Re: Re: Cert AUTH

On Tue, 03 Jun 2003 17:05:33 +0300
  <CGatePro@mx.ru> (Alexander Lapshin) wrote:
> On 02.06.03 19:23, (Vladimir A. Butenko) wrote:
> >>>> Netscape/Mozilla, Outlook достаточно популярные?
> >>>Netscape/Mozilla - нет. Outlook - да. Но -
> >> Mozilla умеет.
> >Речь шла о "достаточно популярных".
> TheBat, я думаю, тоже скоро "подтянется" к Мозиле.

То есть у Мозиллы скоро тоже будет 0.01% рынка? Скорее всего.

> >Это очень хорошо. "маленькая проблемы":
> >
> >а) кто сказал, что все клиенты воспринимают сервер не как "anonymous"
> >server (который запрашивать сертификаты не имеет права)?
> Это вопросы сервера. Сервер может отвергнуть "несекурное" по его мнению
> соединение.

То есть к этому серверу ни один Outlook подсоединиться не сможет?

> >б) кто сказал, что все клиенты правильно отработают запрос сертификата?
> Тут твоя правда. Но все течёт... (Мозила правильно)
> >в) кто сказал, что авторизация по сертификатам хоть насколько-то секурна?
> >
> >По последнему пункту: сертификаты на писюках защищены теми же паролями.
> >Взломать сервер (в котором есть хоть какие-то защиты от подбора паролей)
> >несколько сложнее, чем взломать certificate store на Вашей workstation
> >(хотя, конечно, для этого ее надо сначала украсть - но не в случае
> >офисной workstation).
> Ну это уже вопрос "третий".

Это вопрос первый, а не третий. В продукте может быть либо что-то, что уже популярно, либо что-то, что может стать популярным. Авторизация сертификатами непопулярна, и вряд ли сможет ей стать - так как добавляет лишь головной боли, не повышая защищенности.

> Непример, в Netscape существует roaming access , который позволяет
> хранить профиль юзера в LDAP и с любой машины даёт возможность его
> загрузить и использовать (вместе с сертификатами). В Мозиле, как обещали,
> такая фишка тоже скоро появится.

Прекрасно. И все сертификаты будут там. А как будет авторизовываться доступ к этим сертификатам? Паролем? То есть его все равно надо будет вводить. То есть защищенность системы будет та же, что и при работе просто по паролю, а вот возможностей украсть будет много больше - можно украсть и пароль, и private key. Смысл?   

> >>>> Аутенификация по сертификатам необходима не только
> >>клиент-сервер, >>но и сервер-сервер.
> >>>И какие сервера умеют это делать? И где стандарт для этого в SMTP AUTH?
> >> Sendmail например.
> >>http://www.sendmail.org/~ca/email/starttls.html
> >>ftp://ftp.isi.edu/in-notes/rfc2246.txt
>
> >Это просто ссылки на TLS и на какие-то конфиги sendmail. Дело не в этом.
> >А в том - где стандарты на то, какие сертификаты должны использоваться.
> А какие стандарты на логин/пароль?

Простые. Пароль - любая строка. Имя - имя аккаунта, к которому идет доступ. То есть для того, чтобы открыть аккаунт vasya@domain.com, я должен выдать имя vasya@domain.com.

> Точно такие-же и с сертификатами.

Нет.

> Например серверу не понравился CertIssuer/CertSubject и клиент получает
> reject, до тех пор, пока не предъявит тот, который серверу нравится.

А какой ему нравится? "А у нас в организации все сертификаты вот такие".

> (точно так-же как будто клиент набрал не правильный пароль)
> >Ну, например - какой должен быть Subject у сертификата для юзера
> >vasya@domain.com?
> Например такой:
> /C=US/ST=California/O=domain.com/OU=private/CN=
> DeathStar/Email=vasya@domain.com

"А у нас - не такие". То есть надо добавлять здоровенный кусок, позволяющий администратору конфигурить сервер (а, скорее, каждый домен) под придуманную кем-то схему Subject сертификатов. И все это для того, чтобы просто "поиграть", бо никакого преимущества перед простым паролем это все не дает.

> Авторизировать можно, наримерЮ по: CommonName, EMail, длинне ключа и т.п.
> >А какой - у сервера, который может мне прислать майл?
> У сервера в его базе (могут/должны) хранятся открытые ключи RootCA
> клиентов и других серверов, Проверяя подписи, а также другиеслужебные поля
> сертификата сервер решает, доверять/релеить этим клиентам/серверам или
> нет. (точто так-же как SMTP AUTH может использоваться и клиентом и
> сервером)
> >Заметим, что серверы как раз аутентифицировать по сертификату совсем уже
> >бессмыслено - по IP адресу много более надежно.
> Возможно... А, к примеру, для банков? Или security-critical
> взаимоотношений? Учмтывая, что "электронная подпись" уже юридически имеет
> силу...

а) я еще не слышал ни об одном банке, который бы заодно был бы ISP, позволяющим релеить чью-то почту.
б) несмотря на все попытки раскрутить S/MIME - почту, ей пользуются 0.001% пользователей E-mail.

> Согласись, что такая возможность в современной агресивной среде
> просто необходима, что-бы иметь "чувство сухости".

"Чувство сухости" профессионалу дает только то, что реально повышает сухость. "Модная примочка для сухости" от очередного профессора-линухомана, придумавшего очередной "способ аутентификации", который ничего не дает, кроме доп. головной боли может дать "чувство сухости" только такому же профессору-линухоману.

> --
> (c)ALex

Sincerely,
Vladimir Получено Tue Jun 03 14:45:13 2003