Journal OpenSSH : un patch PKI

Posté par TuxPierre le 05 décembre 2006 à 09:36.

Étiquettes : aucune

déc.

2006

Voila quelquechose qui pourrait interesser plus d'une personne, je pense. Damiel Hartmeier (le createur de pf entre autre) vient de publier un patch permettant d'ajouter une PKI a OpenSSH.
Tout est fonctionnel et un daemon permettant une "validation simple" des cles a meme ete ecrit "from scratch" (le serveur ssh l'interroge via le port udp 22).

Les fonctionnalites de ce patch sont les suivantes:

* Handle the role of the known_hosts file
* Handle the role of the authorized_keys file
* Be network independant
* Provide a way of quickly and sanely revoking keys
* Rely on lightweight protocols, keep complicated libraries out of OpenSSH

Attention : a l'heure actuelle, rien n'a ete integre au CVS de OpenSSH. Le sujet est encore a la discussion. Mais le patch existe !

Plus d'infos ici :
http://undeadly.org/cgi?action=article&sid=2006120416124(...) pour l'annonce
http://marc.theaimsgroup.com/?l=openbsd-tech&m=116370144(...) pour le daemon de validation

# Kesako ?

Posté par jjl (site web personnel) le 05 décembre 2006 à 11:28. Évalué à 7.

Si comme moi, ca ne vous parle pas :

PKI: Public Key Infrastructure ou Infrastructure à clés publiques

Si j'ai bien suivit, c'est un système centralisé de gestion des clefs (generation, revocation, identification ...)
http://fr.wikipedia.org/wiki/Infrastructure_%C3%A0_cl%C3%A9s(...)

Bon, je me coucherai moins con ce soir, c'est déjà ca.
# Pourquoi un nouveau patch ?

Posté par Bruno Bonfils (site web personnel) le 05 décembre 2006 à 12:34. Évalué à 5.

Pourquoi un nouveau patch alors que celui de Roumen Petrov fonctionne très bien ?
- [^] # Re: Pourquoi un nouveau patch ?
  
  Posté par gaston le 05 décembre 2006 à 14:43. Évalué à 2.
  
  Parce que celui-la est de Danier Hartmeier en personne ? :)
  
  ( pour ceux qui connaissent pas, y'a une version patchée de OpenSSH ici : http://roumenpetrov.info/openssh/ )
  - [^] # Re: Pourquoi un nouveau patch ?
    
    Posté par Raphaël SurcouF (site web personnel) le 07 décembre 2006 à 00:28. Évalué à 1.
    
    Pour ceux qui se posent la question mais qui sont trop fainéants pour chercher, il s'agit de l'auteur original de Packet Filter dit pf, le parefeu d'OpenBSD. Maintenant, qu'on soit l'auteur de pf ou pas ne donne pas forcément plus de crédit pour un patch sur OpenSSH (à part auprès des développeurs d'OpenSSH, sans doute).
    
    Interview de Daniel Hartmeier sur kerneltrap :
    http://kerneltrap.org/node/477
- [^] # Re: Pourquoi un nouveau patch ?
  
  Posté par Krunch (site web personnel) le 07 décembre 2006 à 10:12. Évalué à 2.
  
  Ermm.. if I remember this is very different. This just adds in some of the X.509 stuff, but doesn't try to be a complete solutions like what is attempting to be done.
  http://undeadly.org/cgi?action=article&sid=2006120416124(...)
  pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
  - [^] # Re: Pourquoi un nouveau patch ?
    
    Posté par Bruno Bonfils (site web personnel) le 09 décembre 2006 à 20:07. Évalué à 1.
    
    Ok, je vois, j'ai juste le présent journal et pensais que c'était un patch pki au sens pkix (x509)
    
    This just adds in some of the X.509 stuff, but doesn't try to be a complete solutions like what is attempting to be done.
    
    Certes, mais pas très interopérable tout ça

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.