PD
Схема Шамира. Генерация пачки ключей - на отдельной вируалке у СБшника. Админк отдают только его часть.
Size: a a a
2019 July 22
PD
И это я решение на вольте не успел внедрить, там все ещё проще
PD
Но основная беда - не данные шифровать, а внутреннюю сеть, там уже защититься от админа сложнее и дороже (
AS
Constantine
Касательно взлома секретной репы -- до гос-джитхуб ещё не додумались?
Это технически невозможно в текущих реалиях. Релизы записываются на диск, гитлаб невозможен.
AS
ну а ключи, перегенерируете с увольнением?
Какие ключи? Брелок usb сдал - вот и все ключи.
AS
Дальше брелок уничтожили и всё.
AS
Про$$$ал брелок == проблемы.
Ms
ну на данный момент скопировать брелок - нетрудоемкая задача
C
Это технически невозможно в текущих реалиях. Релизы записываются на диск, гитлаб невозможен.
Почему невозможно? Один/несколько (по степени секретности) центральный сервер с пряморукими админами и жёстким мониторингом активностей. Объясните пожалуйста?
AS
ну на данный момент скопировать брелок - нетрудоемкая задача
Так и ключи украсть с виндовой машины - нетривиальная.
AS
Плюс брелка в том, что заранее известен виноватый.
AS
Не абстрактный идиот "а мы тут по одному ключу по ссш ходим", а конкретно тот, кому выдали.
Ms
2fa решает эти проблемы, аннулировал доступ и досвидания
AS
Сильно отрезвляет, да
AS
2fa решает эти проблемы, аннулировал доступ и досвидания
Так и брелок отозвал, и привет.
Ms
с активной сессией?
C
Брелок с биометрией бывает? По отпечатку пальца?
AS
с активной сессией?
Что мешает дропнуть сессию VPN?
AS
Constantine
Брелок с биометрией бывает? По отпечатку пальца?
Были такие, лично видел в МТС. Втыкались в USB. Пошло ли это в массы - мне неведомо.
Ms
Что мешает дропнуть сессию VPN?
знать про нее надо