LINUX.ORG.RU

Начало работы со службой хранения ключей в Linux


0

0

Служба хранения ключей, включенная в ядро Linux версии 2.6, — замечательный новый способ управления аутентификацией, шифрованием, междоменными пользовательскими соответствиями и решения других задач, связанных с обеспечением безопасности платформы Linux. Узнайте о компонентах службы хранения ключей и на рабочем примере приложения достигните понимания того, как используется эта возможность.

>>> Подробности

★★★

Проверено: Shaman007 ()

> unregister_key_type использует незарегистрированный тип ключа: промптом переводите?

anonymous
()
Ответ на: комментарий от kto_tama

>управление удаленными файловыми системами

Чегойто не нашел я такой последовательности слов. По диагонали читаем? Похвально, похвально. Никакой дырочки. Тем паче "еще одной". Такие сервисы есть и под линем. Юзаются для хранения кучи открытых ключей. Ежели кто утащит - не беда, ибо на то они и открытые.

По сабжу. А есть какая нить реалная необходимость пихать сей сервис в ядро? Доступа к железу не надо, особой производительности не надо (чай не шифрование, а только ключик выдать).

anonymous
()
Ответ на: комментарий от anonymous

> А есть какая нить реалная необходимость пихать сей сервис в ядро?

Нету. Однако криптография должна быть изолирована от любых процессов, поскольку они потенциально могут содержать зловредный код, а в отсталой, немикроядерной, архитектуре Линакса единственный выход - пихать всё в йадро - к вящему удовольствию Andrew Morton.

anonymous
()

че-та мало камментов. Видать ни на что кроме "kde vs gnome" мозгов не хватает.

anonymous
()
Ответ на: комментарий от anonymous

> По сабжу. А есть какая нить реалная необходимость пихать сей сервис в ядро? Доступа к железу не надо, особой производительности не надо (чай не шифрование, а только ключик выдать).

Менеджер ключей по-любому нужен, коль скоро собираетесь что-то шифровать . Конкретно этот менеджер неплохой, но сыроват еще и не особо гибкий: там нельзя, например, назначить ключ "по умолчанию". Т.е., скажем, у вас болтается в памяти куча ключей и вы хотите каким-то из них зашифровать файл. А интерфейса для того, чтобы указать для этого конкретный ключ нет: надо либо добавлять этот интерфейс в VFS, либо добавить еще один API к этому менеджеру ключей. Первый вариант - скорее всего, утопия. По второму варианту были конкретные предложения (кажись нереализованные):

http://linux-nfs.org/pipermail/keyrings/attachments/20050921/364297e0/2754.eml

anonymous
()
Ответ на: комментарий от anonymous

> По сабжу. А есть какая нить реалная необходимость пихать сей сервис
> в ядро?
Так вот офигеть можно, почему статья не даёт
ответа на этот вопрос? У меня тот же самый вопрос
после прочтения остался. Кому такая статья нужна?
"Есть то и это", а зачем оно нужно - ни слова.
Нда, писаки...

anonymous
()
Ответ на: комментарий от emaxx

> Давайте лучше гном в ядро засунем!

Гном - ацтой. Давайте лучше засунем туда КДЕ, квейк и опен-офис!

anonymous
()

Интересная штука... Я когда-то начинал писать свой менеджер ключей, только общаться с ним хотел не через syscall, а через обыкновенные read/write в специальный файл.

no-dashi ★★★★★
()
Ответ на: комментарий от anonymous

> зачем оно нужно _в ядре_

Цельношифрованые блочные девайсы например, или доступ к "непубличным" сетевым ресурсам. Иное дело что в микроядерке это было бы красивей - но что имеем, то и пользуем.

no-dashi ★★★★★
()
Ответ на: комментарий от no-dashi

мортон - он странный
с одной стороны - бубнит , что количество глюков в ядре превысило все допустимые нормы
с другой стороны - все пихать в ядро - это круто , конечно , но это же источник новых багов

kto_tama ★★★★★
()
Ответ на: комментарий от kto_tama

> с другой стороны - все пихать в ядро - это круто , конечно , но это же источник новых багов

Некоторые вещи должны делаться централизованно и унифицированно.
А баги? А баги были, есть и всегда будут. Баги - наш хлеб :)

Korwin ★★★
()
Ответ на: комментарий от no-dashi

> доступ к "непубличным" сетевым ресурсам

или доступ к неискаженным данным для сертифицированных для работы с хай-дефинишн контентом драйверов в рамках DRM..

HEBECTb_KTO
()
Ответ на: комментарий от HEBECTb_KTO

> ... в рамках DRM..

Кстати да. Введение подобной подсистемы значительно упростит жизнь различным DRM защитам и механизмам контроля...

Кто, говорите, продвигает его в ядро?

Korwin ★★★
()
Ответ на: комментарий от anonymous

Это не тру. Надо все вышеперечисленное вместе с ведром завернуть в емакс.

madcore ★★★★★
()

служба хранения ключей - это хорошо, а вот если б мой TPM линухой поддерживался - было б вообще зашибись. А так его только винда под свой DPM юзает :(

Farcaller ★★
()

>Узнайте о компонентах службы хранения ключей и на рабочем примере приложения достигните понимания того, как используется эта возможность.

А по-русски уже совсем не модно писать? :-)

anonymous
()
Ответ на: комментарий от Farcaller

> А так его только винда под свой DPM юзает :(

Не только. Ещё для установки на копьютеры произвольного кода под видом обновлений. Безрутовых систем не получается, только в виндовсе рут - это не тот, кто имеет привилегию администратора, а кто "знает" сертификат более высокого уровня, установленный в системе..

anonymous
()
Ответ на: комментарий от Farcaller

> а вот если б мой TPM линухой поддерживался - было б вообще зашибись. А так его только винда под свой DPM юзает :(

Как так?! А что я тогда неделю назад отключал в menuconfig?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.