Dmitriy Kruglikov writes: > > А то как-то непонятно ... > > А что непонятного-то? Если их генерить там, то на сервере будут все > ключи, всех служб/пользователей/чего-то ещё. В ОДНОМ месте. > > Они и так будут в этом _одном_ месте ... С какого это перепугу??? > Только один из ключей нужно будет сгенерить на стороне и потом > положить в это _одно_ место... > На мой взгляд, это менее секьюрно ... > > А в нормальной ситуации ключ генерится в месте использования, и никогда > оттуда не вытаскивается. > > Что я и предлагаю ... > Сгенерить на месте использования и не вытаскивать ... У вас все ключи используются на машине с CA? > Те же смарт-карты например умеют генерировать > ключи внутри себя, и ключи эти неэкспортируемы в принципе со > смарт-карты. > > > Ну, видел и я некоторые генераторы ключей, которые генерят ключ на данную > минуту, > синхронно с сервером ... Прошла минута - новый ключ ... > Прошло два года - новый генератор ... > Но разве мы об этом говорим ? Нет, вы похоже говорите о сессионных ключах... или об one-time token, а это немножко другое. > В данном _конкретном_ вопросе считаю нецелесообразным ограничивать функционал > модуля, управляющего центром сертификации. Вы вообще расшифровку акронима CA знаете? На машине с CA должен быть ровно 1 ключ - ключ CA. Всё, точка. > Агрументы о секьюрности чего-то, > рядом с хранением паролей в открытом виде (конфиг slapd), > выглядят не очень убедительно. Это как бы немного разные уровни - пароль к базе с шифрованными паролями пользователей и набор всех ключей шифрования. > А вот идея генерации ключа в месте использования (тут же, рядом с CA) более чем > убедителен, как минимум, для меня. > > Более того, использование формализованного интерфейса позволяет сисадмину даже > не подозревать о месторасположении этих ключей ... Оооо...так вы хотите, чтобы админ ещё и не понимая как работает безопасность, настраивал её?! Ну извините, бывает... Вы сами-то понимаете разницу между ключом и сертификатом? > P.S. > Я бы не стал учить основам секретности начальника аппаратной спецсвязи (хоть и > бывшего). И что? А меня были среди знакомых и действующие... хотя я бы тоже не стал - зачем ему зря голову забивать... > Среди нас тут еще поискать такого же параноика в области безопасности :) Ой, да параноиков я могу хоть миллион найти, а вот людей хотя бы PS: Давай теперь пиписьками меряться? У меня одна, у кого больше?