id: Гость   вход   регистрация
текущее время 00:06 29/03/2024
Автор темы: Abyrvalg, тема открыта 29/04/2009 10:59 Печать
Категории: криптография, управление ключами
создать
просмотр
ссылки

Сервер ключей


Привет тебе, All!
Хочу установить для корпоративных нужд собственный сервер PGP-ключей. Устанавливать предполагается на FreeBSD. Но никак, собственно, не могу найти этот самый сервер ключей. Есть ли он в природе? Свободно ли распространяется? Как хоть называется? :) Чую, что изобретаю велосипед, поэтому подскажите, пожалуйста :)


 
Комментарии
— SATtva (29/04/2009 11:03)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Вариант раз, вариант два.
— Abyrvalg (29/04/2009 11:09)   профиль/связь   <#>
комментариев: 19   документов: 8   редакций: 0
Спасибо! Поэкспериментирую :)
— SATtva (29/04/2009 11:24)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Второй вариант для организации лучше. Тем более OpenLDAP уже должен быть на сервере.
— Abyrvalg (29/04/2009 16:33)   профиль/связь   <#>
комментариев: 19   документов: 8   редакций: 0
Простите за тупость.
Программу с первого варианта установил, но так и не мог заставить её работать. Непонятно, где её рабочая директория, куда ей скармливать конфиг. Запускается, но никаких ключей не принимает. В логах ничего не пишет.
Второй вариант – письмо, которое ссылается на какой-то аттач. Который уже неоткуда скачать.
Может быть, кто-нибудь смилостивится и разжуёт хоть какой-нибудь вариант поподробней? :(
— SATtva (29/04/2009 16:48)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Вот тот файл, пользуйтесь: filefile:openldap_pgp_keyserver.tar.gz
— Abyrvalg (01/05/2009 00:55, исправлен 01/05/2009 08:38)   профиль/связь   <#>
комментариев: 19   документов: 8   редакций: 0
И снова здравствуйте!
Спасибо уважаемому SATva за архив. Поднял я LDAP-сервер по второму варианту, вроде бы всё настроил в соответствии с инструкциями, даже прикрутил phpLdapAdmin :) Однако есть проблема. Цель всех стараний – сделать возможным для юзеров заливать ключи на сервер, искать там ключи, скачивать оттуда ключи и т.п. У юзеров широкий спектр программ – от PGP Desktop до старых версий PGP, ну и конечно же GnuPG с разными оболочками.
При попытке залить ключик на сервер посредством PGP 8.1 возникает ошибка:

Сервер при этом пишет в лог следующее:

Попытка загрузки ключа осуществляется с хоста, которому это разрешено:
slapd.conf

Я порыскал в настройках PGP и не нашёл там ровным счётом ничего, что указывало бы на возможность аутентификации при загрузке ключа :( Как быть в таком случае? Как грамотно настроить этот аспект работы сервера ключей?
— SATtva (01/05/2009 11:32)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Приведённые Вами сообщения из логов достаточно информативны: OpenLDAP требует пользователя аутентифицироваться (а PGP8 этого не может), прежде чем изменять данные в базе. Отключите в OpenLDAP аутентификацию пользователей или проверяйте IP. Вот фрагмент из той инструкции, ссылка на которую приводилась выше:

Next, install slapd.conf and edit to suit your needs.
That is, select either anonymous or user authentication.

In the provided file, anonymous writes are enabled.
However, access is restricted to writes from localhost only.
You may lift this restriction by modifying the peername.ip
statement. See slapd.access(5) for details and examples.

Think twice before opening up anonymous writes, as _any_ user
who can connect to your LDAP server can not only upload but also
delete keys.

For user authentication, comment out update_anon and the
access rule for anonymous writes. Users are stored as
DN "uid=<username>, ou=PGP Users, dc=EXAMPLE, dc=COM".
— Abyrvalg (01/05/2009 20:33)   профиль/связь   <#>
комментариев: 19   документов: 8   редакций: 0
Ага, спасибо. Просто я не думал, что клиентские приложения совсем уж не имеют средств аутентификации, и придётся решать проблему таким варварским способом :( Конечно, после включения в конфиг-файл строчки

всё заработало, но вообще это удручает. Даже в пределах локальной сети, получается, каждый пользователь может произвольно добавлять и удалять ключи. Это никуда не годится.
Либо я чего-то не понимаю.
— SATtva (01/05/2009 20:43, исправлен 01/05/2009 20:44)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
В GnuPG и девятых версиях PGP аутентификация есть, по-моему. Вообще в официальном PGP Keyserver (ныне не поддерживаемом), который тоже был основан на LDAP, аутентификация операций по управлению ключами осуществлялась с помощью цифровых подписей, т.е., скажем, если человек хотел удалить свой ключ с сервера, то должен был ввести пароль от своего ключа (фактически его программа PGP подписывала строку-запрос, присланную сервером). Таким образом, никто посторонний выполнять такие действия не мог. Подобное же можно сделать и на OpenLDAP, прикрутив скрипт и GnuPG.
— Abyrvalg (01/05/2009 21:04)   профиль/связь   <#>
комментариев: 19   документов: 8   редакций: 0
Хм. А где бы взять этот скрипт? Не хочется изобретать велосипед...
— Abyrvalg (03/05/2009 11:30)   профиль/связь   <#>
комментариев: 19   документов: 8   редакций: 0
Кстати, поставил в целях изучения PGP 9.10.0. Что-то не нашёл там никаких признаков аутентификации. На всякий случай кидаю скриншот окошка с редактированием настроек для сервера:

http://keep4u.ru/full/2009/05/.....58e16594cda31501/jpg

Либо я чего-то не догнал, либо PGP (даже 9-й) не умеет авторизовываться.
— Abyrvalg (20/05/2009 18:15)   профиль/связь   <#>
комментариев: 19   документов: 8   редакций: 0
Извините, что опять дёргаю. Но неужели никто не использует серверы ключей с авторизацией? Может, я и в самом деле чего-то не понимаю? Если используют, то как авторизовываться клиентам?
— Гость (24/05/2009 02:29)   <#>
А зачем иметь авторизацию? Публичные PGP-сервера её не имеют, злоупотреблений не особо видно. Можно просто открыть порты севера ключей лишь локально, а клиенты пусть на сервер по ssh лезут (решение не корпоративное, но зато прямое).
— Abyrvalg (02/06/2009 23:03)   профиль/связь   <#>
комментариев: 19   документов: 8   редакций: 0
Зачем иметь авторизацию.
Дело в том, что хотелось бы сохранить в тайне список ключей/e-mail'ов. По ряду причин сервер ключей расположен в интернете, а не в интранете. Соответственно, любой прохожий имеет к нему доступ :( С одной стороны, всякий прохожий может просматривать список ключей и адресов сотрудников, а с другой стороны, всякий прохожий может добавлять/изменять/удалять ключи, что превратит работу в хаос.
Как избежать этой ситуации? Я вот потому за авторизацию и уцепился... Или VPN какой-нибудь соорудить, что ли...
— SATtva (03/06/2009 18:29)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
VPN, фильтрацию по IP...
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3