• Бесплатный ВЕБИНАР по OSINT с Екатериной Тьюринг: ➡️9 февраля в 19:00 (мск) пройдет урок

    Как безопасно искать информацию в открытых источниках

    🔥 Записаться 🔥

замена Id файла, смена публичных ключей, ресертификация

  • Автор темы Автор темы root
  • Дата начала Дата начала
R

root

добрый день, задача такая
у пользователя распространили его id по разным компам, так как пароль храниться в Id файле, есть необходимость заблокировать все распространенные ранее id файлы. Как это решить. Можно не пере выпуском Id файла.
спасибо.
 
если не ошибаюсь надо включить для этого юзера Check password
в документе пользователя, последння закладка

тогда после последнего входа запишеться хеш актуального пароля ( Password digest ), и под другими паролями пускать не должно
 
Morpheus сказал(а):
если не ошибаюсь надо включить для этого юзера Check password
в документе пользователя, последння закладка

тогда после последнего входа запишеться хеш актуального пароля ( Password digest ), и под другими паролями пускать не должно
Нажмите, чтобы раскрыть...

Лучше поставьте
Compare public keys: Enforce key checking for Notes users and Domino Servers ...
Намного надежнее
Делаете Recertify Id пользователя. Теперь только этот Id актуален. С другими id болше на сервер не зайдешь

P.S. Check password - штука не надежная
 
HotDog сказал(а):
Делаете Recertify Id пользователя.
Нажмите, чтобы раскрыть...
Наверное, все-таки не ресертифицировать, а сменить публичный ключ. Цитата из хелпа:
If you suspect that an ID has been compromised because it was lost, stolen, or copied without permission, you can create a new public key for the ID. Creating a new public key allows you to maintain other parts of the ID -- for example, the encryption keys -- rather than create an entirely new ID.

Notes users can create a new public key for the Notes certificate. The new public key must be certified before it can be used by Notes.

After certifying a new public key, you should set up servers to verify public keys. Public key verification involves matching the public key stored in the Domino Directory with the public key on the ID. Verifying public keys prevents an unauthorized user from using the ID with the original public key to access the server.
Нажмите, чтобы раскрыть...
 
Мыш сказал(а):
Наверное, все-таки не ресертифицировать, а сменить публичный ключ. Цитата из хелпа:
Нажмите, чтобы раскрыть...

Сделайте recertify и посмотрите в ID либо в документе Person пользователя. Ключ изменится.
id отдаете пользователю "в руки"

Мыш сказал(а):
Notes users can create a new public key for the Notes certificate. The new public key must be certified before it can be used by Notes.
Нажмите, чтобы раскрыть...
Вы на 100% уверены что это настоящий пользователь запросил смену ключей, а не злоумышленник?
 
HotDog сказал(а):
Вы на 100% уверены что это настоящий пользователь запросил смену ключей, а не злоумышленник?
Нажмите, чтобы раскрыть...

Нет. Но если "отдать лично в руки" нельзя (пользователь удаленнный), то тоже нет 100% гарантии. Да ее вообще никогда нет - ибо "честный" пользователь может быть в сговоре со злоумышленником :-)
HotDog сказал(а):
Сделайте recertify
Нажмите, чтобы раскрыть...
Вы имеете в виду именно recertify или создание вообще нового ID-файла?
 
Мыш сказал(а):
Нет. Но если "отдать лично в руки" нельзя (пользователь удаленнный), то тоже нет 100% гарантии. Да ее вообще никогда нет - ибо "честный" пользователь может быть в сговоре со злоумышленником :-)

Вы имеете в виду именно recertify или создание вообще нового ID-файла?
Нажмите, чтобы раскрыть...

Сделать recertify существующго id пользователя, а точнее в админе вкладка Configuration->Certification->Certify...
Выбираете сервер, id сертификатора, потом id пользователя...
 
