11/pkcs11_eventmgr.conf
विभिन्न लिनक्स वितरणों के लिए, स्मार्ट कार्ड या टोकन हटाते समय खाता बंद करने का आदेश देने वाला कमांड अलग होगा। event card_remove देखें।
एक उदाहरण कॉन्फ़िगरेशन फ़ाइल नीचे प्रस्तुत की गई है:

 pkcs11_eventmgr { #    daemon = true; #    debug = false; #     polling_time = 1; #  -    # - 0 expire_time = 0; #  pkcs11      pkcs11_module = usr/lib/librtpkcs11ecp.so; #    #  : event card_insert { #     (  ) on_error = ignore ; action = "/bin/false"; } #   event card_remove { on_error = ignore; #     #  GNOME action = "dbus-send --type=method_call --dest=org.gnome.ScreenSaver /org/gnome/ScreenSaver org.gnome.ScreenSaver.Lock"; #  XFCE # action = "xflock4"; #  Astra Linux (FLY) # action = "fly-wmfunc FLYWM_LOCK"; } #     event expire_time { #     (  ) on_error = ignore; action = "/bin/false"; } }

उसके बाद, pkcs11_eventmgr में pkcs11_eventmgr एप्लिकेशन जोड़ें। ऐसा करने के लिए, .bash_profile फ़ाइल संपादित करें:
$ nano /home/<_>/.bash_profile
फ़ाइल के अंत में लाइन pkcs11_eventmgr जोड़ें और रिबूट करें।

ऑपरेटिंग सिस्टम को कॉन्फ़िगर करने के लिए वर्णित चरणों का उपयोग घरेलू लोगों सहित किसी भी आधुनिक लिनक्स वितरण में निर्देश के रूप में किया जा सकता है।

निष्कर्ष

लिनक्स पीसी रूसी सरकारी एजेंसियों में अधिक से अधिक लोकप्रिय हो रहे हैं, और इस ओएस में विश्वसनीय दो-कारक प्रमाणीकरण स्थापित करना हमेशा आसान नहीं होता है। हम "पासवर्ड समस्या" को हल करने में मदद करने के लिए इस गाइड के साथ खुश होंगे और इस पर बहुत समय खर्च किए बिना अपने पीसी तक पहुंच की रक्षा करेंगे।

लिनक्स में स्थानीय प्रमाणीकरण के लिए PAM- मॉड्यूल का उपयोग कैसे करें Rutoken पर GOST-2012 कुंजी का उपयोग करते हुए