замена Id файла, смена публичных ключей, ресертификация

[root]

добрый день, задача такая
у пользователя распространили его id по разным компам, так как пароль храниться в Id файле, есть необходимость заблокировать все распространенные ранее id файлы. Как это решить. Можно не пере выпуском Id файла.
спасибо.

 

[morpheus]

если не ошибаюсь надо включить для этого юзера Check password
в документе пользователя, последння закладка

тогда после последнего входа запишеться хеш актуального пароля ( Password digest ), и под другими паролями пускать не должно

 

[HotDog]

если не ошибаюсь надо включить для этого юзера Check password
в документе пользователя, последння закладка

тогда после последнего входа запишеться хеш актуального пароля ( Password digest ), и под другими паролями пускать не должно

Лучше поставьте
Compare public keys: Enforce key checking for Notes users and Domino Servers ...
Намного надежнее
Делаете Recertify Id пользователя. Теперь только этот Id актуален. С другими id болше на сервер не зайдешь

P.S. Check password - штука не надежная

 

[Мыш]

Делаете Recertify Id пользователя.

Наверное, все-таки не ресертифицировать, а сменить публичный ключ. Цитата из хелпа:

If you suspect that an ID has been compromised because it was lost, stolen, or copied without permission, you can create a new public key for the ID. Creating a new public key allows you to maintain other parts of the ID -- for example, the encryption keys -- rather than create an entirely new ID.

Notes users can create a new public key for the Notes certificate. The new public key must be certified before it can be used by Notes.

After certifying a new public key, you should set up servers to verify public keys. Public key verification involves matching the public key stored in the Domino Directory with the public key on the ID. Verifying public keys prevents an unauthorized user from using the ID with the original public key to access the server.

 

[HotDog]

Наверное, все-таки не ресертифицировать, а сменить публичный ключ. Цитата из хелпа:

Сделайте recertify и посмотрите в ID либо в документе Person пользователя. Ключ изменится.
id отдаете пользователю "в руки"

Notes users can create a new public key for the Notes certificate. The new public key must be certified before it can be used by Notes.

Вы на 100% уверены что это настоящий пользователь запросил смену ключей, а не злоумышленник?

 

[Мыш]

Вы на 100% уверены что это настоящий пользователь запросил смену ключей, а не злоумышленник?

Нет. Но если "отдать лично в руки" нельзя (пользователь удаленнный), то тоже нет 100% гарантии. Да ее вообще никогда нет - ибо "честный" пользователь может быть в сговоре со злоумышленником

Сделайте recertify

Вы имеете в виду именно recertify или создание вообще нового ID-файла?

 

[HotDog]

Нет. Но если "отдать лично в руки" нельзя (пользователь удаленнный), то тоже нет 100% гарантии. Да ее вообще никогда нет - ибо "честный" пользователь может быть в сговоре со злоумышленником

Вы имеете в виду именно recertify или создание вообще нового ID-файла?

Сделать recertify существующго id пользователя, а точнее в админе вкладка Configuration->Certification->Certify...
Выбираете сервер, id сертификатора, потом id пользователя...

 

[Мыш]

Сделать recertify существующго id пользователя, а точнее в админе вкладка Configuration->Certification->Certify...
Выбираете сервер, id сертификатора, потом id пользователя...

Простите, а Вы сами пробовали этот способ? Я - да, и он не работает. Ибо при ресертификации меняется сертификат (что и отражается в АК), а не публичный ключ. А опция "Compare public keys" работает именно с ключами.

Опять вы путаете понятие публичного ключа и сертификата...

 

[HotDog]

Простите, а Вы сами пробовали этот способ? Я - да, и он не работает. Ибо при ресертификации меняется сертификат (что и отражается в АК), а не публичный ключ. А опция "Compare public keys" работает именно с ключами.

Опять вы путаете понятие публичного ключа и сертификата...

Найдите определение сертификата, из чего он состоит, и у Вас в голове все станет ясно.

 

[Мыш]

Найдите определение сертификата, из чего он состоит, и у Вас в голове все станет ясно.

Не вопрос. Открываем хелп 8.5:

A certificate is a unique digital signature that identifies a user or server. Server and user IDs contain one or more IBM® Lotus® Notes® certificates.
<...>
A certificate contains:

* The name of the certifier that issued the certificate.
* The name of the user or server to whom the certificate was issued.
* A public key that is stored in both the IBM® Lotus® Domino® Directory and the ID file. Lotus Notes uses the public key to encrypt messages that are sent to the owner of the public key and to validate the ID owner's signature.
* A digital signature.
* The expiration date of the certificate.

Итак, публичный ключ входит в состав сертификата. Вы уперлись во фразу, что публичный ключ хранится в Domino Directory? Читаем внимательно дальше:

Certificates are stored in ID files and in Person, Server, and Certifier documents in the Domino Directory. They are also referred to as Lotus Notes certified public keys.

Итак, сертификаты хранятся в Domino Directory и также нызываются сертифицированными публичными ключами (certified public keys). Заходим в Domino Directory, открываем документ Person, находим поле, которое называется как? - правильно - Notes certified public key.

