forum.opennet.ru

Составление сообщения

Исходное сообщение

"Релиз дистрибутива Tails 4.5 с поддержкой UEFI Secure Boot "
Отправлено Аноним, 11-Апр-20 09:56

> Так же не допустима загрузка без онлайн проверки самого верификатора
> Через https и Летсенкрипт
В системе Integrity каждый админ должен для своей сети/компа лично выступать удостоверяющим центром! ЛИЧНО выпустить СВОЙ корневой сертификат CA для подписи других СВОИХ сертификатов используемых в Integrity.
Публичная часть этого корневого сертификата CA грузится в CONFIG_SYSTEM_TRUSTED_KEYS="путь"
и этим сертификатом удостоверяюца другие, созданные исключительно вами, сертификаты для проверки Integrity, публичная часть которого подгружается например в CONFIG_EVM_X509_PATH="путь". Поддержку других сертификатов в ядре можно отключить, как и возможность добавления новых. Все эти сертификаты ядерные и способны подписывать даже модули ядра.
Приватной части сертификатов ядра Linux в рабочей системе физически быть не должно в любом виде!
Доверять чужомым сертификатам для системы Integrity нельзя. Даже если это фирма с непорочной репутацией как M$. Админа который в подсистему Integrity добавляет чужой, не созданный им самим, сертификат можно уволить как не соответствующего к требованиям занимаемой должности!!!

Исходное сообщение
"Релиз дистрибутива Tails 4.5 с поддержкой UEFI Secure Boot " Отправлено Аноним, 11-Апр-20 09:56
> Так же не допустима загрузка без онлайн проверки самого верификатора > Через https и Летсенкрипт В системе Integrity каждый админ должен для своей сети/компа лично выступать удостоверяющим центром! ЛИЧНО выпустить СВОЙ корневой сертификат CA для подписи других СВОИХ сертификатов используемых в Integrity. Публичная часть этого корневого сертификата CA грузится в CONFIG_SYSTEM_TRUSTED_KEYS="путь" и этим сертификатом удостоверяюца другие, созданные исключительно вами, сертификаты для проверки Integrity, публичная часть которого подгружается например в CONFIG_EVM_X509_PATH="путь". Поддержку других сертификатов в ядре можно отключить, как и возможность добавления новых. Все эти сертификаты ядерные и способны подписывать даже модули ядра. Приватной части сертификатов ядра Linux в рабочей системе физически быть не должно в любом виде! Доверять чужомым сертификатам для системы Integrity нельзя. Даже если это фирма с непорочной репутацией как M$. Админа который в подсистему Integrity добавляет чужой, не созданный им самим, сертификат можно уволить как не соответствующего к требованиям занимаемой должности!!!

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> Так же не допустима загрузка без онлайн проверки самого верификатора 
>> Через https и Летсенкрипт

> В системе Integrity каждый админ должен для своей сети/компа лично выступать удостоверяющим 
> центром! ЛИЧНО выпустить СВОЙ корневой сертификат CA для подписи других СВОИХ 
> сертификатов используемых в Integrity.

> Публичная часть этого корневого сертификата CA грузится в CONFIG_SYSTEM_TRUSTED_KEYS="путь" 
 
> и этим сертификатом удостоверяюца другие, созданные исключительно вами, сертификаты для 
> проверки Integrity, публичная часть которого подгружается например в CONFIG_EVM_X509_PATH="путь". 
> Поддержку других сертификатов в ядре можно отключить, как и возможность добавления 
> новых. Все эти сертификаты ядерные и способны подписывать даже модули ядра.

> Приватной части сертификатов ядра Linux в рабочей системе физически быть не должно 
> в любом виде!

> Доверять чужомым сертификатам для системы Integrity нельзя. Даже если это фирма с 
> непорочной репутацией как M$. Админа который в подсистему Integrity добавляет чужой, 
> не созданный им самим, сертификат можно уволить как не соответствующего к 
> требованиям занимаемой должности!!!

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру