Re[3]: Авторизация по ssl-сертификатам
Andrew Kopeyko
kaa at ramtel.ru
Thu May 4 17:15:27 MSD 2006
On Thu, 4 May 2006, Anton Yuzhaninov wrote:
> Hello Andrew,
>
> You wrote on Thursday, May 4, 2006, 4:17:58 PM:
>
> AK> On Thu, 4 May 2006, Anton Yuzhaninov wrote:
>
>>> Hello Дмитрий,
>>>
>>> You wrote on Thursday, May 4, 2006, 12:10:42 PM:
>>>
>>> Д> очень не хотелось. Потому я и хочу для каждого клиента генерить его
>>> Д> сертификат, который нельзя будет скопировать в другое место.
>>>
>>> Это возможно только при использовании аппаратных ключей (смарткарты
>>> или usb-брелки).
>
> AK> Но и это не панацея:
> AK> - их можно украсть
>
> На этот случай есть пин код.
>
> AK> - можно подсмотреть приватный ключ в процессе обмена токена с хостом
> AK> (далеко не все реализации общаются с токеном по безопасному каналу)
>
> Правильные аппаратные ключи хранят приватный ключ внутри себя и
> никогда не отдают наружу. У них внутри стоит процессор, которому на
> вход подается открытый текст, а на выходе идет зашифрованный.
Так никакой шины не хватит, поэтому на вход токен принимает nonce \
начальный ключ, а выжаёт ключ(и) сеанса. А уж далее хост сам симметричным
алгоритмом криптует.
Но такие ключи дороги; массовые usb-ключи выступают как хранилища ключевых
контейнеров PKCS#11 и цифровых сертификатов X.509
> Впрочем недостатки у такого метода конечно есть:
> http://www.schneier.com/essay-083.html
>
> но что можно предложить лучше для такой задачи на знаю.
для пин-кода - гильотина.
для токена - вынуть батарейку и опустить в "царскую водку".
Применять совместно, иначе возможна утечка секретных данных.
--
Best regards,
Andrew Kopeyko <kaa at ramtel.ru>
More information about the nginx-ru
mailing list