Действительно ли там такая вещь как пара ключей SSH со знаком?
Во время, так как Вы задали свой вопрос, изменилась вселенная.
Openssh5.4 добавил поддержку точно вида сертификатов, которыми Вы были после. См. информацию о версии по http://www.openssh.org/txt/release-5.4 (и страницы справочника) для получения дополнительной информации, или если Вы действительно хотите быть безумными, взгляд на PROTOCOL.certkeys для окровавленных деталей
Мое первое впечатление при чтении вопроса - то, что человек IT получил SSH и перепутанный SSL (он должен быть подписан нами), и также не понимает, как SSL, подписывающийся действительно, работает.
Так или иначе нет никакого способа, которым ключ SSH может быть подписан (что я знаю о).
-
1+1 Вы не можете подписать ssh ключи таким же образом, можно подписать PGP или сертификаты SSL. I' d ищут разъяснение от них. – David Pashley 22 July 2009 в 10:24
Что-то не правильно в этом запросе.
Если это поставляет подписанные файлы серверу,
Я ожидал бы, что это будет сделано в абсолютном минимуме.
- Вы создаете пару ключей для себя (назовите это моим - ключ),
- Когда Вы хотите отправить что-то,
- Вы сначала шифруете его с
my-key-private - затем загруженный на сервер этот зашифрованный файл
- Кто-то в сервере должен инвертировать процесс как это,
- они используют Ваш
my-key-pubдешифровать файл - при отправке файла дешифрование восстановит его
- еще, они не получат применимого файла
- эффективно, Вы подписали файл со своим закрытым ключом
- они проверили подпись с Вашим открытым ключом
- отслеживаемость произведена ими подтверждающий Вас, отправили файл
Существуют другие способы пойти о выполнении таких вещей,
Однако получение пары ключей, сгенерированной кем-то еще, бесполезно как схема аутентификации.
Это имеет сильную импликацию, что Вы доверяете им так, как Вы доверяете себе.
Это вводные вопросы, можно спросить IT.
Если отслеживаемость является беспокойством о IT,
- Как они удостоверяются, что Вы не совместно используете/освобождаете пару ключей, данную Вам ими? и,
- Как несколько отличается это key-pair-from-IT понятие от пароля, данного Вам IT.
Почему беспокойство с парами ключей вообще в этом случае.
- Как несколько отличается это key-pair-from-IT понятие от пароля, данного Вам IT.
-
1You' ре, думающее о PGP/GnuPG для шифрования файлов. В этом случае ключевое подписание нормально. Исходный вопрос о ключах SSH. Это имело бы смысл, если бы они просили PGP, подписывался/шифровал ключ SSH (после того, как, проверяя и подписывая каждый other' s PGP ключи). – pgs 22 July 2009 в 09:24
-
2
-
3I' m вполне уверенный парень безопасности смущен, но с тех пор he' s парень Безопасности IT-систем от моего client' s компания и не мой коллега, я должен быть немного большим количеством такта и нажатия конструктивно w/o, просто смеясь над ним и говоря he' s перепутал вещи. Да, it' s определенно SSH и не PGP. – feicipet 22 July 2009 в 19:30
-
4@feicipet, становясь тактичным - то, где мои последние точки помогут Вам. – nik 22 July 2009 в 20:49
-
5@feicipet, Ваша цель состояла бы в том, чтобы наконец заставить их понять минимум, который они должны были бы сделать для того, чтобы правильно достигнуть их намерения. – nik 22 July 2009 в 20:50
Нет никакой причины, Вы не могли использовать сертификаты X.509 для аутентификации SSH вместо пустых ключей - на самом деле, я очень предпочел бы его, если бы OpenSSH проложил себе путь! Но, версия запаса OpenSSH не делает, и это - доминирующая реализация в эти дни.
Я видел несколько исправленных версий OpenSSH, плавающего, вокруг которого делают, и коммерческая реализация SSH.com также, кажется, поддерживает аутентификацию X.509. Так, если Ваша организация использует один из них, требуя, чтобы ключи быть подписанными центральной властью имели бы много смысла.
Тем не менее нет никакого оправдания за требование, чтобы закрытый ключ был сгенерирован третьим лицом! Если они идут путем X.509, то они должны сделать, чтобы Вы генерировали пару ключей и сертификат, подписав запрос, как Вы сделали бы с любым другим сертификатом X.509, используемым для SSL и т.д.