[sisyphus] alterator-ca - откуда брать csr

[Ivan Fedorov]

Dmitriy Kruglikov
<dmitriy.kruglikov-Re5JQEeQqe8AvxtiuMwx3w на public.gmane.org> writes:

>     > А то как-то непонятно ...
>
>     А что непонятного-то? Если их генерить там, то на сервере будут все
>     ключи, всех служб/пользователей/чего-то ещё. В ОДНОМ месте.
>
> Они и так будут в этом _одном_ месте ...
С какого это перепугу???

> Только один из ключей нужно будет сгенерить на стороне и потом
> положить в это _одно_ место...
> На мой взгляд, это менее секьюрно ...
>
>     А в нормальной ситуации ключ генерится в месте использования, и никогда
>     оттуда не вытаскивается.
>
> Что я и предлагаю ...
> Сгенерить на месте использования и не вытаскивать ...
У вас все ключи используются на машине с CA?

>     Те же смарт-карты например умеют генерировать
>     ключи внутри себя, и ключи эти неэкспортируемы в принципе со
>     смарт-карты.
>
>
> Ну, видел и я некоторые генераторы ключей, которые генерят ключ на данную
> минуту,
> синхронно с сервером ... Прошла минута - новый ключ ...
> Прошло два года - новый генератор ...
> Но разве мы об этом говорим ?
Нет, вы похоже говорите о сессионных ключах... или об one-time token, а
это немножко другое.

> В данном _конкретном_ вопросе считаю нецелесообразным ограничивать функционал
> модуля, управляющего центром сертификации.
Вы вообще расшифровку акронима CA знаете? На машине с CA должен быть
ровно 1 ключ - ключ CA. Всё, точка.

> Агрументы о секьюрности чего-то,
> рядом с хранением паролей в открытом виде (конфиг slapd),
> выглядят не очень убедительно.
Это как бы немного разные уровни - пароль к базе с шифрованными паролями
пользователей и набор всех ключей шифрования.

> А вот идея генерации ключа в месте использования (тут же, рядом с CA) более чем
> убедителен, как минимум, для меня.
>
> Более того, использование формализованного интерфейса позволяет сисадмину даже
> не подозревать о месторасположении этих ключей ...
Оооо...так вы хотите, чтобы админ ещё и не понимая как работает
безопасность, настраивал её?! Ну извините, бывает...

Вы сами-то понимаете разницу между ключом и сертификатом?

> P.S.
> Я бы не стал учить основам секретности начальника аппаратной спецсвязи (хоть и
> бывшего).
И что? А меня были среди знакомых и действующие... хотя я бы тоже не
стал - зачем ему зря голову забивать...

> Среди нас тут еще поискать такого же параноика в области безопасности :)
Ой, да параноиков я могу хоть миллион найти, а вот людей хотя бы 

PS: Давай теперь пиписьками меряться? У меня одна, у кого больше?
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 196 байтов
Описание: отсутствует
Url     : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20090617/2fdac95a/attachment.bin>