forum.opennet.ru

Составление сообщения

Исходное сообщение

"Анонсирована внутриядерная реализация WireGuard для OpenBSD"
Отправлено Ананимус, 12-Май-20 23:08

> Все зависит от необходимости уровня защиты сети, размера сети, похеризма и параноии...
> Новомодные 32 байтовые ключи на элиптических кривых - это эквивалент 2048-3072бит RSA что не считается уже давно достаточным уровнем(после того, как гугля достигла квантумной супримаси).
В Wireguard есть опциональный Preshared Key на этот случай. Учитывая, что нет готового решения для пост-квантовой криптографии (кроме PSK), я не понимаю, чего ты конкретно хочешь :D
> Не понял иронии... SSH поддерживает PKI, где можно создавать имеенованные сертификаты, которые хорошо видны в логах...
Логи SSH? Глазами? Серьезно? :D
> Какой OpenAccess?
OpenVPN Access. Ынтырпрайз для любителей OpenVPN.
> Никто ничего не передергивает/рестартует/добавляет/удаляет на серваках. Никахих добавлений в authorized_keys и их родствеников в других протоколах. Клиент присылает мне CSR, я его верифицирую через как миниум 3 независимых канала, подписываю его, и отправляю обратно CRT(или если ресурс очень важный, то из рук в руки под подпись). Теперь он может заходить туда где есть наш публичный СА и делать только то, что ему разрешили через principal(прописанный в сертификате) Никаких конектов к сервакам или мороки с деплоями (через стороний софт тем более). Единственное что должно быть на серваках - публичный СА ключ.
Правда есть три маленькие детали. Во-первых, на публичный ключ CA на сервера должен как-то попасть. На _каждый_ SSH сервер. Вы его туда руками добавляете? :D
Во-вторых, revocation list должен попадать на сервера ASAP. На _каждый_ SSH сервер. Вы его туда руками добавляете?
Ну и политики в /etc/ssh тоже должны как-то попадать :D
Если вы добавляете это все руками, то это просто комедия. Если вы пушите это через Ansible/Puppet/Chef, то расскажи мне САКРАЛЬНУЮ РАЗНИЦУ В БЕЗОПАСНОСТИ между записью файликов в /etc/ssh, и записью файликов в /root/.ssh/authorized_keys, ~user1/.ssh/authorized_keys. Учитывая, что делать это нужно на тех же самых SSH хостах :)
> Доверенный канал - это что ? гмэйл, яндекс? Может ssh ? И вы правда по телефону сравнивали фингерпринты? Со всеми сотнями серверов?
Какой сотней серверов, если речь про Wireguard? Который VPN? У тебя сто VPN серверов? :D
> Если есть канал, он может быть МИТМ. Если нет верификации ключей, то МИТМ можно организовать.
Тока ты забыл про одну маленькую деталь. Сертификат для проверки CA тоже нужно как-то доставить клиенту :D

