взаимная аутентификация в автономном режиме

Я новичок в шифровании и взаимной аутентификации. У меня должен быть сервер, который выдает сертификаты (возможно, на самозаверяющей машине Linux) и клиенты, которые обращаются к этому серверу, чтобы получить сертификат, а затем эти клиенты устанавливают взаимную аутентификацию между собой, проверяя сертификат, выданный сервером, без обращения к сервер (т.е. в автономном режиме).

Может ли кто-нибудь указать мне правильные видеоуроки или ссылки на код и описание, которые могут быть полезны для достижения вышеуказанного сценария.

Спасибо.


security x509 mutual-authentication
person lone_wolf    schedule 20.06.2016    source источник
comment
Очень нужно больше информации. Будут ли тысячи клиентов? Захочет ли клиент общаться с несколькими другими клиентами? Тогда будет ли каждому клиенту нужен открытый ключ каждого клиента, с которым он будет общаться? Как приложение для обмена сообщениями? На самом деле будет лучше, если вы откажетесь от конкретики и представите то, чего вы пытаетесь достичь, более подробно.   -  person zaph    schedule 21.06.2016
comment
Stack Overflow — это сайт для вопросов по программированию и разработке. Этот вопрос кажется не по теме, потому что он не о программировании или разработке. См. раздел О каких темах я могу задать здесь в Справочном центре. Возможно, лучше задать вопрос на сайте Information Security Stack Exchange. Также Где размещать вопросы о Dev Ops?.   -  person jww    schedule 21.06.2016

Ответы (1)


arrow_upward
1
arrow_downward

Может ли кто-нибудь указать мне правильные видеоуроки или ссылки на код и описание, которые могут быть полезны для достижения вышеуказанного сценария.

Вы не предоставили достаточно информации. Вот некоторые вещи, которые могут указать вам правильное направление.

Если один и тот же издатель выдает сертификаты для сервера и клиентов (например, внутренний ЦС организации), то это традиционный PKIX с клиентскими сертификатами.

Если клиент хочет использовать свой собственный сертификат, никем не выпущенный, проверьте Привязанные сертификаты происхождения. Это «отрывные» сертификаты, и клиенты генерируют их «на лету» по мере необходимости.

Существует также техника, созданная человеком по имени Jake Thompson, который умело использует тег <keygen> для создания канала с взаимной аутентификацией для предотвращения атак MitM, которым способствуют браузеры.

Браузеры заявляют о перехвате, и MitM является допустимым вариантом использования в их моделях безопасности. Между прочим, полезность <keygen> для противодействия MitM является одной из невысказанных причин, по которой тег <keygen> исчезает. Это нарушает модель перехвата браузера.

person jww    schedule 21.06.2016
comment
После создания CSR на двух клиентских машинах, как я могу получить для них подписанный сертификат от самозаверяющего ЦС на основе сгенерированного CSR? - person lone_wolf; 21.06.2016
comment
@sharath - Как вы подписываете запрос на подпись сертификата в своем центре сертификации? - person jww; 22.06.2016