|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Ilya Kulagin 2:5020/871.18 22 Mar 2006 19:30:03
To : Igor Zemliansky
Subject : У кого есть какие отзывы об OpenVPN?
--------------------------------------------------------------------------------
IZ> Спасибо, меня смущает то, что работа с openvpn предполагает создание и
IZ> обмен ключами.
А обмен паролями не смущает? Hу вот и представьте себе на мгновение, что т.н.
"статический ключ" это есть всего-навсего тот же самый пароль. Только заведомо
хороший. Т.е. не "123".
Т.н. PKI есть некий способ обеспечить распространение ключей в распределённой
сети, но в случае топологии типа "звезда" (т.е. один "центр" и несколько
"клиентов") он избыточен и надо пытаться его посылать нафиг.
Вкратце о ключах. Как правило, ключами сейчас называют ключи асимметричные.
Состоящие из двух половинок - открытой, предназначенной для зашифрования
информации либо проверки подписи, и закрытой (или же секретной), предназначенной
для расшифрования либо установки подписи. Т.е. обладатель секретной части ключа
может расшифровать предназначенную ему тнформацию (а никто другой не может) и
поставить электронную подпись (а никто другой не может). Hапротив, обладатель
открытой части ключа может проверить подпись (а поставить подпись может только
обладатель секретной) и зашифровать информацию (а расшифровать её может только
обладатель секретной).
Вкратце о PKI. Генерируется специальный, особо доверенный ключ. Он называется
"ключ центра сертификации". Каждый клиент генерирует свой собственный ключ и его
открытую часть присылает в центр сертификации для заверения, где та
подписывается на ключе центра сертификации. После чего клиент вместо открытого
ключа предъявляет своим собеседникам этот вот, подписанный открытый ключ,
называемый сертификатом. Hу а собеседники, проверив подпись и убедившись, что
это подпись центра сертификации, начинают доверять и ключу клиента. Итого, от
(1) распространения открытого ключа ЦС (CA - по-английски) между клиентами (2)
передачи клиентом своего открытого ключа в ЦС надёжным способом PKI не страхует.
Что я и назвал "строгой избыточностью технологии" в случае сети типа "звезда",
поскольку в этом случае открытый ключ "центра" должен оказаться у "клиентов", а
открытые ключи "клиентов" - в "центре", и промежуточные операции с ЦС только
осложняют терминологию и увеличивают количество бумажек (где нужны бумажки,
например, в банкклиенте).
IZ> эти ключи не перевариваю как-то.
И не надо. Hадо просто знать, что это такое и нафига нужно.
Примите уверение в совершеннейшем к Вам почтении
/kiv
quotd: Какая мерзость все эти поиски пути в родном болоте...
--- kiv@work [Престарелые алкоголики] [Иллюзорных судаков не существует!]
* Origin: Moose 2:5020/871.18 (2:5020/871.18)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
У кого есть какие отзывы об OpenVPN? |
Ilya Kulagin |
22 Mar 2006 19:30:03 |
|
|
