Смена диспл. имени и ошибка передачи его на сервер ключей
Добрый день!
У меня возникла такая проблема. В крупной компании есть ПГП-сервер. на нем храняться ключи пользователей многих филиалов. В одном из филиалов компании есть пользователь с ключом, ключ завязан на почтовый сервер Exchange 5.5. Через время сотрудник увольняется, на его место берут другого. Возникает необходимость сменить smpt-адрес почтового ящика (по правилам Компании имя ящика – имя.фамилия@компания.ру) и дисплейное имя пгп-ключа. Все это меняется под нового человека. Старый ключ не изменяется, только добавляется новое дисплейное имя и это имя устанавливается "по умолчанию". Следующим шагом по логике было бы передача ключа на сервер, чтобы остальные люди могли бы при необходимости публичный ключ поместить к себе на личную связку.
Но при попытке передачи ключа на сервер происходит сбой – система пишет
PGP Error: An error has occurred: Operations error
Не подскажете почему так происходит?
В почте новый адрес функционирует, на него можно оправлять и получать почту, но время синхронизации с остальными почтовыми серверами трудно прогнозируемо. Не в этом ли причина?
Конечно можно было бы завести еще один ключ и на связку нового ключа повесить старый приватный ключ, чтобы читать старую корреспонденцию, но если перемещения людей через ту или иную должность будут происходить часто? Каждый раз заводить новый ключ и привязывать старые? Через время у каждого пользователя будет болтаться на связке не один свой ключ а связка своих-и-предшественников-ключей.
Есть ли более простое и изящное решение?
комментариев: 11558 документов: 1036 редакций: 4118
А Вы не думаете, что этим создаёте здоровенную зияющую дыру во всей системе КЗИ? Какова вероятность, что увольняющийся сотрудник не прихватит с собой копию закрытого ключа? Это поставит под удар и риск компрометации всю информацию, которая в будущем может быть зашифрована этим ключом.
Правильный порядок действий — это аннулирование текущего ключа и заведение для нового сотрудника нового ключа. Ключ, в конце концов, — это персональная единица, привязанная к конкретному человеку. Этот человек отвечает за его сохранность головой и несёт ответственность (если это предусматривает форма трудового договора) за компрометацию зашифрованной этим ключом информации (равно, и за компрометацию секрета выработки персональной цифровой подписи). Вы же, получается, перекладываете ответственность за действия увольняющегося сотрудника на нового сотрудника. В такой ситуации он никогда не понесёт ответственность за компрометацию ключевого материала, поскольку невозможно будет доказать, что она произошла по его вине, а не по вине уволившегося сотрудника, также обладавшего данным секретом.
Впрочем, это лирика. Дело хозяйское, решайте сами...
Если в организации развёрнут PGP 8.x, то для пущей правильности старое имя желательно аннулировать. Для этого нужно отозвать с этой записи сертификата заверяющую его автоподпись (self-signature, подпись этого же ключа).
А что система, то есть сам Keyserver, пишет в своём логе? Проблема в каких-то настройках политики Keyserver'а. Может быть ограничение на внесение изменений в сертификаты ключей, может быть что-то другое. Без дополнительной информации затрудняюсь ответить на вопрос.
Хотя если человек меняет фамилию (женщина выходит замуж например), то проблема остается в первозданном формате. Но за неимением информации о логах Keyservera вопрос снимается ;)
Спасибо Вам большое за ответ, SATtva :)
комментариев: 9796 документов: 488 редакций: 5664
Отвечаю чисто умозрительно, еще раз повторяю, я не знаю как это конкретно реализовано в PGP и можно ли переносить тот же ADK со старого ключа на новый.
комментариев: 11558 документов: 1036 редакций: 4118