PKI для SSH

Вам, надо полагать, нужен удостоверяющий центр, а не PKI? SSH такими глупостями не заморачивается. И какой use-case может быть у подобной фичи? Боитесь, что админ выдаст Вам ключ от чужого сервера? :) (Кстати, в SSH сертификатов нет, только "голые" ключи.)

И какой use-case может быть у подобной фичи?

Серьезно чтоли? Такой же, как и в SSL – защита от MitM.

MITM при передаче ключа из рук в руки? Как, ключ к серверу Вы передаёте по сети? Тогда они идут к Вам [если ключ не подписали-зашифровали с помощью GnuPG]!

А как еще?

КОСТЫЛЬНОЕ PKI?

Надеюсь, мы друг друга правильно поняли? Я имел в виду открытый ключ сервера.

Я имел в виду открытый ключ сервера.

Нужно просить админа подтвердить отпечаток по надёжному каналу связи. Всё как с самоподписанными SSL-сертификатами.

КОСТЫЛЬНОЕ PKI?

Unix-way. Зачем PKI в SSH, если есть PKI в GPG?

Так вроде в последних версиях ssh что-то подобное прикрутили: то ли удостоверяющие сертификаты, то ли возможность подписывать одним ssh-ключом другой и потом ориентироваться на эти подписи...

Нужно просить админа подтвердить отпечаток по надёжному каналу связи. Всё как с самоподписанными SSL-сертификатами.

У нас стоит куча серваков, которые я все не знаю, а тем более их админов. И даже если узнаю, такой херней заниматься вряд ли кто-то будет. Как ты себе это представляешь?

Какие аналоги PKI могут быть вообще в корпоративной сети?

Можно завести самоподписанный серт (или даже обычным PKI-центром заверенный) и общаться через https-корпоративную страницу, там отпечатки ssh-ключей выложить в служебном разделе, можно gpg-подписью заверить.

Можно завести самоподписанный серт (или даже обычным PKI-центром заверенный)

Есть у меня смутное подозрение, что проблема у них не техническая, а организационная. Никто ж не хочет "такой херней" заниматься :)

У вас на организационом уровне варианта всего два: либо выделить субъекта, который будет знать все серверы, либо трясти по каждому серверу его владельца. А в первом случае придётся ещё заставить владельцев серверов своевременно регистрировать новые ключи в случае их смены, так что я бы не сказал, что первый подход однозначно проще.

Хотя публичный список серверов с именами владельцев – это однозначно необходимая вещь.

Есть у меня смутное подозрение, что проблема у них не техническая, а организационная. Никто ж не хочет "такой херней" заниматься :)

Ты перед тем, как зайти на каждый сайт, будешь контактировать админа по защищенному от подмены каналу? [s]Вообще сам понял, что написал?[/s]

— unknown (02/03/2011 13:19) профиль/связь <#>
комментариев: 4148 документов: 296 редакций: 2050
отпечаток ключа: ...9153691B80585959

Можно завести самоподписанный серт (или даже обычным PKI-центром заверенный) и общаться через https-корпоративную страницу, там отпечатки ssh-ключей выложить в служебном разделе, можно gpg-подписью заверить.

Хотелось бы автоматизации, как в SSL. И нормальной понимаемости для нубов.

Хотя публичный список серверов с именами владельцев – это однозначно необходимая вещь.

Еще раз – даже если я буду знать владельца сервака, это не значит, что он побежит мне в приемлемое время сообщать хэш ключа.

А в первом случае придётся ещё заставить владельцев серверов своевременно регистрировать новые ключи в случае их смены, так что я бы не сказал, что первый подход однозначно проще.

Проблемы те же, что и в случае SSL, но они хотя бы решаемые в условии сети организации, где каждый препод поднимает по серваку.

Ты перед тем, как зайти на каждый сайт, будешь контактировать админа по защищенному от подмены каналу? [s]Вообще сам понял, что написал?[/s]

Для SSH в любом случае с админом контактировать – аккаунт благодаря святому духу не появится.

Еще раз – даже если я буду знать владельца сервака, это не значит, что он побежит мне в приемлемое время сообщать хэш ключа.

Мысль об организационных проблемах находит подтверждение :)
Ещё раз: без явного на то желания админа сервера надёжно ключ подтвердить ключ вы не сможете. В корпоративных сетях решайте этот вопрос чисто организационными методами. Технических средств в самом SSH для этого явно не предусмотрено, может быть, есть какие-то надстройки. Но опять же, они работать не будут, если ими не будут владельцы серверов пользоваться.

Для SSH в любом случае с админом контактировать – аккаунт благодаря святому духу не появится.

LDAP

Мысль об организационных проблемах находит подтверждение :)

У меня есть мысль, что мы о разных вещах говорим.

Технических средств в самом SSH для этого явно не предусмотрено, может быть, есть какие-то надстройки.

Об этом и был вопрос с самого начала. 15 постов ниочем.

Но опять же, они работать не будут, если ими не будут владельцы серверов пользоваться.

А это уже вопрос организационный. Собсно, я не собираюсь лбом стену ломать, меня просто интересует, есть ли решение.