LINUX.ORG.RU

Self-hosted KMS

 


0

2

Есть такое, чтоб свой Key Management Service?

Сразу ответы, на возможные вопросы:

  • нет, не тот что для активации винды
  • решения от корпораций вполне устраивают
★★★★★

Каких ключей? Чем стандартный PGP не устраивает, некоторые в LDAP хранят.

Управление ключами какого плана? Пару месяцев назад свой «KSM» написал, хранит публичные ключи и обрабатывает их.

anonymous
()
Ответ на: комментарий от anonymous

Управление ключами какого плана?

Централизованное хранение ключей шифрования, аналог сервисов от амазона, гугла, яндекса:

  • создание ключа
  • безопасное хранение
  • ротация
  • удаление
  • аудит операций

И крипто-API в общем виде:

  • ciphertext = kms.encrypt(plaintext, keyId);
  • plaintext = kms.decrypt(ciphertext, keyId);
vvn_black ★★★★★
() автор топика
Ответ на: комментарий от vvn_black

Централизованное хранение ключей шифрования, аналог сервисов от амазона, гугла, яндекса:

создание ключа

безопасное хранение

ротация

удаление

Я не с вашей планеты.

На нашей приватные ключи создаются исключительно локально и их пользователями.

Приватные ключи как минимум запаролены и хранятся на шифрованой флешке, лучше с аппаратной защитой типа нитрокея.

Публичная часть ключа, с подписями, хранится на SKS серверах с полным журналом всех операций: https://sks-keyservers.net или в LDAP корпоративной базе, или даже просто git: http://git.altlinux.org/srpms/a/alt-gpgkeys.git использование git для хранения публичных ключей в разработчиков очень популярно, хотя ubuntu, gentoo имеют свои SKS сервера.

Понятия «ротации» нет. Возможна плановая замена, обязательно с кросподписями, или добавление свежего сабключа взамен истекающего.

Понятие «удаление» ключа вредно. Ключи все вечьны по определению. Есть ключи с истекшим «строком годности», приватную часть такого ключа, после кросподписи нового, лично уничтожает его пользователь, а публичная обязательно должна хранится вечно на серверах ключей, чтобы была возможность проверки аутентичности подписанных когда-то файлов.

И крипто-API в общем виде:

Все операции шифрования или подписи как минимум делаются на оборудовании пользователя локально, а лучше с аппаратной изоляцией приватного ключа как в нитрокея.

anonymous
()
Ответ на: комментарий от anonymous

Спасибо. За рекламным буллшитом даже нашёл ссылку на open source. И да, анонимусы делают ЛОР полезным.

vvn_black ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.