Комментарии 12
Хорошо. То есть, Вы предполагаете, что у группового аккаунта в хост-системе будет для всех пользователей один и тот же UID? Вообще говоря, держать такие аккаунты никогда хорошей практикой не было. В чем сложность работы через группы/extended ACL опять же?
Если у Вас крупная сеть, то это значит, что в том или ином виде будет развернута система управления конфигурацией (Ansible, Puppet… далее на выбор) — в чем сложность «разливать» SSH ключи через нее?
В общем да, у каждого подхода есть свои плюсы и минусы — но здесь я явно вижу только упрощение работы с некоей bad practice в виде групповых аккаунтов.
И да, при чем здесь тематический хаб «Финансы в IT-индустрии»?
Если у Вас крупная сеть, то это значит, что в том или ином виде будет развернута система управления конфигурацией (Ansible, Puppet… далее на выбор) — в чем сложность «разливать» SSH ключи через нее?
В общем да, у каждого подхода есть свои плюсы и минусы — но здесь я явно вижу только упрощение работы с некоей bad practice в виде групповых аккаунтов.
И да, при чем здесь тематический хаб «Финансы в IT-индустрии»?
На ум приходят два вопроса:
1) В чем преимущество перед puppet, etc?..
2) В чем преимущество цепочки блокчаинов перед распределенной dht или централизованными хранилищами?
1) В чем преимущество перед puppet, etc?..
2) В чем преимущество цепочки блокчаинов перед распределенной dht или централизованными хранилищами?
Отвечу на оба вышерасположенных коммента сразу. Для начала процитирую Пруткова:
Многие вещи нам непонятны не потому, что наши понятия слабы; но потому, что сии вещи не входят в круг наших понятий.
Здесь мы наблюдаем нечто подобное. Вопросы оппонентов происходят из того, что они мыслят в парадигме «PKI масштаба предприятия».
Если мыслить в этих рамках, то действительно, можно использовать «puppet, etc» и про блокчейн не вспоминать. Однако рассмотренная в статье система emcSSH — это PKI всемирного масштаба. Которая будет функционировать и после того, как то или иное предприятие выйдет из бизнеса, вместе с серверами, на которых работали «puppet, etc».
Ещё раз обращу внимание: emcSSH не принадлежит кому-либо, ни частному лицу, ни организации. Независимые участники могут размещать свои ключи, другие — создавать из них группы и администирть их, третьи — импортировать уже существующие группы в те или иные проекты, в том числе — и в вновь созданные предприятия. Согласитесь, что ситуация, когда человек или группа людей переживает крах одного предприятия и создание нового — довольно типична.
Многие вещи нам непонятны не потому, что наши понятия слабы; но потому, что сии вещи не входят в круг наших понятий.
Здесь мы наблюдаем нечто подобное. Вопросы оппонентов происходят из того, что они мыслят в парадигме «PKI масштаба предприятия».
Если мыслить в этих рамках, то действительно, можно использовать «puppet, etc» и про блокчейн не вспоминать. Однако рассмотренная в статье система emcSSH — это PKI всемирного масштаба. Которая будет функционировать и после того, как то или иное предприятие выйдет из бизнеса, вместе с серверами, на которых работали «puppet, etc».
Ещё раз обращу внимание: emcSSH не принадлежит кому-либо, ни частному лицу, ни организации. Независимые участники могут размещать свои ключи, другие — создавать из них группы и администирть их, третьи — импортировать уже существующие группы в те или иные проекты, в том числе — и в вновь созданные предприятия. Согласитесь, что ситуация, когда человек или группа людей переживает крах одного предприятия и создание нового — довольно типична.
Окей, тогда продублируем еще раз:
В чем преимущество цепочки блокчаинов перед распределенной dht или централизованными хранилищами?
В том же глобальном маштабе.
Зачем мне как пользователю выгружать себе цепочку со всеми ключами всех гиков всей планеты? В данном контексте мне больше подойдет DHT или IPFS или еще что-то такое, с возможностью выборочной проверки значения по ключу.
+ практика глобального хранения своих ключей в блокчеине в маштабах «когда человек или группа людей переживает крах одного предприятия и создание нового» ведет к пагубной практике генерировать один ключ для всего и не менять его потом всю жизнь.
