ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

RE: Re[3]: Авторизация по ssl-сертификатам



Товарищи, чесно сказать - я не хотел вас так сильно занимать, да и думаю не
стоит так все усложнять. Я лишь хотел, чтобы авторизация шла не по паролю,
ибо если юзеру (простому, тот который "Юзер неразумный") дать пароль, к тому
же он не будет совпадать с именем его собаки - юзер его неизбежно запишет, а
запишет он его обязательно на видном месте. Я _"слышал звон"_, что спомощью
майкрософтовских приблуд некие люди дают сертификаты своим клиентам, да так
дают, что сертификат можно использовать только на данном компьютере. Я
понимаю, что не знаю, где этот звон :). Ну USB и симкарты я использовать
точно не буду. Будет устанавливаться https и будут передаваться данные...

Кстати, а можно ли проверять соответствие пары ключ-ip? Тоесть юзер можт
передавать данные, если совапл ключ + его ip правильный? (под ключем я
понимал что-то типа RSA или DSA или какая-то ssl фишка)...
Натолкните на мысль пожалуйста... 

Благодарю

___________________________________
С уважением,
Дмитрий Леоненко

-----Original Message-----
From: Majordomo Pseudo User [mailto:majordom@xxxxxxxxx] On Behalf Of Andrew
Kopeyko
Sent: Thursday, May 04, 2006 4:15 PM
To: Andrew Kopeyko
Subject: Re[3]: Авторизация по ssl-сертификатам

On Thu, 4 May 2006, Anton Yuzhaninov wrote:

> Hello Andrew,
>
> You wrote on Thursday, May 4, 2006, 4:17:58 PM:
>
> AK> On Thu, 4 May 2006, Anton Yuzhaninov wrote:
>
>>> Hello Дмитрий,
>>>
>>> You wrote on Thursday, May 4, 2006, 12:10:42 PM:
>>>
>>> Д> очень не хотелось. Потому я и хочу для каждого клиента генерить 
>>> Д> его сертификат, который нельзя будет скопировать в другое место.
>>>
>>> Это возможно только при использовании аппаратных ключей (смарткарты 
>>> или usb-брелки).
>
> AK> Но и это не панацея:
> AK> - их можно украсть
>
> На этот случай есть пин код.
>
> AK> - можно подсмотреть приватный ключ в процессе обмена токена с хостом
> AK>    (далеко не все реализации общаются с токеном по безопасному 
> AK> каналу)
>
> Правильные аппаратные ключи хранят приватный ключ внутри себя и 
> никогда не отдают наружу. У них внутри стоит процессор, которому на 
> вход подается открытый текст, а на выходе идет зашифрованный.

Так никакой шины не хватит, поэтому на вход токен принимает nonce начальный ключ, а выжаёт ключ(и) сеанса. А уж далее хост сам симметричным
алгоритмом криптует.

Но такие ключи дороги; массовые usb-ключи выступают как хранилища ключевых
контейнеров PKCS#11 и цифровых сертификатов X.509

> Впрочем недостатки у такого метода конечно есть:
> http://www.schneier.com/essay-083.html
>
> но что можно предложить лучше для такой задачи на знаю.

для пин-кода - гильотина.
для токена - вынуть батарейку и опустить в "царскую водку".

Применять совместно, иначе возможна утечка секретных данных.


--
Best regards,
Andrew Kopeyko <kaa@xxxxxxxxx>


 




Copyright © Lexa Software, 1996-2009.