Re: Re: Cert AUTH

От: Alexander Lapshin <CGatePro_at_mx_ru>
Дата: Tue 03 Jun 2003 - 18:05:33 MSD

On 02.06.03 19:23, (Vladimir A. Butenko) wrote:

>> >>    Netscape/Mozilla, Outlook достаточно популярные?
>> >Netscape/Mozilla - нет. Outlook - да. Но -
>>     Mozilla умеет. 


> Речь шла о "достаточно популярных".


	TheBat, я думаю, тоже скоро "подтянется" к Мозиле.

> Это очень хорошо. "маленькая проблемы":
>
> а) кто сказал, что все клиенты воспринимают сервер не как "anonymous"
> server (который запрашивать сертификаты не имеет права)?

        Это вопросы сервера. Сервер может отвергнуть "несекурное" по его мнению соединение.
> б) кто сказал, что все клиенты правильно отработают запрос сертификата?

        Тут твоя правда. Но все течёт... (Мозила правильно)
> в) кто сказал, что авторизация по сертификатам хоть насколько-то секурна?
>
> По последнему пункту: сертификаты на писюках защищены теми же паролями.
> Взломать сервер (в котором есть хоть какие-то защиты от подбора паролей)
> несколько сложнее, чем взломать certificate store на Вашей workstation
> (хотя, конечно, для этого ее надо сначала украсть - но не в случае
> офисной workstation).

	Ну это уже вопрос "третий".
	Непример, в Netscape существует roaming access , который позволяет 

хранить профиль юзера в LDAP и с любой машины даёт возможность его загрузить и использовать (вместе с сертификатами). В Мозиле, как обещали, такая фишка тоже скоро появится.

>> >>    Аутенификация по сертификатам необходима не только 
>> клиент-сервер, >>но и сервер-сервер.
>> >И какие сервера умеют это делать? И где стандарт для этого в SMTP AUTH?
>>     Sendmail например.
>> http://www.sendmail.org/~ca/email/starttls.html
>> ftp://ftp.isi.edu/in-notes/rfc2246.txt

> Это просто ссылки на TLS и на какие-то конфиги sendmail. Дело не в этом.
> А в том - где стандарты на то, какие сертификаты должны использоваться.

	А какие стандарты на логин/пароль?
	Точно такие-же и с сертификатами.
	Например серверу не понравился CertIssuer/CertSubject и клиент получает 

reject, до тех пор, пока не предъявит тот, который серверу нравится. (точно так-же как будто клиент набрал не правильный пароль)
> Ну, например - какой должен быть Subject у сертификата для юзера
> vasya@domain.com?

        Например такой:
/C=US/ST=California/O=domain.com/OU=private/CN= DeathStar/Email=vasya@domain.com

        Авторизировать можно, наримерЮ по: CommonName, EMail, длинне ключа и т.п.
> А какой - у сервера, который может мне прислать майл?

        У сервера в его базе (могут/должны) хранятся открытые ключи RootCA клиентов и других серверов, Проверяя подписи, а также другиеслужебные поля сертификата сервер решает, доверять/релеить этим клиентам/серверам или нет. (точто так-же как SMTP AUTH может использоваться и клиентом и сервером)
> Заметим, что серверы как раз аутентифицировать по сертификату совсем уже
> бессмыслено - по IP адресу много более надежно.

        Возможно... А, к примеру, для банков? Или security-critical взаимоотношений? Учмтывая, что "электронная подпись" уже юридически имеет силу...

        Согласись, что такая возможность в современной агресивной среде просто необходима, что-бы иметь "чувство сухости".

-- 
(c)ALex

Получено Tue Jun 03 14:06:01 2003