В чем преимущество цепочки блокчаинов перед распределенной dht или централизованными хранилищами?
В том же глобальном маштабе.
Зачем мне как пользователю выгружать себе цепочку со всеми ключами всех гиков всей планеты? В данном контексте мне больше подойдет DHT или IPFS или еще что-то такое, с возможностью выборочной проверки значения по ключу.
+ практика глобального хранения своих ключей в блокчеине в маштабах «когда человек или группа людей переживает крах одного предприятия и создание нового» ведет к пагубной практике генерировать один ключ для всего и не менять его потом всю жизнь.
> В чем преимущество цепочки блокчаинов перед распределенной dht или централизованными хранилищами?
В достоверности, которую поддерживает множество независимых майнеров. Блокчейн один, и подмена записей или создание фальшивой альтернативы ему практически невозможны.
> Зачем мне как пользователю выгружать себе цепочку со всеми ключами всех гиков всей планеты?
Так уж блокчейн устроен, что хранится всё. Ну если у Вас дефицит дискового пространства, и нет лишнего десятка гигов — остаётся посочуствовать…
> мне больше подойдет DHT или IPFS или еще что-то такое
Прекрасно! Сделайте продукт, опубликуйте! Вы измените мир к лучшему.
В достоверности, которую поддерживает множество независимых майнеров. Блокчейн один, и подмена записей или создание фальшивой альтернативы ему практически невозможны.
> Зачем мне как пользователю выгружать себе цепочку со всеми ключами всех гиков всей планеты?
Так уж блокчейн устроен, что хранится всё. Ну если у Вас дефицит дискового пространства, и нет лишнего десятка гигов — остаётся посочуствовать…
> мне больше подойдет DHT или IPFS или еще что-то такое
Прекрасно! Сделайте продукт, опубликуйте! Вы измените мир к лучшему.
>>> В достоверности, которую поддерживает множество независимых майнеров. Блокчейн один, и подмена записей или создание фальшивой альтернативы ему практически невозможны.
В том же ipfs достоверность подтверждается хэшем.
DHT как бы тоже подразумевает под собой хэш
>>> Так уж блокчейн устроен, что хранится всё. Ну если у Вас дефицит дискового пространства, и нет лишнего десятка гигов — остаётся посочуствовать…
Окей, а если цепочка будет терабайт? десятки терабайт? Канал интернета мобильный — я вот по 3g сижу. Или устройство будет мобильным?
>>> Прекрасно! Сделайте продукт, опубликуйте! Вы измените мир к лучшему.
Спасибо за мотивацию — у меня в голове эта идея уже месяц как крутиться ;)
<зануда мод он>
Вообще у Вас комментарии получаются излишне эмоциональны, имхо.
Здесь, конечно, всего лишь филиал хабра, но Вы рассказываете про технологическое решение, с ЦА в виде инженеров всех мастей (а кроме нас ключи пока мало кто использует, к сожалению). И при этом на запрос вашего видения сильных и слабых сторон вы фактами не оперируете.
Вы меня с Лебедевым не путайте, я ваш продукт говном пока не называл ;)
<зануда мод офф>
Конкретный вопрос:
В чем преимущество цепочки блокчаинов перед распределенной dht или централизованными хранилищами?
В том же ipfs достоверность подтверждается хэшем.
DHT как бы тоже подразумевает под собой хэш
>>> Так уж блокчейн устроен, что хранится всё. Ну если у Вас дефицит дискового пространства, и нет лишнего десятка гигов — остаётся посочуствовать…
Окей, а если цепочка будет терабайт? десятки терабайт? Канал интернета мобильный — я вот по 3g сижу. Или устройство будет мобильным?
>>> Прекрасно! Сделайте продукт, опубликуйте! Вы измените мир к лучшему.
Спасибо за мотивацию — у меня в голове эта идея уже месяц как крутиться ;)
<зануда мод он>
Вообще у Вас комментарии получаются излишне эмоциональны, имхо.
