From: Ivan Fedorov <ns@altlinux.org>
To: sisyphus@lists.altlinux.org
Subject: Re: [sisyphus] alterator-ca - откуда брать csr
Date: Wed, 17 Jun 2009 12:55:52 +0400
Message-ID: <m3ws7bxmqv.fsf@thinkpad.oxyum.localnet> (raw)
In-Reply-To: <6c7be88d0906162247w1ce17bc5jc71dec94992ade61@mail.gmail.com>
[-- Attachment #1: Type: text/plain, Size: 4319 bytes --]
Dmitriy Kruglikov
<dmitriy.kruglikov-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org> writes:
> > А то как-то непонятно ...
>
> А что непонятного-то? Если их генерить там, то на сервере будут все
> ключи, всех служб/пользователей/чего-то ещё. В ОДНОМ месте.
>
> Они и так будут в этом _одном_ месте ...
С какого это перепугу???
> Только один из ключей нужно будет сгенерить на стороне и потом
> положить в это _одно_ место...
> На мой взгляд, это менее секьюрно ...
>
> А в нормальной ситуации ключ генерится в месте использования, и никогда
> оттуда не вытаскивается.
>
> Что я и предлагаю ...
> Сгенерить на месте использования и не вытаскивать ...
У вас все ключи используются на машине с CA?
> Те же смарт-карты например умеют генерировать
> ключи внутри себя, и ключи эти неэкспортируемы в принципе со
> смарт-карты.
>
>
> Ну, видел и я некоторые генераторы ключей, которые генерят ключ на данную
> минуту,
> синхронно с сервером ... Прошла минута - новый ключ ...
> Прошло два года - новый генератор ...
> Но разве мы об этом говорим ?
Нет, вы похоже говорите о сессионных ключах... или об one-time token, а
это немножко другое.
> В данном _конкретном_ вопросе считаю нецелесообразным ограничивать функционал
> модуля, управляющего центром сертификации.
Вы вообще расшифровку акронима CA знаете? На машине с CA должен быть
ровно 1 ключ - ключ CA. Всё, точка.
> Агрументы о секьюрности чего-то,
> рядом с хранением паролей в открытом виде (конфиг slapd),
> выглядят не очень убедительно.
Это как бы немного разные уровни - пароль к базе с шифрованными паролями
пользователей и набор всех ключей шифрования.
> А вот идея генерации ключа в месте использования (тут же, рядом с CA) более чем
> убедителен, как минимум, для меня.
>
> Более того, использование формализованного интерфейса позволяет сисадмину даже
> не подозревать о месторасположении этих ключей ...
Оооо...так вы хотите, чтобы админ ещё и не понимая как работает
безопасность, настраивал её?! Ну извините, бывает...
Вы сами-то понимаете разницу между ключом и сертификатом?
> P.S.
> Я бы не стал учить основам секретности начальника аппаратной спецсвязи (хоть и
> бывшего).
И что? А меня были среди знакомых и действующие... хотя я бы тоже не
стал - зачем ему зря голову забивать...
> Среди нас тут еще поискать такого же параноика в области безопасности :)
Ой, да параноиков я могу хоть миллион найти, а вот людей хотя бы
PS: Давай теперь пиписьками меряться? У меня одна, у кого больше?
[-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --]
next prev parent reply other threads:[~2009-06-17 8:55 UTC|newest]
Thread overview: 27+ messages / expand[flat|nested] mbox.gz Atom feed top
2009-06-13 20:24 Max Ivanov
2009-06-13 20:30 ` Alexey I. Froloff
2009-06-14 6:27 ` Dmitriy Kruglikov
2009-06-14 11:26 ` Alexey I. Froloff
2009-06-14 11:45 ` Dmitriy Kruglikov
2009-06-14 11:50 ` Aleksey Novodvorsky
2009-06-14 12:01 ` Dmitriy Kruglikov
2009-06-14 12:09 ` Alexey I. Froloff
2009-06-14 12:00 ` Alexey I. Froloff
2009-06-14 12:09 ` Dmitriy Kruglikov
2009-06-14 17:28 ` Max Ivanov
2009-06-14 17:29 ` Mikhail Gusarov
2009-06-16 13:08 ` Андрей Черепанов
2009-06-16 17:17 ` Ivan Fedorov
2009-06-17 8:55 ` Ivan Fedorov [this message]
2009-06-17 9:23 ` [sisyphus] [JT] " Alexey I. Froloff
2009-06-17 9:25 ` Mikhail Gusarov
2009-06-17 9:47 ` Ivan Fedorov
2009-06-18 8:12 ` Андрей Черепанов
2009-06-18 8:36 ` Ivan Fedorov
2009-06-17 11:16 ` [sisyphus] " Dmitriy Kruglikov
2009-06-17 11:22 ` Ivan Fedorov
2009-06-18 8:10 ` Андрей Черепанов
2009-06-17 11:24 ` Mikhail Gusarov
2009-06-17 14:19 ` Андрей Черепанов
2009-06-18 8:17 ` Андрей Черепанов
2009-06-16 13:05 ` Андрей Черепанов
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=m3ws7bxmqv.fsf@thinkpad.oxyum.localnet \
--to=ns@altlinux.org \
--cc=sisyphus@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git