Re[3]: Авторизация по ssl-сертификатам
Anton Yuzhaninov
citrin at citrin.ru
Thu May 4 16:45:10 MSD 2006
Hello Andrew,
You wrote on Thursday, May 4, 2006, 4:17:58 PM:
AK> On Thu, 4 May 2006, Anton Yuzhaninov wrote:
>> Hello Дмитрий,
>>
>> You wrote on Thursday, May 4, 2006, 12:10:42 PM:
>>
>> Д> очень не хотелось. Потому я и хочу для каждого клиента генерить его
>> Д> сертификат, который нельзя будет скопировать в другое место.
>>
>> Это возможно только при использовании аппаратных ключей (смарткарты
>> или usb-брелки).
AK> Но и это не панацея:
AK> - их можно украсть
На этот случай есть пин код.
AK> - можно подсмотреть приватный ключ в процессе обмена токена с хостом
AK> (далеко не все реализации общаются с токеном по безопасному каналу)
Правильные аппаратные ключи хранят приватный ключ внутри себя и
никогда не отдают наружу. У них внутри стоит процессор, которому на
вход подается открытый текст, а на выходе идет зашифрованный.
Впрочем недостатки у такого метода конечно есть:
http://www.schneier.com/essay-083.html
но что можно предложить лучше для такой задачи на знаю.
--
Anton Yuzhaninov.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 1781 bytes
Desc: S/MIME Cryptographic Signature
URL: <http://nginx.org/pipermail/nginx-ru/attachments/20060504/4605357e/attachment.bin>
More information about the nginx-ru
mailing list