Linux-Bulgaria.ORG

навигация

начало

пощенски списък

архив на групата

По Дата

Re: lug-bg: Питане отностно message log

Subject: Re: lug-bg: Питане отностно message log
From: Vesselin Kolev <vlk@xxxxxxxxxxxxxxxxx>
Date: Sun, 19 Sep 2004 12:35:55 +0300

Peter Georgiev wrote:


Ууууупс! Виноват! Май още не съм се събудил ;)

Гледам си в обувките и подсмърчам тихо....

Случва се:) Това беше майтап:)

Сега се сещам нещо за публичните ключове, което преди време си говорихмесъс Жоро Чорбаджийски и Ники Недялков. Представи си, че имаш система захостинг или голям файлов сървър и искаш твоите потребители да влизатчрез SSH с помощта на публичен ключ. Веднага се вижда един проблемсъздаден именно от това, че ползваш публичен ключ, а не сертификат.Публичният ключ е число. За него ти не знаеш нищо - нито кой есобственика му, нито кой е гарантирал, че това наистина е ключа налицето, което ти го е представило за свой. И сега се връщаме на хостингрешението. Някой твой клиент е в Австралия. Пита се как ти ще вземеш отнего публичния му ключ, как ще си сигурен, че това е именно неговия ключи как ще гарантираш средата за пренос на ключа, а по-точно как ще знаеш,че някой няма да подмени ключа по пътя? Ясно е, че SSH няма серификатенмодел, който да дефинира сигурен пренос и в който да има транзитивнодоверие (т.е. да има удостоверители). Няма как и да следиш срока навалидност на даден публичен ключ. Клиентът може да ти е дал публиченключ, с който той да работи от преди 8 години, който да е 1024 бита ивероятността му за разкриване да е висока. Т.е. ти няма как да следишвъзрастта на двойката ключове. Друг проблем е, че ти не можеш данаправиш гъвкаво управление на ключовете. Да, можеш да ползаваш LDAP икакво ли не, но това е външно за SSH решение. То внася и допълнителнавероятност за взломяемост, защото то става твой външен удостоверителенмеханизъм.

Изходът е или да се използва сертификатен модел с пач към SSH или простода не се използва SSH. Все пак ролята на SSH е отделечено администриранена система и е повече инструмент на администратора, отколкото не клиента.


 Поздрави
   Весо


============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================

Относно:
- lug-bg: Питане отностно message log
  - Изпратено от: Vladimir Paskov <vlado-paskov@xxxxxxx>
- Re: lug-bg: Питане отностно message log
  - Изпратено от: Peter Georgiev <peterg@xxxxxxxxxxx>
- Re: lug-bg: Питане отностно message log
  - Изпратено от: Vesselin Kolev <vlk@xxxxxxxxxxxxxxxxx>
- Re: lug-bg: Питане отностно message log
  - Изпратено от: Peter Georgiev <peterg@xxxxxxxxxxx>

Предишно по дата: Re: lug-bg: Питане отностно message log
Следващо по дата: Re: lug-bg: LTSP + Mosix
Предишно по тема: Re: lug-bg: Питане отностно message log
Следващо по тема: Re: lug-bg: Питане отностно message log
Индекс:
- По дата
- По тема

наши приятели

линукс за българи
http://linux-bg.org

FSA-BG
http://fsa-bg.org

OpenFest
http://openfest.org

FreeBSD BG
http://bg-freebsd.org

KDE-BG
http://kde.fsa-bg.org/

Gnome-BG
http://gnome.cult.bg/

проект OpenFMI
http://openfmi.net

NetField Forum
http://netField.ludost.net/forum/

Linux-Bulgaria.ORG