Re: Self-certifying File System

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Ottobre 2002 ml@sikurezza.org
Soggetto: Re: Self-certifying File System
Mittente: Claudio Telmon
Data: 27 Oct 2002 12:12:09 -0000

Ed3f wrote:
> 
> 
> L'idea di sostituire NFS con qualcosa di più astuto (vogliamo dirlo così ?)
> sarebbe ottima, ma quanto è valido lo schema di autocertificazione ?
> 

Premetto che non ho letto il codice e neanche il manuale, solo la faq. 
L'idea di cifrare il traffico di un filesystem distribuito è 
naturalmente buona, anche se sono un po' perplesso sulle prestazioni che 
citano; lo è anche usare chiavi pubbliche per l'autenticazione del server.
Detto questo, qualche commento; prima di tutto, l'affermazione che non 
"gestiscono" le chiavi è un po' fasulla: di fatto, mettendo l'hash della 
chiave nel "nome" del filesystem, stanno gestendo la chiave; e 
naturalmente, gestiscono la chiave quando trasferiscono in modo (si 
spera) sicuro il suddetto hash; se è possibile interferire con questo 
trasferimento, tutto il castello cade. Come sempre, una gestione manuale 
o artigianale funziona bene quando i numeri sono piccoli; oltre, si 
troverebbero davanti i soliti problemi. Se poi la questione è che usano 
hash di chiavi anzichè certificati x.509, da quando con openssl è banale 
farsi i certificati in casa la distinzione mi sembra trascurabile.
Ho anche qualche perplessità su uno dei requisiti: per compilare 1M di 
codice dicono di aver bisogno di 550M di spazio...
Comunque, sulla qualità di un filesystem distribuito pesano molto cose, 
come la capacità di sopravvivere ai problemi di rete, ai reboot ed altro 
senza perdere file e senza lasciarli in uno stato inconsistente. Oltre 
naturalmente alle prestazioni, per le quali nfs usa udp. A dire la 
verità, leggendo la faq, SFS sembra destinato ad un uso personale e 
artigianale, come indica anche il fatto che dice più volte che funziona 
anche senza l'intervento dell'amministratore... salvo poi dire che 
bisogna creare un utente e un gruppo apposta, cosa che solo 
l'amministratore può fare.

ciao

- Claudio

-- 

Claudio Telmon
claudio@telmon.org
http://www.telmon.org

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- Self-certifying File System, Ed3f

Data:
- precedente: Re: primalita', tho
- successivo: R: Una brutta scoperta, Gabriele Vedovati
- indice

Argomento:
- precedente: Self-certifying File System, Ed3f
- successivo: Il duopolio della firma digitale AIPA ?, Mr KabuySmell
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005