HotDog сказал(а):
Сделать recertify существующго id пользователя, а точнее в админе вкладка Configuration->Certification->Certify...
Выбираете сервер, id сертификатора, потом id пользователя...
Нажмите, чтобы раскрыть...
Простите, а Вы сами пробовали этот способ? Я - да, и он не работает. Ибо при ресертификации меняется сертификат (что и отражается в АК), а не публичный ключ. А опция "Compare public keys" работает именно с ключами.

Опять вы путаете понятие публичного ключа и сертификата...
 
Мыш сказал(а):
Простите, а Вы сами пробовали этот способ? Я - да, и он не работает. Ибо при ресертификации меняется сертификат (что и отражается в АК), а не публичный ключ. А опция "Compare public keys" работает именно с ключами.

Опять вы путаете понятие публичного ключа и сертификата...
Нажмите, чтобы раскрыть...

Найдите определение сертификата, из чего он состоит, и у Вас в голове все станет ясно.
 
HotDog сказал(а):
Найдите определение сертификата, из чего он состоит, и у Вас в голове все станет ясно.
Нажмите, чтобы раскрыть...
Не вопрос. Открываем хелп 8.5:
A certificate is a unique digital signature that identifies a user or server. Server and user IDs contain one or more IBM® Lotus® Notes® certificates.
<...>
A certificate contains:

* The name of the certifier that issued the certificate.
* The name of the user or server to whom the certificate was issued.
* A public key that is stored in both the IBM® Lotus® Domino® Directory and the ID file. Lotus Notes uses the public key to encrypt messages that are sent to the owner of the public key and to validate the ID owner's signature.
* A digital signature.
* The expiration date of the certificate.
Нажмите, чтобы раскрыть...
Итак, публичный ключ входит в состав сертификата. Вы уперлись во фразу, что публичный ключ хранится в Domino Directory? Читаем внимательно дальше:
Certificates are stored in ID files and in Person, Server, and Certifier documents in the Domino Directory. They are also referred to as Lotus Notes certified public keys.
Нажмите, чтобы раскрыть...
Итак, сертификаты хранятся в Domino Directory и также нызываются сертифицированными публичными ключами (certified public keys). Заходим в Domino Directory, открываем документ Person, находим поле, которое называется как? - правильно - Notes certified public key.

Итак, в Domino Directory хранятся сертификаты, которые, действительно, меняются при ресертификации (меняется и содержимое этого поля). Однако смена публичных ключей тут совсем ни при чем. Еще одно доказательство - статья от IBM:
Ссылка скрыта от гостей

Там предлагается создать новый ID-файл пользователя или даже новый cert.id - но никак не пересертифицировать имеющийся ID.
Про смену ключа я уже приводил цитату - там тоже речь не идет о пересертификации ID, а именно о запросе нового публичного ключа.
Все понятно? %)
 
Мыш
+1

И не поленился ведь, такой research проделал. Молодца!!!

HotDog заценил?

И в голове у всех стало ясно, а над головой появился нимб"
 
Мыш сказал(а):
при ресертификации меняется сертификат (что и отражается в АК), а не публичный ключ. А опция "Compare public keys" работает именно с ключами.

Опять вы путаете понятие публичного ключа и сертификата...
Нажмите, чтобы раскрыть...
Мыш сказал(а):
Итак, сертификаты хранятся в Domino Directory и также нызываются сертифицированными публичными ключами (certified public keys). Заходим в Domino Directory, открываем документ Person, находим поле, которое называется как? - правильно - Notes certified public key.

