ওপেনসেলে নোডের যুক্তির উদ্দেশ্য কী?


106

-nodesওপেনসেলে যুক্তির উদ্দেশ্য কী ?


4
স্ট্যাক ওভারফ্লো প্রোগ্রামিং এবং বিকাশের প্রশ্নের জন্য একটি সাইট। এই প্রশ্নটি অফ-টপিক হিসাবে উপস্থিত বলে মনে হচ্ছে কারণ এটি প্রোগ্রামিং বা উন্নয়ন সম্পর্কিত নয়। সহায়তা কেন্দ্রে আমি এখানে কোন বিষয় সম্পর্কে জিজ্ঞাসা করতে পারি তা দেখুন । সম্ভবত সুপার ইউজার বা ইউনিক্স ও লিনাক্স স্ট্যাক এক্সচেঞ্জ জিজ্ঞাসা করতে একটি ভাল জায়গা হবে।
jww

20
@jww আমি একমত নই, ওপেনসেল হ'ল একটি নিম্ন স্তরের সরঞ্জামকিট এবং বিকাশকারীদের সর্বদা এটি মোকাবেলা করতে হবে। লাইনটি মোটামুটি ঝাপসা is
জিটিডি

@gtd - আমি যখন এগুলি পতাকাঙ্কিত করি তখন এটি প্রায়শই অভিযোগ। এছাড়াও দেখুন দেব ওপস সম্পর্কে আমি কোথায় প্রশ্ন পোস্ট করব? । (তবে আমি মনে করি আমি এটির জন্য একটি ভুল করেছি - প্রশ্নটি ২০১১ সালের, এবং আমি বিশ্বাস করি যে এটি তখন মূল প্রসঙ্গে ছিল policy নীতি পরিবর্তনের জন্য আমি দণ্ড দিতে পছন্দ করি না))।
jww

4
@gtd - পুনরায়: " ওপেনসেল একটি নিম্ন-স্তরের সরঞ্জামকিট এবং বিকাশকারীদের সর্বদা এটি মোকাবেলা করতে হবে।" - এটিই সুপার ইউজার বা ইউনিক্স এবং লিনাক্স স্ট্যাক এক্সচেঞ্জের জন্য। "... ওপেনএসএল প্রশ্নের অনুমতি না দেওয়া একটি বড় ক্ষতি হবে ..." - ওপেনসেল সি প্রোগ্রামিং প্রশ্নগুলি এখানে সর্বদা স্বাগত জানানো হয়। অ-প্রোগ্রামিং প্রশ্নগুলির ক্ষতি মিস করা হবে না কারণ স্ট্যাক ওভারফ্লো একটি প্রোগ্রামিং এবং বিকাশ সাইট। কমান্ড কিভাবে ব্যবহার করতে হয় তা আপনি জানেন না এমন সময়ে অন্যান্য সাইটগুলিতে যেতে হবে।
jww

লিঙ্কটির জন্য ধন্যবাদ, আমি আমার প্রতিক্রিয়া সেখানে পোস্ট করব যেহেতু আমি মনে করি এটি একটি খুব গুরুত্বপূর্ণ বিষয়।
জিটিডি

উত্তর:


126

বিকল্পটি -nodesইংরেজি শব্দ "নোডস" নয়, বরং "নো ডিইএস" নয়। যখন আর্গুমেন্ট হিসাবে দেওয়া হয়, এর অর্থ ওপেনএসএসএল কোনও পিকেসিএস # 12 ফাইলে প্রাইভেট কীটি এনক্রিপ্ট করবে না ।

ব্যক্তিগত কীটি এনক্রিপ্ট করতে, আপনি বাদ দিতে পারেন -nodes এবং আপনার কী 3DES-CBC দিয়ে এনক্রিপ্ট করা হবে। কীটি এনক্রিপ্ট করার জন্য, ওপেনএসএসএল আপনাকে একটি পাসওয়ার্ডের জন্য অনুরোধ জানায় এবং এটি কী-ডেরাইভেশন ফাংশন EVP_BytesToKey ব্যবহার করে একটি এনক্রিপশন কী তৈরি করতে সেই পাসওয়ার্ডটি ব্যবহার করে ।

আপনার ওপেনএসএসএল এবং সংকলিত বিকল্পগুলির সংস্করণ অনুসারে আপনি এই বিকল্পগুলির স্থানে সরবরাহ করতে সক্ষম হতে পারেন-nodes :

-des          encrypt private keys with DES
-des3         encrypt private keys with triple DES (default)
-idea         encrypt private keys with idea
-seed         encrypt private keys with seed
-aes128, -aes192, -aes256
              encrypt PEM output with cbc aes
-camellia128, -camellia192, -camellia256
              encrypt PEM output with cbc camellia

শেষ পর্যন্ত লাইব্রেরি স্তরে ওপেনএসএসএল আপনার চয়ন করা এনক্রিপশন অ্যালগরিদম (বা এর অভাব) সহ ফাংশনটিকে PEM_writ_bio_PrivateKey বলে ।