Здесь, конечно, всего лишь филиал хабра, но Вы рассказываете про технологическое решение, с ЦА в виде инженеров всех мастей (а кроме нас ключи пока мало кто использует, к сожалению). И при этом на запрос вашего видения сильных и слабых сторон вы фактами не оперируете.
Вы меня с Лебедевым не путайте, я ваш продукт говном пока не называл ;)
<зануда мод офф>
Конкретный вопрос:
В чем преимущество цепочки блокчаинов перед распределенной dht или централизованными хранилищами?
> В чем преимущество цепочки блокчаинов перед распределенной dht или централизованными хранилищами?
Cнова повторю. В достоверности. В том, что MIM (например, провайдер Вашего сервера) может
подменить ответ из DHT на то, что ему хочется, и тем обеспечить себе несанкционированый доступ.
То есть, в DHT будет лежать одно, а Ваш сервер, когда запросит публичный ключ приходимца, получит у MIMa
нечто совершенно другое, выданное MIMом и прохешированое как положено.
Более того, при желании MIM сможет даже сделать локальный филиал DHT, с нужными ему values и значениями хешей.
С блокчейном такой фокус не пройдёт — MIM должен постоянно майнить сильнее всей остальной сети, для
поддержки фальшивого блокчейна. Причёи начиная с блока(момента), публикации ключа, который он решил подменить.
Касаемо мобильных приложений: Блокчейн нужен только на сервере. Клиент единственный раз публикует публичный
ключ — можно даже с другого компа, не мобильного. Поэтому проблема не стоит.
Cнова повторю. В достоверности. В том, что MIM (например, провайдер Вашего сервера) может
подменить ответ из DHT на то, что ему хочется, и тем обеспечить себе несанкционированый доступ.
То есть, в DHT будет лежать одно, а Ваш сервер, когда запросит публичный ключ приходимца, получит у MIMa
нечто совершенно другое, выданное MIMом и прохешированое как положено.
Более того, при желании MIM сможет даже сделать локальный филиал DHT, с нужными ему values и значениями хешей.
С блокчейном такой фокус не пройдёт — MIM должен постоянно майнить сильнее всей остальной сети, для
поддержки фальшивого блокчейна. Причёи начиная с блока(момента), публикации ключа, который он решил подменить.
Касаемо мобильных приложений: Блокчейн нужен только на сервере. Клиент единственный раз публикует публичный
ключ — можно даже с другого компа, не мобильного. Поэтому проблема не стоит.
Окей
— То есть Эмеркон позволяет в себе надежно хранить любое ключевое слово как ключевое слово для хранения публичного ключа ценой дискового пространства, трафика и (опционально) небольшого количества вычислительных ресурсов на поддержание сети.
— В DHT вы можете надежно использовать хэш сумму ключа как ключевое слово для хранения публичного ключа или любой другой информации ценой (опционально) небольшого количества вычислительных ресурсов на поддержание сети.
— В Центральном хранилище вы можете хранить любое слово как ключевое слово для хранения публичного ключа или любой другой информации ценой (опционально) безопастности и доверия.
Дальше идет вопрос выбора за и против из вариантов и их комбинаций
Спасибо, разобрался.
Можете добавить в пост сравнение в виде таблицы.
— То есть Эмеркон позволяет в себе надежно хранить любое ключевое слово как ключевое слово для хранения публичного ключа ценой дискового пространства, трафика и (опционально) небольшого количества вычислительных ресурсов на поддержание сети.
— В DHT вы можете надежно использовать хэш сумму ключа как ключевое слово для хранения публичного ключа или любой другой информации ценой (опционально) небольшого количества вычислительных ресурсов на поддержание сети.
— В Центральном хранилище вы можете хранить любое слово как ключевое слово для хранения публичного ключа или любой другой информации ценой (опционально) безопастности и доверия.
Дальше идет вопрос выбора за и против из вариантов и их комбинаций
Спасибо, разобрался.
Можете добавить в пост сравнение в виде таблицы.
1. Эмеркоин хранит не просто слово, а пару ключ-значение. SSH-ключ выступает здесь в роли хранимого значения.
Для одного и того же поискового ключа(имени) хозяин всегда может менять значение — например, заменить устаревший или потенциально скомпрометированый ssh-ключ на новый, тем самым автоматически отозвав старый ключ. Или добавить в группу нового пользователя.
