LINUX.ORG.RU

Начало работы со службой хранения ключей в Linux


0

0

Служба хранения ключей, включенная в ядро Linux версии 2.6, — замечательный новый способ управления аутентификацией, шифрованием, междоменными пользовательскими соответствиями и решения других задач, связанных с обеспечением безопасности платформы Linux. Узнайте о компонентах службы хранения ключей и на рабочем примере приложения достигните понимания того, как используется эта возможность.

>>> Подробности

★★★

Проверено: Shaman007 ()

Re: Начало работы со службой хранения ключей в Linux

управление удаленными файловыми системами
ну вот , еще одна дырочка появиась

kto_tama ★★★★★ ()

Re: Начало работы со службой хранения ключей в Linux

Ну наконец-то!

Lautre ★★★★★ ()

Re: Начало работы со службой хранения ключей в Linux

> unregister_key_type использует незарегистрированный тип ключа: промптом переводите?

anonymous ()

Re: Начало работы со службой хранения ключей в Linux

>управление удаленными файловыми системами

Чегойто не нашел я такой последовательности слов. По диагонали читаем? Похвально, похвально. Никакой дырочки. Тем паче "еще одной". Такие сервисы есть и под линем. Юзаются для хранения кучи открытых ключей. Ежели кто утащит - не беда, ибо на то они и открытые.

По сабжу. А есть какая нить реалная необходимость пихать сей сервис в ядро? Доступа к железу не надо, особой производительности не надо (чай не шифрование, а только ключик выдать).

anonymous ()

Re: Начало работы со службой хранения ключей в Linux

> А есть какая нить реалная необходимость пихать сей сервис в ядро?

Нету. Однако криптография должна быть изолирована от любых процессов, поскольку они потенциально могут содержать зловредный код, а в отсталой, немикроядерной, архитектуре Линакса единственный выход - пихать всё в йадро - к вящему удовольствию Andrew Morton.

anonymous ()

Re: Начало работы со службой хранения ключей в Linux

че-та мало камментов. Видать ни на что кроме "kde vs gnome" мозгов не хватает.

anonymous ()

Re: Начало работы со службой хранения ключей в Linux

> По сабжу. А есть какая нить реалная необходимость пихать сей сервис в ядро? Доступа к железу не надо, особой производительности не надо (чай не шифрование, а только ключик выдать).

Менеджер ключей по-любому нужен, коль скоро собираетесь что-то шифровать . Конкретно этот менеджер неплохой, но сыроват еще и не особо гибкий: там нельзя, например, назначить ключ "по умолчанию". Т.е., скажем, у вас болтается в памяти куча ключей и вы хотите каким-то из них зашифровать файл. А интерфейса для того, чтобы указать для этого конкретный ключ нет: надо либо добавлять этот интерфейс в VFS, либо добавить еще один API к этому менеджеру ключей. Первый вариант - скорее всего, утопия. По второму варианту были конкретные предложения (кажись нереализованные):

http://linux-nfs.org/pipermail/keyrings/attachments/20050921/364297e0/2754.eml

anonymous ()

Re: Начало работы со службой хранения ключей в Linux

Давайте лучше гном в ядро засунем!

emaxx ★★ ()

Re: Начало работы со службой хранения ключей в Linux

> По сабжу. А есть какая нить реалная необходимость пихать сей сервис
> в ядро?
Так вот офигеть можно, почему статья не даёт
ответа на этот вопрос? У меня тот же самый вопрос
после прочтения остался. Кому такая статья нужна?
"Есть то и это", а зачем оно нужно - ни слова.
Нда, писаки...

anonymous ()

Re: Начало работы со службой хранения ключей в Linux

Интересная штука... Я когда-то начинал писать свой менеджер ключей, только общаться с ним хотел не через syscall, а через обыкновенные read/write в специальный файл.

no-dashi ★★★★★ ()

Re: Начало работы со службой хранения ключей в Linux

> зачем оно нужно _в ядре_

Цельношифрованые блочные девайсы например, или доступ к "непубличным" сетевым ресурсам. Иное дело что в микроядерке это было бы красивей - но что имеем, то и пользуем.

no-dashi ★★★★★ ()

Re: Начало работы со службой хранения ключей в Linux

мортон - он странный
с одной стороны - бубнит , что количество глюков в ядре превысило все допустимые нормы
с другой стороны - все пихать в ядро - это круто , конечно , но это же источник новых багов

kto_tama ★★★★★ ()

Re: Начало работы со службой хранения ключей в Linux

> с другой стороны - все пихать в ядро - это круто , конечно , но это же источник новых багов

Некоторые вещи должны делаться централизованно и унифицированно.
А баги? А баги были, есть и всегда будут. Баги - наш хлеб :)

Korwin ★★★ ()

Re: Начало работы со службой хранения ключей в Linux

> доступ к "непубличным" сетевым ресурсам

или доступ к неискаженным данным для сертифицированных для работы с хай-дефинишн контентом драйверов в рамках DRM..

HEBECTb_KTO ()

Re: Начало работы со службой хранения ключей в Linux

> ... в рамках DRM..

Кстати да. Введение подобной подсистемы значительно упростит жизнь различным DRM защитам и механизмам контроля...

Кто, говорите, продвигает его в ядро?

Korwin ★★★ ()

Re: Начало работы со службой хранения ключей в Linux

Статья безобразная, лучше уж http://lxr.linux.no/source/Documentation/keys.txt почитать..

Так и не понял, зачем оно в ядре. =(

anonymous ()

Re: Начало работы со службой хранения ключей в Linux

служба хранения ключей - это хорошо, а вот если б мой TPM линухой поддерживался - было б вообще зашибись. А так его только винда под свой DPM юзает :(

Farcaller ★★ ()

Re: Начало работы со службой хранения ключей в Linux

>Узнайте о компонентах службы хранения ключей и на рабочем примере приложения достигните понимания того, как используется эта возможность.

А по-русски уже совсем не модно писать? :-)

anonymous ()

Re: Начало работы со службой хранения ключей в Linux

> А так его только винда под свой DPM юзает :(

Не только. Ещё для установки на копьютеры произвольного кода под видом обновлений. Безрутовых систем не получается, только в виндовсе рут - это не тот, кто имеет привилегию администратора, а кто "знает" сертификат более высокого уровня, установленный в системе..

anonymous ()

Re: Начало работы со службой хранения ключей в Linux

> а вот если б мой TPM линухой поддерживался - было б вообще зашибись. А так его только винда под свой DPM юзает :(

Как так?! А что я тогда неделю назад отключал в menuconfig?

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.