Поддержка Certkey (PKI) в OpenSSH

респект и уважуха ! Я всегда думал, что похожая фишка уже есть - странно как без нее то в больших сетях ? :)

А зачем оно нужно?

Что-то про x509 в анонсе ничего нет. Сдается мне, что там свой "проприетарный" формат.

Бардак. Есть openssh, который, типа, делает ssh. Есть openssl, который, типа, делает ssl. Есть gnupg, который, конечно не openpg (разработчики open-чего нибудь, вы меня не слышали, ок?), но то же наносит пользу. Все они делают ассиметричную криптографию, и везде разный формат хранения ключей. Плюс к тому в x509 пихают кучу разной фигни...

Надо что-то менять. :-)

>Надо что-то менять. :-)

да, нужно придумать ещё один, не совместимый с ними формат =)

Молодец разработчик.. ;-)

Особенно если учесть что OpenSSH использует libcrypto от OpenSSL, которая уже умеет и сертификаты, и все требуемые операции Certification Authority, и даже умеет отзывать сертификаты (чего не умеет указанный файл). Более того, формат хранения секретных ключей у OpenSSH совместимый с OpenSSL, поэтмоу с помощью openssl req можно создать заявку на получение сертификата и получить на свой (или хостовый) открытый ключ сертификат X509.

Так что товарищи явно велосипед с квадратными колесами изобрели.

> Бардак. Есть openssh, который, типа, делает ssh. Есть openssl, который, типа, делает ssl. Есть gnupg, который, конечно не openpg (разработчики open-чего нибудь, вы меня не слышали, ок?), но то же наносит пользу. Все они делают ассиметричную криптографию, и везде разный формат хранения ключей. Плюс к тому в x509 пихают кучу разной фигни...

> Надо что-то менять. :-)

Уже поменяли! 13го числа вышел релиз GnuPG 2.0.0. Там поддерживаются и OpenPGP, и S/MIME, и смарт-карты, в том числе и для ssh ;)

Отлично! Я мужики то не знают... Странно, что никто не запостил новость.

Да брось ты придираться - зато ребята музыку неплохую делают ;)

В списке рассылки подняли хороший вопрос. Это все сильно облегчает добавление новых серверов и пользователей в систему авторизации, но никак не помогает удалению их оттуда. Если у пользователя украли ключ, то придется или руками (скриптом) пройтись по всем серверам и поместить его в черный список, или ждать пока ключ прокиснет. Очень жаль.

> В списке рассылки подняли хороший вопрос. Это все сильно облегчает добавление новых серверов и пользователей в систему авторизации, но никак не помогает удалению их оттуда. Если у пользователя украли ключ, то придется или руками (скриптом) пройтись по всем серверам и поместить его в черный список, или ждать пока ключ прокиснет. Очень жаль.

А CRL'и оно не умеет проверять?

> А CRL'и оно не умеет проверять?

А как их распространять по серверам?

>> А CRL'и оно не умеет проверять? >А как их распространять по серверам?

CRL лежит на HTTP или LDAP (в сертификате CDP на него указывает), а те кому он нужен (в данном случае сервера) - ходят туда за ним.

Да, мне тоже интересно, а то как раздавать доступ по серверам? Разные CRT СА создавать что-ли?

отлично

> CRL лежит на HTTP или LDAP (в сертификате CDP на него указывает), а те кому он нужен (в данном случае сервера) - ходят туда за ним.

Данный патч ходить, как я понимаю, не умеет. Если только заточить скриптик.

> Да, мне тоже интересно, а то как раздавать доступ по серверам?

Вы не путаете authorization и authentication?

Хорошее слово - "валидность".

Странно, но у меня этот патч не накладывается т.к. не находит файла sshd/Makefile.

> Если у пользователя украли ключ, то придется или руками (скриптом) пройтись по всем серверам и поместить его в черный список, или ждать пока ключ прокиснет. Очень жаль.

А revoke сертификата уже чтоли отменили?

> А revoke сертификата уже чтоли отменили? См мой пост от 16.11.2006 11:32:54

> Странно, но у меня этот патч не накладывается т.к. не находит файла 
> sshd/Makefile.

патч пока только поверх опеновских сорсов, а не portable..
там хартмай и sshcald предлагает для решения вышеуказаной проблемы..