LINUX.ORG.RU

Поддержка Certkey (PKI) в OpenSSH


0

0

Daniel Hartmeier, разработчик OpenBSD, опубликовал патч, который добавляет поддержку PKI (Public Key Infrastructure) в OpenSSH. Теперь клиент перед сервером или сервер перед сервером могут аутентифицироваться по цифровым X.509 сертификатам. Данная модель предполагает наличие третьей доверенной стороны - центра сертификации (CA) - который удостоверяет валидность сертификата клиента и сервера. PKI, который широко используется в электронном документообороте и для обеспечения безопасности транзакций по протоколу SSL/TLS, теперь доступен и в OpenSSH.

>>> Анонс в списках рассылки

★★

Проверено: Shaman007 ()

респект и уважуха ! Я всегда думал, что похожая фишка уже есть - странно как без нее то в больших сетях ? :)

anonymous
()

Что-то про x509 в анонсе ничего нет. Сдается мне, что там свой "проприетарный" формат.

Бардак. Есть openssh, который, типа, делает ssh. Есть openssl, который, типа, делает ssl. Есть gnupg, который, конечно не openpg (разработчики open-чего нибудь, вы меня не слышали, ок?), но то же наносит пользу. Все они делают ассиметричную криптографию, и везде разный формат хранения ключей. Плюс к тому в x509 пихают кучу разной фигни...

Надо что-то менять. :-)

neru
()
Ответ на: комментарий от neru

>Надо что-то менять. :-)

да, нужно придумать ещё один, не совместимый с ними формат =)

blind
()
Ответ на: комментарий от neru

Особенно если учесть что OpenSSH использует libcrypto от OpenSSL, которая уже умеет и сертификаты, и все требуемые операции Certification Authority, и даже умеет отзывать сертификаты (чего не умеет указанный файл). Более того, формат хранения секретных ключей у OpenSSH совместимый с OpenSSL, поэтмоу с помощью openssl req можно создать заявку на получение сертификата и получить на свой (или хостовый) открытый ключ сертификат X509.

Так что товарищи явно велосипед с квадратными колесами изобрели.

vitus
()
Ответ на: комментарий от neru

> Бардак. Есть openssh, который, типа, делает ssh. Есть openssl, который, типа, делает ssl. Есть gnupg, который, конечно не openpg (разработчики open-чего нибудь, вы меня не слышали, ок?), но то же наносит пользу. Все они делают ассиметричную криптографию, и везде разный формат хранения ключей. Плюс к тому в x509 пихают кучу разной фигни...

> Надо что-то менять. :-)

Уже поменяли! 13го числа вышел релиз GnuPG 2.0.0. Там поддерживаются и OpenPGP, и S/MIME, и смарт-карты, в том числе и для ssh ;)

zwon
()
Ответ на: комментарий от zwon

Отлично! Я мужики то не знают... Странно, что никто не запостил новость.

neru
()
Ответ на: комментарий от vitus

Да брось ты придираться - зато ребята музыку неплохую делают ;)

Gharik
()

В списке рассылки подняли хороший вопрос. Это все сильно облегчает добавление новых серверов и пользователей в систему авторизации, но никак не помогает удалению их оттуда. Если у пользователя украли ключ, то придется или руками (скриптом) пройтись по всем серверам и поместить его в черный список, или ждать пока ключ прокиснет. Очень жаль.

del
()
Ответ на: комментарий от del

> В списке рассылки подняли хороший вопрос. Это все сильно облегчает добавление новых серверов и пользователей в систему авторизации, но никак не помогает удалению их оттуда. Если у пользователя украли ключ, то придется или руками (скриптом) пройтись по всем серверам и поместить его в черный список, или ждать пока ключ прокиснет. Очень жаль.

А CRL'и оно не умеет проверять?

anonymous
()
Ответ на: комментарий от del

>> А CRL'и оно не умеет проверять? >А как их распространять по серверам?

CRL лежит на HTTP или LDAP (в сертификате CDP на него указывает), а те кому он нужен (в данном случае сервера) - ходят туда за ним.

anonymous
()
Ответ на: комментарий от anonymous

> CRL лежит на HTTP или LDAP (в сертификате CDP на него указывает), а те кому он нужен (в данном случае сервера) - ходят туда за ним.

Данный патч ходить, как я понимаю, не умеет. Если только заточить скриптик.

del
()
Ответ на: комментарий от avatar

> Да, мне тоже интересно, а то как раздавать доступ по серверам?

Вы не путаете authorization и authentication?

del
()
Ответ на: комментарий от del

> Если у пользователя украли ключ, то придется или руками (скриптом) пройтись по всем серверам и поместить его в черный список, или ждать пока ключ прокиснет. Очень жаль.

А revoke сертификата уже чтоли отменили?

anonymous
()
Ответ на: комментарий от anonymous

> А revoke сертификата уже чтоли отменили? См мой пост от 16.11.2006 11:32:54

del
()
Ответ на: комментарий от avatar

> Странно, но у меня этот патч не накладывается т.к. не находит файла 
> sshd/Makefile.

патч пока только поверх опеновских сорсов, а не portable..
там хартмай и sshcald предлагает для решения вышеуказаной проблемы..

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.