[sisyphus] alterator-ca - откуда брать csr

Dmitriy Kruglikov dmitriy.kruglikov на gmail.com
Ср Июн 17 09:47:53 MSD 2009


16 июня 2009 г. 20:17 пользователь Ivan Fedorov  написал:

>
> > А то как-то непонятно ...
>
> А что непонятного-то? Если их генерить там, то на сервере будут все
> ключи, всех служб/пользователей/чего-то ещё. В ОДНОМ месте.

Они и так будут в этом _одном_ месте ...
Только  один из ключей нужно будет сгенерить на стороне и потом положить в
это _одно_ место...
На мой взгляд, это менее секьюрно ...

А в нормальной ситуации ключ генерится в месте использования, и никогда
> оттуда не вытаскивается.

Что я и предлагаю ...
Сгенерить на месте использования и не вытаскивать ...


> Те же смарт-карты например умеют генерировать
> ключи внутри себя, и ключи эти неэкспортируемы в принципе со
> смарт-карты.


Ну, видел и я некоторые генераторы ключей, которые генерят ключ на данную
минуту,
синхронно с сервером ... Прошла минута - новый ключ ...
Прошло два года - новый генератор ...
Но разве мы об этом говорим ?

В данном _конкретном_ вопросе считаю нецелесообразным ограничивать
функционал
модуля, управляющего центром сертификации.

Агрументы о секьюрности чего-то,
рядом с хранением паролей в открытом виде (конфиг slapd),
выглядят не очень убедительно.

А вот идея генерации ключа в месте использования (тут же, рядом с CA) более
чем убедителен, как минимум, для меня.

Более того, использование формализованного интерфейса позволяет сисадмину
даже не подозревать о месторасположении этих ключей ...

P.S.
Я бы не стал учить основам секретности начальника аппаратной спецсвязи (хоть
и бывшего).
Среди нас тут еще поискать такого же параноика в области безопасности :)

-- 
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html

Помогает:
http://search.altlinux.org

Best regards,
Dmitriy Kruglikov
Dmitriy.Kruglikov_at_gmail_dot_com
XMPP: Dmitriy.Kruglikov_at_gmail_dot_com
----------- следующая часть -----------
Вложение в формате HTML было удалено...
URL: <http://lists.altlinux.org/pipermail/sisyphus/attachments/20090617/597ffc36/attachment.html>


Подробная информация о списке рассылки Sisyphus