<br><br><div class="gmail_quote">16 июня 2009 г. 20:17 пользователь Ivan Fedorov написал:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<br><div class="im">
> А то как-то непонятно ...<br>
</div><br>А что непонятного-то? Если их генерить там, то на сервере будут все<br>
ключи, всех служб/пользователей/чего-то ещё. В ОДНОМ месте.</blockquote><div>Они и так будут в этом _одном_ месте ...<br>Только один из ключей нужно будет сгенерить на стороне и потом положить в это _одно_ место...<br>На мой взгляд, это менее секьюрно ...<br>
<br></div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
А в нормальной ситуации ключ генерится в месте использования, и никогда<br>
оттуда не вытаскивается. </blockquote><div>Что я и предлагаю ...<br>Сгенерить на месте использования и не вытаскивать ...<br> </div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Те же смарт-карты например умеют генерировать<br>
ключи внутри себя, и ключи эти неэкспортируемы в принципе со<br>
смарт-карты.</blockquote><br>Ну, видел и я некоторые генераторы ключей, которые генерят ключ на данную минуту,<br>синхронно с сервером ... Прошла минута - новый ключ ...<br>Прошло два года - новый генератор ...<br>Но разве мы об этом говорим ?<br>
<br>В данном _конкретном_ вопросе считаю нецелесообразным ограничивать функционал<br>модуля, управляющего центром сертификации.<br><br>Агрументы о секьюрности чего-то, <br>рядом с хранением паролей в открытом виде (конфиг slapd), <br>
выглядят не очень убедительно.<br><br>А вот идея генерации ключа в месте использования (тут же, рядом с CA) более чем убедителен, как минимум, для меня.<br><br>Более того, использование формализованного интерфейса позволяет сисадмину даже не подозревать о месторасположении этих ключей ...<br>
<br>P.S.<br>Я бы не стал учить основам секретности начальника аппаратной спецсвязи (хоть и бывшего).<br>Среди нас тут еще поискать такого же параноика в области безопасности :)<br><br></div>-- <br>Как правильно задавать вопросы:<br>
<a href="http://maddog.sitengine.ru/smart-question-ru.html">http://maddog.sitengine.ru/smart-question-ru.html</a><br><br>Помогает:<br><a href="http://search.altlinux.org">http://search.altlinux.org</a><br><br>Best regards,<br>
Dmitriy Kruglikov<br> Dmitriy.Kruglikov_at_gmail_dot_com <br> XMPP: Dmitriy.Kruglikov_at_gmail_dot_com<br>