Previous Entry Share Next Entry

(repost) из жизни параноиков: data diode на коленке

Оригинал взят у arkanoid в из жизни параноиков: data diode на коленке
To automate CRL publication, you could use a mostly offline root CA. That's a root CA which is offline except that it has an inherently one-way channel to output regularly produced CRL. I have done it once over an audio cable (CRL encoded as sound, decoded on the other side): the advantage is that the "out" jack from the audio interface of a server is physically distinct from the "in" jack (the "out" is green, the "in" is pink), so it can be visually ascertained that the root is still offline.

  • 1
cn_mangetsu July 31st, 2013
Находчивый, да. Оценил.

Только я не совсем понял, зачем такой data diode нужен.

nponeccop August 1st, 2013
Для неуязвимости к эксплоитам. Можно было бы слать CRL датаграммами через фаервол, но где гарантия что фаервол не замисконфигурят и не сломают.

Можно было бы подключаться по RS232 или аналогичному интерфейсу, с распайкой одного направления в кабеле, но где гарантия что не замисконфигурят и не подсоединят двунаправленным - внешне двунаправленный кабель от однонаправленного не отличить.

  • 1

Log in

No account? Create an account