Хочу PGP Server в своей сети
Достал PGP Server 70, но он не хочет устанавливаться, не запускается WebConsol?
Помогите кто может)))
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
Нормы пользования. Некоторые права на материалы сайта защищены по условиям лицензии CreativeCommons. Движок
openSpace 0.8.25a и дизайн сайта © 2006-2007 Vlad "SATtva" Miller.
|
||||||||||||||||||||||||||
После этого в pgpkeys создаем ключ пользователя U. PGP честно предупреждает о корпоративном ключе С и генерирует ключ.
Я ожидал, что в результате этой процедуры ключ U будет автоматически подписан ключем C.
На самомо деле этого не произошло. Напротив, у ключа C появился ключ U. Пиктограммка выглядит не как обычно (карандаш с синей стрелкой), а в виде просто карандаша (без стрелки).
Очевидно, что мои представления о корпоративном ключе (как о ключе подписи) отличаются от действительного смысла.
Поэтому просьба растолковать этот момент поподробнее.
cut
Очевидно, что мои представления о корпоративном ключе (как о ключе подписи) отличаются от действительного смысла.
Подробнее так подробнее.
Через админа ты можешь создать 1) ключ дешифрации, 2) ключ подписи, 3) ключ отзыва.
Как я понял тебя интересует ключ подписи.
Выбраная тобой опция приводит к тому что создаваемый ключ пользователя на автомате используется для подписи корпоративного ключа. Вследствии этого корпоративный ключ признается подлиннным и правильным и пользовательский пгп ему доверяет, а заодно доверяет и всем ключам которые им подписаны.
Что касается подписи пользовательского ключа, то здесь метода такая – пользователь посылает ключ администратору серва ключей или лицу ответственному за проверку и подпись ключей. Сие лицо звонит пользователю и говорит: "Тут от тебя ключик пришел, если его послал ты а не враги зачитай ка мне отпечаток ключа!"А сам лезет в свойства полученого ключика и сравнивает зачитываемое по телефону с имеющимся у него. В случае совпадения кодовых слов подписывает открытый ключ пользователя корпоративным ключом. И при наличии сервера кладет на него. Возможен вариант при котором пользователь не посылает ключ админу, а сразу кладет его на сервер, который не обнаружив там подписи складывает ключик в особую зону, которую переодически проверяет админ и, обнаружив ключ, см выше.
Вот этот ключ Х и является корпоративным ключем.
Сейчас тестирую возможность вывода из действия старых ОК, используя функцию:
"Allow encryption to invalid keys" – PGPadmin
– недает зашифровать не подписанным ключем.
А если пользователь генерирует у себя ключ? Ну, допустим, что с дистрибутива админовского, с прописанным сервером и параметрами обновления. Что в этом случае происходит с ключем подписи? Как он используется?
И еще, хочу понять, в чем глобальный смысл ключа подписи? В чем разница, если, например, админ будет подписывать все ключи вручную своим собственным ключем? В одном случае, ключ подписи будет сам удостоверен кучей ключей, в другом – админовский ключ никем не будет удостоверен, но он админовский, значит достоверный. Не похоже, что одно надежнее другого.
Если пользователь генерит ключ (на настроенном дистрибутиве), то система сама скажет:
Опции администратора
Корпор. ключ подписи: <ID ключа подписи или админа>
Ответ пипа – "пропустить" — нет
Глобальный смысл очень прост:
Представь себя администратором PGP крупной крипто сети (допустим 200 пользователей) только все эти пользователи полные ламеры, а теперь попробуй им свем обьяснить как подписывать ключи и для чего это все нужно. Так вот для того чтобы избежать вышеупомянутого гемороя и сушествует данная система сертификации.
Главное чтобы на всех ключевых кольцах находился твой ОК или ОК ключа подписи, и на нем стояло полное доверие, и в этом случае тебе остается только подписывать ОКОК и выкладывать на общедоступное месть(PGPserver)- главное пользователя вдолить простую истину: Если достоверность Зеленого цвета, то все нормально, Ну а если достоверность серого цвета, то ключ надо сразу удалить с ключевого кольца.
У меня появилась одна идейка(по вопросу вывода из действия ОК тех кто умудрился забыть пароль, или потерять секретный ключ), сейчас провожу тестирование.
Генерирую дистрибутив.
Инсталлирую дистрибутив на другой машине.
Там создаю новый ключ В.
Там же в локалкейринге уже есть ОК С.
При генерации ключа вижу сообщение о ключе С.
После генерации ключа в локалкейринге у ключа С появляется ключ В (карандаш без стрелки).
Но !
У админа-то ничего не появляетя! Админ как узнает, что где-то что-то подписалось?
При этом вновь созданный ключ не подписан ключом С. Я думаю, что ключ подписи С должен автоматически подписывать все создаваемые ключи на данном дистрибутиве pgp. Этого не происходит.
Кстати, я разобрался с Revoker Key – для отзыва ОК пользователей потеряшших секретный ключ или забывших пароль.
ДЛя чего предназначен СА, какие приимущества при его использовании и стоит лт вообще его использовать :?
[ 28-06-2001: Сообщение изменил: Tugolukov Alexander ]
С ключом подписи и отзыва разобрались. Все работает как надо.