Итак, в Domino Directory хранятся сертификаты, которые, действительно, меняются при ресертификации (меняется и содержимое этого поля). Однако смена публичных ключей тут совсем ни при чем. Еще одно доказательство - статья от IBM:

Ссылка скрыта от гостей

Там предлагается создать новый ID-файл пользователя или даже новый cert.id - но никак не пересертифицировать имеющийся ID.
Про смену ключа я уже приводил цитату - там тоже речь не идет о пересертификации ID, а именно о запросе нового публичного ключа.
Все понятно? %)

 

[puks]

Мыш
+1

И не поленился ведь, такой research проделал. Молодца!!!

HotDog заценил?

И в голове у всех стало ясно, а над головой появился нимб"

 

[nvyush]

при ресертификации меняется сертификат (что и отражается в АК), а не публичный ключ. А опция "Compare public keys" работает именно с ключами.

Опять вы путаете понятие публичного ключа и сертификата...

Итак, сертификаты хранятся в Domino Directory и также нызываются сертифицированными публичными ключами (certified public keys). Заходим в Domino Directory, открываем документ Person, находим поле, которое называется как? - правильно - Notes certified public key.

Итак, в Domino Directory хранятся сертификаты, которые, действительно, меняются при ресертификации (меняется и содержимое этого поля).

Что-то я не догоняю, в чём HotDog не прав-то? Ресертификация меняет сертификат (он же сертифицированный публичный ключ)? — Меняет. Злоумышленник сможет зайти на сервер со старым id-файлом при включенной опции Compare public keys? — Не сможет. Кому нимб-то давать?

 

[Мыш]

Злоумышленник сможет зайти на сервер со старым id-файлом при включенной опции Compare public keys?

Сможет. Потому что сам публичный ключ не меняется при ресертификации.
Давайте копнем поглубже. При создании ID-файла для пользователя создается пара ключей - публичный и личный.
Далее создается, грубо говоря, как-бы-запись вида: "Данный пуб. ключ принадлежит пользователю с именем Ivan Ivanov/Org. Срок действия данного утверждения - до xx/xx/xx. Это сказал я - сертификатор с именем /Org." И заверяется эта ка-бы-запись цифровой подписью сертификатора. Далее она добавляется в сертификат пользователя.
Казалось бы - зачем такие сложности? Для защиты ключа, ибо сам он - просто очень большое число. Без привязки его к имени пользователя и к имени сертификатора откуда Вы узнаете, что шифруете этим ключом почту именно для Ivan Ivanov из компании /Org, а не для злобного хакера Вовочки? Просто доверяете содержимому Domino Directory? Дык его можно очень легко ручками поправить. А если это вообще сторонний пользователь?

Попробуйте ресертифицировать имеющийся ID-файл пользователя (через меню Certify в Administrator'e). Что Вы там можете поменять? Правильно - характеристики как-бы-записи - срок действия, имя сертификатора, можно добавить имя пользователя. Но про смену ключа там нет ни слова. Ибо он сам и не меняется при ресертификации. А меняются именно параметры как-бы-записи -как правило, просто продлевается время действия сертификата.

Ресертификация меняет сертификат (он же сертифицированный публичный ключ)? — Меняет.

Меняет - но не сам ключ, а информацию, заверяющую его, подтверждающую его валидность (например, продлевает время его действия). Тут, на самом деле, IBM использовал крайне неудачный термин certified public key. Думайте о нем как о сертификате - и все станет ясно (certify и recertify - это именно заверение и перезаверение).
ЗЫ. ВО, нашел понятную аналогию . ФирмаА оплачивает ФирмеБ товар по безналу. За товаром в фирмуБ приезжает человек - это публичный ключ. Что у него должно быть? Правильно - доверенность от фирмыА (сертификат), подтверждающая (заверяющая) его полномочия получить этот товар. И этот человек может приезжать за различными товарами хоть сто раз (ключ не меняется). Просто все это время фирмаА продолжает ему доверять - ресертифицирует его новой доверенностью. А вот если однажды он полученный товар присвоил, продал и пропил, то фирмаА, по идее, должна перестать доверять этому человеку (ключу). Т.е., в след. раз за товаром приедет наверняка другой человек (новый ключ). Но тоже обязательно с доверенностью. А вот если фирмаА продолжает ресертифицировать вора (выписывать ему новые доверенности), то он спокойно сможет получать и пропивать товар и дальше - ибо сама-то доверенность валидна, на ее основании нельзя ему отказать в выдаче товара. Ибо в доверенностях не пишется, что человек - мошенник! ))

 

[HotDog]

Согласен.

 

[Wanderstep]

Неплохо бы такую доходчивую аналогию от Мыша перенести в раздел Lotus - FAQ. Да и вообще всю ветку обсуждения данной темы, где присутствует и постановка задачи и разбор вариантов решения - какие из них неработоспособны и почему.

 

[Constantin A Chervonenko]

Что-то я не догоняю, в чём HotDog не прав-то? Ресертификация меняет сертификат (он же сертифицированный публичный ключ)? — Меняет.

Ниже уже объяснили, но я попробую др.словами.
"сертификат - он же сертифицированный публичный ключ" - неверно.

Сертификат, грубо говоря, ПОДПИСЬ (с датой и именем подписанта) на публичном ключе, а не сам ключ