Peter Georgiev wrote:
Ууууупс! Виноват! Май още не съм се събудил ;)
Гледам си в обувките и подсмърчам тихо....
Случва се:) Това беше майтап:)
Сега се сещам нещо за публичните ключове, което преди време си говорихме със Жоро Чорбаджийски и Ники Недялков. Представи си, че имаш система за хостинг или голям файлов сървър и искаш твоите потребители да влизат чрез SSH с помощта на публичен ключ. Веднага се вижда един проблем създаден именно от това, че ползваш публичен ключ, а не сертификат. Публичният ключ е число. За него ти не знаеш нищо - нито кой е собственика му, нито кой е гарантирал, че това наистина е ключа на лицето, което ти го е представило за свой. И сега се връщаме на хостинг решението. Някой твой клиент е в Австралия. Пита се как ти ще вземеш от него публичния му ключ, как ще си сигурен, че това е именно неговия ключ и как ще гарантираш средата за пренос на ключа, а по-точно как ще знаеш, че някой няма да подмени ключа по пътя? Ясно е, че SSH няма серификатен модел, който да дефинира сигурен пренос и в който да има транзитивно доверие (т.е. да има удостоверители). Няма как и да следиш срока на валидност на даден публичен ключ. Клиентът може да ти е дал публичен ключ, с който той да работи от преди 8 години, който да е 1024 бита и вероятността му за разкриване да е висока. Т.е. ти няма как да следиш възрастта на двойката ключове. Друг проблем е, че ти не можеш да направиш гъвкаво управление на ключовете. Да, можеш да ползаваш LDAP и какво ли не, но това е външно за SSH решение. То внася и допълнителна вероятност за взломяемост, защото то става твой външен удостоверителен механизъм.
Изходът е или да се използва сертификатен модел с пач към SSH или просто да не се използва SSH. Все пак ролята на SSH е отделечено администриране на система и е повече инструмент на администратора, отколкото не клиента.
Поздрави Весо
============================================================================ A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html ============================================================================
