[ml] GPG per pkinit in kerberos

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Luglio 2007 ml@sikurezza.org
Soggetto: [ml] GPG per pkinit in kerberos
Mittente: Giuseppe Paternò (Gippa)
Data: Mon, 30 Jul 2007 11:09:07 +0200 (CEST)

Ciao a tutti! Volevo sottoporvi una idea che ho avuto, almeno per
discutere sui pro e contro.

Innanzi tutto voglio segnalarvi il progetto FreeIPA di un mio collega:
http://www.freeipa.org/page/Main_Page

In quest'ottica, l'idea che mi era venuta in mente e' quella di usare
PGP/GPG per l'initial authentication in kerberos, in maniera simile a
quanto avviene in pkinit [rfc4556].

Le infrastrutture PKI sono si' interessanti, ma IMHO sono troppo
gerarchiche: un'approccio meno strutturato sarebbe interessante. Per
sapere quale siano le chiavi "trusted" all'interno
dell'organizzazione, basterebbe pubblicare in un apposito keyserver
interno all'azienda (LDAP) le chiavi di ogni singolo utente, cosa che
anche l'utente finale puo' fare.

Secondo me i vantaggi porebbero essere:

1) nessuna infrastruttura gerarchica: le chiavi vengono generate
autonomamente dall'utente e pubblicate in un keyserver interno.
2) Eventuali "ACL" possono essere messe sul KDC, in base a quali
utenti possono ottenere un TGT (es: quelli che appartengono ad uno
stesso dominio di posta elettronica)
3) Nessuna applicazione kerberos-aware va modificata, se non il pkinit
ed il KDC (leggi: posta, spnego web, ...)
4) Flessibilita' nelle chiavi: se un dipendente lascia l'azienda,
basta marcare l'utenza in "disabled". L'utente potra' riutilizzare la
stessa chiave o la stessa smartcard dapertutto.... il che tornerebbe
utile in un caso di federazione.
5) La chiave ritorna utile per la posta e per la crittografia del
disco locale :-D
6) Potrebbe essere piu' vantaggiosa per reti piccole SOHO o operazioni
disconnesse (kdc locali)

Contro:

1) Non esiste nessuna implementazione, leggi s'adda coda'
2) Riguardo al punto precedente, per windows anche meno ... e ci sono
piu' problemi
3) La gerarchia potrebbe essere alcune volte un vantaggio....
4) Performance. In una PKI, ti fidi della CA e vedi se il certificato
non e' il CRL, il che potrebbe essere piu' veloce di fare un lookup
della singola chiave pubblica.
5) Non funzionerebbe se non in ambito kerberos. Esiste una
implementazione GPG-auth, ma non mi piace il fatto che l'utente debba
mettere il proprio userid (http://www.gpgauth.com/)
6) Tutti usano le PKI, ci sara' pure un motivo ..... o e' solo economico?

Voi che ne pensate?
Quali potrebbero essere altri contro che mi potessero dire "ma lascia
perdere" ????
Ciao ciao,
   Gippa

Data:
- precedente: [ml] Progetto KisMAC in chiusura, Giuseppe Paternò (Gippa)
- successivo: Re: [ml] Telefoni VOIP e DOS, Enrico Pasqualotto
- indice

Argomento:
- precedente: [ml] Progetto KisMAC in chiusura, Giuseppe Paternò (Gippa)
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005