Итак, в Domino Directory хранятся сертификаты, которые, действительно, меняются при ресертификации (меняется и содержимое этого поля).
Нажмите, чтобы раскрыть...
Что-то я не догоняю, в чём HotDog не прав-то? Ресертификация меняет сертификат (он же сертифицированный публичный ключ)? — Меняет. Злоумышленник сможет зайти на сервер со старым id-файлом при включенной опции Compare public keys? — Не сможет. Кому нимб-то давать?
 
nvy сказал(а):
Злоумышленник сможет зайти на сервер со старым id-файлом при включенной опции Compare public keys?
Нажмите, чтобы раскрыть...
Сможет. Потому что сам публичный ключ не меняется при ресертификации.
Давайте копнем поглубже. При создании ID-файла для пользователя создается пара ключей - публичный и личный.
Далее создается, грубо говоря, как-бы-запись вида: "Данный пуб. ключ принадлежит пользователю с именем Ivan Ivanov/Org. Срок действия данного утверждения - до xx/xx/xx. Это сказал я - сертификатор с именем /Org." И заверяется эта ка-бы-запись цифровой подписью сертификатора. Далее она добавляется в сертификат пользователя.
Казалось бы - зачем такие сложности? Для защиты ключа, ибо сам он - просто очень большое число. Без привязки его к имени пользователя и к имени сертификатора откуда Вы узнаете, что шифруете этим ключом почту именно для Ivan Ivanov из компании /Org, а не для злобного хакера Вовочки? Просто доверяете содержимому Domino Directory? Дык его можно очень легко ручками поправить. А если это вообще сторонний пользователь?

Попробуйте ресертифицировать имеющийся ID-файл пользователя (через меню Certify в Administrator'e). Что Вы там можете поменять? Правильно - характеристики как-бы-записи - срок действия, имя сертификатора, можно добавить имя пользователя. Но про смену ключа там нет ни слова. Ибо он сам и не меняется при ресертификации. А меняются именно параметры как-бы-записи -как правило, просто продлевается время действия сертификата.
nvy сказал(а):
Ресертификация меняет сертификат (он же сертифицированный публичный ключ)? — Меняет.
Нажмите, чтобы раскрыть...
Меняет - но не сам ключ, а информацию, заверяющую его, подтверждающую его валидность (например, продлевает время его действия). Тут, на самом деле, IBM использовал крайне неудачный термин certified public key. Думайте о нем как о сертификате - и все станет ясно (certify и recertify - это именно заверение и перезаверение).
ЗЫ. ВО, нашел понятную аналогию :-) . ФирмаА оплачивает ФирмеБ товар по безналу. За товаром в фирмуБ приезжает человек - это публичный ключ. Что у него должно быть? Правильно - доверенность от фирмыА (сертификат), подтверждающая (заверяющая) его полномочия получить этот товар. И этот человек может приезжать за различными товарами хоть сто раз (ключ не меняется). Просто все это время фирмаА продолжает ему доверять - ресертифицирует его новой доверенностью. А вот если однажды он полученный товар присвоил, продал и пропил, то фирмаА, по идее, должна перестать доверять этому человеку (ключу). Т.е., в след. раз за товаром приедет наверняка другой человек (новый ключ). Но тоже обязательно с доверенностью. А вот если фирмаА продолжает ресертифицировать вора (выписывать ему новые доверенности), то он спокойно сможет получать и пропивать товар и дальше - ибо сама-то доверенность валидна, на ее основании нельзя ему отказать в выдаче товара. Ибо в доверенностях не пишется, что человек - мошенник! :-)))
 
Неплохо бы такую доходчивую аналогию от Мыша перенести в раздел Lotus - FAQ. :rolleyes: Да и вообще всю ветку обсуждения данной темы, где присутствует и постановка задачи и разбор вариантов решения - какие из них неработоспособны и почему.
 
nvy сказал(а):
Что-то я не догоняю, в чём HotDog не прав-то? Ресертификация меняет сертификат (он же сертифицированный публичный ключ)? — Меняет.
Нажмите, чтобы раскрыть...
Ниже уже объяснили, но я попробую др.словами.
"сертификат - он же сертифицированный публичный ключ" - неверно.

Сертификат, грубо говоря, ПОДПИСЬ (с датой и именем подписанта) на публичном ключе, а не сам ключ
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