Managing Certificates, IDs, and Keys

Tak takhle akční přednášku jsem tady snad ještě neměl. Rob Axelrod měl v sobě takového elánu, že se mu zatím nemohl nikdo rovnat. A i v naprosto jasných oblastech měl spoustu nových informací.

Tak třeba – k čemu vlastně slouží heslo k notes.id? Jasně, k jeho ochraně. Ale k čemu přesně? Pomocí tohoto hesla je totiž zašifrován privátní klíč uživatele. Wow.

Proč není možné uživateli obnovit heslo stejně snadno jako třeba ve Windows? Protože tím heslem je přeci šifrován privátní klíč.

Co se do ID zapisuje při vytváření? Vytvoří se kombinace privátního a veřejného klíče, přidají se podepsané informace o certifikátu, takže díky tomu se vždy ví, ke kterému certifikátu ID patří.

Jak funguje ověřování při komunikaci se serverem? Člověk pošle serveru certifikát, který má v ID, server ho ověří a pokud se to povede, tak certifikát musí sedět. Potom server vygeneruje náhodné číslo a pošle ho klientovi k zašifrování. Ten ho zašifruje a pošle zpátky na server, který ho zkusí dešifrovat. Ovšem, standardně, ho dešifruje klíčem, který mu poslal také klient. Pouze pokud se v server dokumentu zvolí „Check public keys“ tak to dešifruje pomocí klíče, který je v záznamu člověka. Tak tahle informace mě dostala, to jsem opravdu netušil.

Proč, když se kouknu na certifikáty v mém ID, jsou tam dva záznamy s mým jménem? Protože jeden je pro North America certifikát a druhý pro International verzi. Sice už v dnešní době jsou oba klíče stejně dlouhé, ale zůstává to tam z historických důvodů.

Je 630 bitový klíč, který se používá v R6 slabý? Jasně, někteří špičkový vědci vzali 80 2,2GHz procesorů a za tři měsíce to dešifrovali. Takže 1024 bitová délka v ND7 může být opravdu jenom pro bojácné.

Mění se při přesunu člověka do jiného OU jeho klíče, bude mít možnost číst své zašifrované maily? Klíče zůstávají stejné, mění se pouze informace o certifikátu, takže nebude mít problémy.

Když udělám Key roll-over (novinka v ND7) budu mít přístup ke svým šifrovaným mailům? Ano, přístup zůstává i nadále.

Key roll-over – novinka ve verzi 7, kterou jsem si chtěl hned vyzkoušet, protože vypadá úžasně. Když jsem viděl, kolika dialogy to zásobí klienta (protože kombinaci privátní/veřejný klíč může vygenerovat jenom klient) tak už mi to tak úžasné nepřijde. Sám bych asi měl problém, tomu všemu porozumět a bezhlavě to potvrdit. A nesmím zapomenout, aby to fungovalo tak musí mít člověk rozfungovat Certifikační Autoritu (CA), což není problém, naopak bych to doporučil. Nicméně pro servery se Key roll-over doporučuje, protože se to neptá, ID serveru je dostupné každému kdo má přístup k serveru a většinou ID není hlídáno heslem.

Certifikační autorita – tak to je bomba, kterou jsem sice ještě u klientů nasadit nestačil (protože tam skoro nevytváříme nové uživatele), ale budu muset, nejpozději při registraci dalšího člověka. Sestává z ICL databáze, kde se vše zaznamenává a která je jedna pro každý certifikát, a pak už je do toho zaintegrována adresní kniha i administrační requesty. Člověk po nastavení nesmí zapomenout pustit CA (a nastavit její automatické spouštění), protože jinak by se nedočkal správného ID (ihned po vygenerování obsahuje pouze část informací, další doplní CA). A proč to nastavit? Protože nemusím mít přístup k certifikačnímu ID a protože můžu registrovat lidi přes web. S tím, že to první je pro mě nejdůležitější, protože díky tomu může lidi registrovat každý, i ti, kteří se toho dříve kvůli nějakým certifikátům báli.

Když se to nastvuje, tak si člověk může zvolit čím se má certifikační ID šifrovat. Nejlepší volbou je server.id, protože funguje automaticky. Obě ostatní volby (speciální ID nebo heslo) vyžadují po restartu serveru zadání hesla a případně i ID souboru. A celé to má jedinou nevýhodu – standardně to chvilku trvá, přibližně 0,5 – 1 hodina, než se to zprocesuje. Tedy než servery proreplikují a proběhne administrační proces. Což většinou nevadí, ale občas by to člověk potřeboval popohnat (což naštěstí může, ale není to tak jednoduché jako „standardní“ certifikace).

Poslední dvě krátké informace. Od verze 6.5.x (kde x znamená nevím přesně, nikoliv od libovolné) se už password recovery neprosí uživatele o odeslání kopii jeho ID, ale posílá ho automaticky. A od některé verze je možné v Security policy nastavit, jak dlouho dopředu bude uživatel upozorňován na blížící se vypršení platnosti certifikátu v ID. Konečně to jde nastavit a nebude to standard, hurá. A dokonce mohu přidat vlastní hlášku!

A úplně poslední perlička. Vždycky tvrdím, že helpy v LN jsou jedny z nejlepších. A všichni mi to doporučují – každý nabízí nějaké tipy na další zdroje, ale všichni mezi nimi jmenují help a říkají jak je v této oblasti kvalitní. Stěžoval si zatím snad jenom Andy, že Tivoli Monitoring byl v helpu schován pod nějakou né úplně související položkou.

Leave a Reply