Re: PKI self-service

To: debian-russian@lists.debian.org
Subject: Re: PKI self-service
From: Victor Wagner <vitus@wagner.pp.ru>
Date: Thu, 15 Sep 2016 09:04:33 +0300
Message-id: <[🔎] 20160915090433.55a11d63@fafnir.local.vm>
In-reply-to: <[🔎] CACz2Q8F+3ZJAeqiTOEZ+10tMjWN8Zjd-a1n77xeRkGv67isg9g@mail.gmail.com>
References: <[🔎] CACz2Q8G6xGQG_CPR88Y_LXiNsTc72pF0_fC7vjtp1Z3Lo0vsNQ@mail.gmail.com> <[🔎] 876b4bf4-f9a3-bc97-a137-c591a5328d46@gmail.com> <[🔎] CACz2Q8F+3ZJAeqiTOEZ+10tMjWN8Zjd-a1n77xeRkGv67isg9g@mail.gmail.com>

On Thu, 15 Sep 2016 08:27:40 +0300
Bogdan <bogdar@gmail.com> wrote:

> Добрый день!
> 
> Спасибо за ответы, судя по всему готового решения нет (что крайне
> странно). Писать самостоятельно продукт такого рода - опасно и дорого.

Не то чтобы опасно и дорого. При предполагамемом (да и более высоком)
уровне безопасности это пишется за полдя. Скорее как раз именно потому
что трудно придумать решение, отвязанное от регламентов конкретной
организации, тиражируемых продуктов и нет. Проще сделать свой,
заточенный под свою схему безопасности, чем адаптировать процессы
управления персоналом к готовому.

> FreeIPA смотрю, но так и не понял пока, где там могла бы быть подобная
> функциональность.

Готового решения нет потому, что заявленный регламент работы
противоречит базовым представлениям о безопасности тех, кто работает с
криптографией.

И в тех случаях, когда такой уровень безопасности считается достаточным,
предпочитают обходиться вообще без сертификатов и PKI. 

А когда PKI все же нужна, предпочитают решения, в которых есть некий
ответственный сотрудник, который знает пассфразу от ключа УЦ и
проверяет что тот, кто пришел за сертификатом, именно он и есть.
(в этом случае в маленькой фирме хватит чего-то типа tinyca, gnomint,
pyca или даже easyrsa (входит в комплект openvpn).

Ведь если у нас единственный proof of authencity который
предоставляется при получении сертификата - это пароль хранящийся LDAP, 
то зачем нужна аутентификация по сертификату, когда проще везде
аутентифицироваться оп  тому же самому паролю?

Другие модели безопасности сравнимого уровня которые широко
распространены, это пожалуй только domain-validadated only сертификаты
для веб-серверов. Где проверяется что подавший заявку сертификат может
по крайней мере выложить файлик на web-сервер с именем, на которое
выписывается сертификат.

По-моему в случае описанной задачи было бы логично генерировать для
пользователя сертификат и ключевую пару в момент заведения его в LDAP и
выдавать ему в виде PKCS12-файла и использовать автоматизированный
rollover. Т.е. чтобы заявку на новый сертификат пользователь подписывал
на старом. 

--

Reply to:

Follow-Ups:
- Re: PKI self-service
  - From: Bogdan <bogdar@gmail.com>

References:
- PKI self-service
  - From: Bogdan <bogdar@gmail.com>
- Re: PKI self-service
  - From: Tim Sattarov <stimur@gmail.com>
- Re: PKI self-service
  - From: Bogdan <bogdar@gmail.com>

Prev by Date: Re: PKI self-service
Next by Date: Re: PKI self-service
Previous by thread: Re: PKI self-service
Next by thread: Re: PKI self-service
Index(es):
- Date
- Thread