2. В DHT можно искать ключ по его хешу, да. Но как быть с комрометироваными ключами, которые надо отозвать? При замене ключа на другой — неизбежно поменяется и его хеш. Если ключ определяется его хешем — значит, нужен безопасный механизм смены хеша старого ключа на хеш нового у всех пользователей сети. То есть задача возвращается к изначальной, просто вместо самого ключа фигурирует его хеш, а проблемы управления (добавление, отзыв, группирование) остаются.
3. Да.
Для одного и того же поискового ключа(имени) хозяин всегда может менять значение — например, заменить устаревший или потенциально скомпрометированый ssh-ключ на новый, тем самым автоматически отозвав старый ключ. Или добавить в группу нового пользователя.
2. В DHT можно искать ключ по его хешу, да. Но как быть с комрометироваными ключами, которые надо отозвать? При замене ключа на другой — неизбежно поменяется и его хеш. Если ключ определяется его хешем — значит, нужен безопасный механизм смены хеша старого ключа на хеш нового у всех пользователей сети. То есть задача возвращается к изначальной, просто вместо самого ключа фигурирует его хеш, а проблемы управления (добавление, отзыв, группирование) остаются.
3. Да.
1) Да, именно это я и написал\имел ввиду
2) Да, и тут уже следует выбирать под конкретную задачу.
С одной стороны, я бы предпочел хранить в блокчаине любые значения, а не только ключи, но тогда будет очень легко забить его всяким мусором
Кстати, нечто похожее на dht + blockchain делает ipfs, если не ошибаюсь: dht для любых значений с поиском по их хэш сумме и при этом хранение этих хэш сумм в чем-то типо блокчэина как замена днс
Табличка в посте была бы очень кстати
2) Да, и тут уже следует выбирать под конкретную задачу.
С одной стороны, я бы предпочел хранить в блокчаине любые значения, а не только ключи, но тогда будет очень легко забить его всяким мусором
Кстати, нечто похожее на dht + blockchain делает ipfs, если не ошибаюсь: dht для любых значений с поиском по их хэш сумме и при этом хранение этих хэш сумм в чем-то типо блокчэина как замена днс
Табличка в посте была бы очень кстати
> С одной стороны, я бы предпочел хранить в блокчаине любые значения, а не только ключи
EMC NVS сделан так, что там и можно хранить любые значения — до 20KB каждое. И emcSSH — только один из сервисов. Есть ещё и многое другое — DNS, SSL, LNX, DPO — подробности на сайте emercoin.com
> но тогда будет очень легко забить его всяким мусором
Легко, но дорого. Когда система разрабатывалась, мы сделали такую цену записи, чтобы с одной стороны — не мешала честным пользователям, а с другой — ограничила инфяцию блокчейна от злонамереного раздувания. В результате, применённая система ценообразования такова, что для раздутия блокчейна до 60G нужно сжечь всю денежную массу EMC, что практически недостижимо.
Про IPFS — надо будет внимательнее почитать, и возможно — проверить BAN-логикой, если технология заинтересует.
Про табличку — передам пожелания авторам статьи. Я то не автор, я изобреталель emcSSH (Ну и emcSSL заодно).
EMC NVS сделан так, что там и можно хранить любые значения — до 20KB каждое. И emcSSH — только один из сервисов. Есть ещё и многое другое — DNS, SSL, LNX, DPO — подробности на сайте emercoin.com
> но тогда будет очень легко забить его всяким мусором
Легко, но дорого. Когда система разрабатывалась, мы сделали такую цену записи, чтобы с одной стороны — не мешала честным пользователям, а с другой — ограничила инфяцию блокчейна от злонамереного раздувания. В результате, применённая система ценообразования такова, что для раздутия блокчейна до 60G нужно сжечь всю денежную массу EMC, что практически недостижимо.
Про IPFS — надо будет внимательнее почитать, и возможно — проверить BAN-логикой, если технология заинтересует.
Про табличку — передам пожелания авторам статьи. Я то не автор, я изобреталель emcSSH (Ну и emcSSL заодно).
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Emcssh – простое управление цифровыми ключами