Self-hosted KMS

0

2

Есть такое, чтоб свой Key Management Service?

Сразу ответы, на возможные вопросы:

нет, не тот что для активации винды
решения от корпораций вполне устраивают

Ссылка

←	Шифрование диска в линукс

Как ограничить доступ пользователю ко всем директориям кроме необходимых в centos 8

→

Каких ключей? Чем стандартный PGP не устраивает, некоторые в LDAP хранят.

Управление ключами какого плана? Пару месяцев назад свой «KSM» написал, хранит публичные ключи и обрабатывает их.

anonymous
(02.09.20 12:37:27 MSK)

Ответ на: комментарий от anonymous 02.09.20 12:37:27 MSK

Управление ключами какого плана?

Централизованное хранение ключей шифрования, аналог сервисов от амазона, гугла, яндекса:

создание ключа
безопасное хранение
ротация
удаление
аудит операций

И крипто-API в общем виде:

ciphertext = kms.encrypt(plaintext, keyId);
plaintext = kms.decrypt(ciphertext, keyId);

vvn_black ★★★★★
(02.09.20 13:22:25 MSK) автор топика

Ответ на: комментарий от vvn_black 02.09.20 13:22:25 MSK

Централизованное хранение ключей шифрования, аналог сервисов от амазона, гугла, яндекса:

создание ключа

безопасное хранение

ротация

удаление

Я не с вашей планеты.

На нашей приватные ключи создаются исключительно локально и их пользователями.

Приватные ключи как минимум запаролены и хранятся на шифрованой флешке, лучше с аппаратной защитой типа нитрокея.

Публичная часть ключа, с подписями, хранится на SKS серверах с полным журналом всех операций: https://sks-keyservers.net или в LDAP корпоративной базе, или даже просто git: http://git.altlinux.org/srpms/a/alt-gpgkeys.git использование git для хранения публичных ключей в разработчиков очень популярно, хотя ubuntu, gentoo имеют свои SKS сервера.

Понятия «ротации» нет. Возможна плановая замена, обязательно с кросподписями, или добавление свежего сабключа взамен истекающего.

Понятие «удаление» ключа вредно. Ключи все вечьны по определению. Есть ключи с истекшим «строком годности», приватную часть такого ключа, после кросподписи нового, лично уничтожает его пользователь, а публичная обязательно должна хранится вечно на серверах ключей, чтобы была возможность проверки аутентичности подписанных когда-то файлов.

И крипто-API в общем виде:

Все операции шифрования или подписи как минимум делаются на оборудовании пользователя локально, а лучше с аппаратной изоляцией приватного ключа как в нитрокея.

anonymous
(05.09.20 18:50:55 MSK)

Ссылка

Keycloak же

anonymous
(05.09.20 19:09:11 MSK)

Ответ на: комментарий от anonymous 05.09.20 19:09:11 MSK

Keycloak

Каким образом? ОП совсем не про идентификацию с аутентификацией.

vvn_black ★★★★★
(05.09.20 19:18:41 MSK) автор топика

Ответ на: комментарий от vvn_black 05.09.20 19:18:41 MSK

А, пардон, имел ввиду HashiComp Vault. Перепуталось в голове.

anonymous
(05.09.20 19:56:49 MSK)

Ответ на: комментарий от anonymous 05.09.20 19:56:49 MSK

Спасибо. За рекламным буллшитом даже нашёл ссылку на open source. И да, анонимусы делают ЛОР полезным.

vvn_black ★★★★★
(05.09.20 20:30:29 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Шифрование диска в линукс

Security

Как ограничить доступ пользователю ко всем директориям кроме необходимых в centos 8

→

Похожие темы