Re: PKI self-service

To: debian-russian@lists.debian.org
Subject: Re: PKI self-service
From: Victor Wagner <vitus@wagner.pp.ru>
Date: Thu, 15 Sep 2016 13:37:35 +0300
Message-id: <[🔎] 20160915133735.4fd2c44e@fafnir.local.vm>
In-reply-to: <[🔎] CACz2Q8F1Luye_21ye4wA-hYgMxSAnKOFf+BeYqoX--Hq=atqVA@mail.gmail.com>
References: <[🔎] CACz2Q8G6xGQG_CPR88Y_LXiNsTc72pF0_fC7vjtp1Z3Lo0vsNQ@mail.gmail.com> <[🔎] 876b4bf4-f9a3-bc97-a137-c591a5328d46@gmail.com> <[🔎] CACz2Q8F+3ZJAeqiTOEZ+10tMjWN8Zjd-a1n77xeRkGv67isg9g@mail.gmail.com> <[🔎] 20160915090433.55a11d63@fafnir.local.vm> <[🔎] CACz2Q8F1Luye_21ye4wA-hYgMxSAnKOFf+BeYqoX--Hq=atqVA@mail.gmail.com>

On Thu, 15 Sep 2016 12:53:06 +0300
Bogdan <bogdar@gmail.com> wrote:

> 
> Если я правильно интерпретировал документацию. то готовое решение -
> это Auto Enrollment в Microsoft Active Directory Certification
> Services -
> https://technet.microsoft.com/en-us/library/cc771107(v=ws.11).aspx
> т.е., но к сожалению работает только с AD :/

Кстати, возможно что да. Те, кому нужен security theater будут
использовать винду.

> 
> Доступные мне протоколы авторизации позволяют передавать только
> плейнтекст, либо заведомо уязвимые хэши паролей (md5 или ntlm) поверх
> TLS-сессии. Защищенность такой сессии зависит исключительно от
> корректности настройки (принудительная проверка "моего" CA) на

Да, ну и что? Уязвимым местом является все равно  не TLS-сессия, а
хранение пароля или закрытго ключа на устройстве пользователя и
возможность внедрения к нему на устройство кейлоггера. 

Использование авторизации по сертификатам как правило, снижает
usability сильнее чем повышает security. 

Если сервис использует публичное доменное имя и публичный CA (хотя бы и
startssl.com или letsencrypt), то mitm-атака, позволяющая получить хеш
от пароля требует серьезной организационной поддержки - компрометация
публичного CA под силу, пожалуй, только спецслужбе государства.

Reply to:

Follow-Ups:
- Re: PKI self-service
  - From: Bogdan <bogdar@gmail.com>

References:
- PKI self-service
  - From: Bogdan <bogdar@gmail.com>
- Re: PKI self-service
  - From: Tim Sattarov <stimur@gmail.com>
- Re: PKI self-service
  - From: Bogdan <bogdar@gmail.com>
- Re: PKI self-service
  - From: Victor Wagner <vitus@wagner.pp.ru>
- Re: PKI self-service
  - From: Bogdan <bogdar@gmail.com>

Prev by Date: Re: PKI self-service
Next by Date: Re: PKI self-service
Previous by thread: Re: PKI self-service
Next by thread: Re: PKI self-service
Index(es):
- Date
- Thread