Исходное сообщение
"Анонсирована внутриядерная реализация WireGuard для OpenBSD" Отправлено Ананимус, 12-Май-20 23:08
> Все зависит от необходимости уровня защиты сети, размера сети, похеризма и параноии... > Новомодные 32 байтовые ключи на элиптических кривых - это эквивалент 2048-3072бит RSA что не считается уже давно достаточным уровнем(после того, как гугля достигла квантумной супримаси). В Wireguard есть опциональный Preshared Key на этот случай. Учитывая, что нет готового решения для пост-квантовой криптографии (кроме PSK), я не понимаю, чего ты конкретно хочешь :D > Не понял иронии... SSH поддерживает PKI, где можно создавать имеенованные сертификаты, которые хорошо видны в логах... Логи SSH? Глазами? Серьезно? :D > Какой OpenAccess? OpenVPN Access. Ынтырпрайз для любителей OpenVPN. > Никто ничего не передергивает/рестартует/добавляет/удаляет на серваках. Никахих добавлений в authorized_keys и их родствеников в других протоколах. Клиент присылает мне CSR, я его верифицирую через как миниум 3 независимых канала, подписываю его, и отправляю обратно CRT(или если ресурс очень важный, то из рук в руки под подпись). Теперь он может заходить туда где есть наш публичный СА и делать только то, что ему разрешили через principal(прописанный в сертификате) Никаких конектов к сервакам или мороки с деплоями (через стороний софт тем более). Единственное что должно быть на серваках - публичный СА ключ. Правда есть три маленькие детали. Во-первых, на публичный ключ CA на сервера должен как-то попасть. На _каждый_ SSH сервер. Вы его туда руками добавляете? :D Во-вторых, revocation list должен попадать на сервера ASAP. На _каждый_ SSH сервер. Вы его туда руками добавляете? Ну и политики в /etc/ssh тоже должны как-то попадать :D Если вы добавляете это все руками, то это просто комедия. Если вы пушите это через Ansible/Puppet/Chef, то расскажи мне САКРАЛЬНУЮ РАЗНИЦУ В БЕЗОПАСНОСТИ между записью файликов в /etc/ssh, и записью файликов в /root/.ssh/authorized_keys, ~user1/.ssh/authorized_keys. Учитывая, что делать это нужно на тех же самых SSH хостах :) > Доверенный канал - это что ? гмэйл, яндекс? Может ssh ? И вы правда по телефону сравнивали фингерпринты? Со всеми сотнями серверов? Какой сотней серверов, если речь про Wireguard? Который VPN? У тебя сто VPN серверов? :D > Если есть канал, он может быть МИТМ. Если нет верификации ключей, то МИТМ можно организовать. Тока ты забыл про одну маленькую деталь. Сертификат для проверки CA тоже нужно как-то доставить клиенту :D

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> Все зависит от необходимости уровня защиты сети, размера сети, похеризма и параноии...
>> Новомодные 32 байтовые ключи на элиптических кривых - это эквивалент 2048-3072бит RSA что не считается уже давно достаточным уровнем(после того, как гугля достигла квантумной супримаси).

> В Wireguard есть опциональный Preshared Key на этот случай. Учитывая, что нет 
> готового решения для пост-квантовой криптографии (кроме PSK), я не понимаю, чего 
> ты конкретно хочешь :D

>> Не понял иронии... SSH поддерживает PKI, где можно создавать имеенованные сертификаты, которые хорошо видны в логах...

> Логи SSH? Глазами? Серьезно? :D

>> Какой OpenAccess?

> OpenVPN Access. Ынтырпрайз для любителей OpenVPN.

>> Никто ничего не передергивает/рестартует/добавляет/удаляет на серваках. Никахих добавлений в authorized_keys и их родствеников в других протоколах. Клиент присылает мне CSR, я его верифицирую через как миниум 3 независимых канала, подписываю его, и отправляю обратно CRT(или если ресурс очень важный, то из рук в руки под подпись). Теперь он может заходить туда где есть наш публичный СА и делать только то, что ему разрешили через principal(прописанный в сертификате) Никаких конектов к сервакам или мороки с деплоями (через стороний софт тем более). Единственное что должно быть на серваках - публичный СА ключ.

> Правда есть три маленькие детали. Во-первых, на публичный ключ CA на сервера 
> должен как-то попасть. На _каждый_ SSH сервер. Вы его туда руками 
> добавляете? :D

> Во-вторых, revocation list должен попадать на сервера ASAP. На _каждый_ SSH сервер. 
> Вы его туда руками добавляете?

> Ну и политики в /etc/ssh тоже должны как-то попадать :D

> Если вы добавляете это все руками, то это просто комедия. Если вы 
> пушите это через Ansible/Puppet/Chef, то расскажи мне САКРАЛЬНУЮ РАЗНИЦУ В БЕЗОПАСНОСТИ 
> между записью файликов в /etc/ssh, и записью файликов в /root/.ssh/authorized_keys, ~user1/.ssh/authorized_keys. 
> Учитывая, что делать это нужно на тех же самых SSH хостах 
> :)

>> Доверенный канал - это что ? гмэйл, яндекс? Может ssh ? И вы правда по телефону сравнивали фингерпринты? Со всеми сотнями серверов?

> Какой сотней серверов, если речь про Wireguard? Который VPN? У тебя сто 
> VPN серверов? :D

>> Если есть канал, он может быть МИТМ. Если нет верификации ключей, то МИТМ  можно организовать.

> Тока ты забыл про одну маленькую деталь. Сертификат для проверки CA тоже 
> нужно как-то доставить клиенту :D

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру