LINUX.ORG.RU
ФорумAdmin

OpenVPN и генерация ключа в браузере

 , ,


0

1

В целях облегчения системы управления юзерами есть идея создания веб-морды для генерации сертификатов для OpenVPN. Юзеры в основном не подкованы в тех. темах и все делают из браузера, однако им надо предоставить возможность генерить где то «честный» приватный ключ.

Отсюда вопрос: надежна ли генерация 4096-ключа из браузера с помощью JS?

Библиотека для этого есть и она даже работает: https://github.com/digitalbazaar/forge

Но можно ли считать эти ключи надежными?



Последнее исправление: alex07 (всего исправлений: 1)

Более-менее надежно ключи хранятся в смарт картах и прочих критотокенах. Если приватный ключ доступен операционке то это решето априори.

redixin ★★★★
()
Ответ на: комментарий от redixin

Сорри, но без доступа к операционке, как же его генерить? Или имеется в виду чтобы не хранить на жестком диске?

alex07
() автор топика
Ответ на: комментарий от alex07

Сорри, но без доступа к операционке, как же его генерить?

Смарткарты и прочие токены сами генерят, сами шифруют(с нюансами), сами подписывают.

Если хочется трушной секурности, то купи всем yubikey.

А если без внешних девайсов, то хоть браузер хоть openssl в командной строке — разницы почти никакой.

redixin ★★★★
()
Ответ на: комментарий от redixin

А если без внешних девайсов, то хоть браузер хоть openssl в командной строке — разницы почти никакой.

Я в криптографии особо не знаток. Поэтому и интересовался, мало ли там какие то слабые алгоритмы и т.д.

А так то да, yubikey было бы конечно здорово, но не наш случай.

alex07
() автор топика

Конечно же нет, у бровсеров с жабаскриптами секьюрность, как у решета, и ключи будут утекать всем желающим

Harald ★★★★★
()
Ответ на: комментарий от Harald

Конечно же нет, у бровсеров с жабаскриптами секьюрность, как у решета, и ключи будут утекать всем желающим

Ну имеется в виду что скрипты подделывать не будут, HTTPS, исключение MitM и проч. и проч.

Потому что иначе, а какая альтернатива? Как сказать бухгалтеру чтобы он сгенерил ключ, затем CSR, затем отослал это все админу, получил обратно сертификат и установил его?

alex07
() автор топика
Ответ на: комментарий от alex07

Потому что иначе, а какая альтернатива? Как сказать бухгалтеру чтобы он сгенерил ключ, затем CSR, затем отослал это все админу, получил обратно сертификат и установил его?

Через программу-обёртку, с одной большой кнопкой «сделать зае*бись»

Harald ★★★★★
()
Ответ на: комментарий от Harald

Через программу-обёртку, с одной большой кнопкой «сделать зае*бись»

По правде сказать я не вижу особой разницы между «скачать и установить программу» и зайти на внутренний сайт и запустить JS. Разве что во втором случае все происходит быстрее и менее гиморно.

Самой собой надо бы встроить туда еще текстовую подсказку для описания процесса из операционки. Для тех кто «в теме».

alex07
() автор топика

Подозреваю, все упрется в генерацию тру рандомного числа. Многие просят для этого мышкой повозить.

Также подозреваю, что вопросы будут не с генерацией, а с хранением, чтобы не потырили.

Vit ★★★★★
()
Ответ на: комментарий от Vit

Также подозреваю, что вопросы будут не с генерацией, а с хранением, чтобы не потырили.

Ну для этого download напрямую из JS и сохранение где юзер пожелает.

Насчет рандомного числа интересное замечание.

alex07
() автор топика
Ответ на: комментарий от alex07

Насчет рандомного числа интересное замечание.

Вот этого как раз делать не нужно. Есть crypto.GetRandomValues для этих целей.

redixin ★★★★
()
Ответ на: комментарий от redixin

Вот этого как раз делать не нужно. Есть crypto.GetRandomValues для этих целей.

Могу гнать, но вроде это urandom

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.