4
এনক্রিপ্ট করে, আপনি কি একটি পাসওয়ার্ড দিয়ে বোঝাতে চান?
ফ্লিম

4
@ ফ্লিম: হ্যাঁ, একটি পাসওয়ার্ড দিয়ে সুরক্ষিত। পাসওয়ার্ডটি একটি কী-ডেরাইভেশন অ্যালগরিদম ব্যবহার করে একটি এনক্রিপশন কী উত্পন্ন করে এবং এনক্রিপশনটি পাসওয়ার্ড নয়, কী দিয়ে সম্পন্ন হয়। এনক্রিপ্ট করা কীটি ব্যবহার করার একমাত্র উপায় হ'ল প্রথমে এটি ডিক্রিপ্ট করুন, যার জন্য আপনাকে একই পাসওয়ার্ডটি এনক্রিপ্ট করা একই পাসওয়ার্ডটি জানতে হবে।
indiv

কেন আমি আমার ব্যক্তিগত কী ফাইলটি এনক্রিপ্ট করব? যে কারও কাছে প্রকাশিত হয় না, তাই নাম। নাকি আমি ভুল করছি?
ফিলি 294

4
@ ব্লাউহিরন: আপনি যে কোনও ফাইল এনক্রিপ্ট করবেন একই কারণে আপনি নিজের ব্যক্তিগত কী ফাইলটি এনক্রিপ্ট করবেন: আপনি চান না যে কোনও অনুলিপি প্রাপ্ত ব্যক্তি এটি পড়তে বা এটি ব্যবহার করতে সক্ষম হবে use আপনার ব্যক্তিগত কীটি এনক্রিপ্ট করা উচিত কিনা তা কী এবং আপনার হুমকির মডেলের গুরুত্বের উপর নির্ভর করে।
indiv

12

সম্পাদনা করুন: এনজিনেক্স ভি ১..3.৩ একটি এসএসএল_পাসওয়ার্ড_ফিল নির্দেশিকা যুক্ত করেছে যা প্রসঙ্গের এনক্রিপ্টড-প্রাইভেট.কি- তে প্রতিটি পাসফ্রেজের চেষ্টা করে একটি নির্দিষ্ট ফাইল থেকে পাসফ্রেস পড়বে

ইন্দিভ সঠিক যে -nodesযুক্তির অর্থ ওপেনএসএসএল UNencrypted private.key তৈরি করবে ; অন্যথায়, এনক্রিপ্টড-প্রাইভেট.কি তৈরির জন্য একটি পাসফ্রেজ প্রম্পট থাকবে । দেখতে req , pkcs12 , CA.pl

তবে, আমি মনে করি (প্রোগ্রামারদের জন্য) উদ্দেশ্যটি হ'ল:

  • এইচটিটিপি সার্ভারগুলি (যেমন অ্যাপাচি , এনগিনেক্স ) পাসফ্রেজ ছাড়া এনক্রিপ্টড-প্রাইভেট.কি পড়তে পারে না →
    • অপশন এ - প্রতিবার এইচটিটিপি সার্ভার শুরু হওয়ার পরে অবশ্যই এনক্রিপ্টড-প্রাইভেট.কি এর জন্য পাসফ্রেজ সরবরাহ করতে হবে
    • অপশন বি - উল্লেখ ssl_password_file file.keys;মধ্যে http { }বা server { }প্রসঙ্গের। [ রেফ ]
    • অপশন সি - এনক্রিপশন ছাড়াই প্রাইভেট.কি-nodes তৈরি করতে ব্যবহার করুন

দরকারী: লক ডাউন প্রাইভেট.কি

  • HT এসএসএল-সার্ট গ্রুপে এইচটিটিপি সার্ভার যুক্ত করুন }
  • sudo chown root:ssl-cert private.key- ch Ange নিজের এর Er private.key করার রুট ব্যবহারকারী, SSL-যা নিশ্চিতভাবে ঘটবে গ্রুপ
  • sudo chmod 640 private.key- প্রাইভেট.কি এর অ্যাক্সেসের অনুমতিগুলি পরিবর্তন করুন মালিক আর / ডাব্লু, গ্রুপ
  • এখন, HTTP সার্ভার শুরু করা এবং এনক্রিপ্ট না পড়া করতে সক্ষম হওয়া উচিত private.key

বিকল্প ক

শক্তিশালী সুরক্ষা, তবুও যখন সার্ভারটি পুনরায় চালু হয়, এনক্রিপ্টড-প্রাইভেট.কি জন্য ম্যানুয়ালি পাসফ্রেজ টাইপ করতে হয়

বিকল্প বি

মাঝারি সুরক্ষা এবং সম্ভবত এ / সি এর মধ্যে ভাল ভারসাম্য

বিকল্প সি

দুর্বল সুরক্ষা, তবুও UNencrypted private.key পাসফ্রেজের জন্য অনুরোধ করা হয়নি



4
Nginx সংস্করণ 1.7.3 থেকে এনক্রিপ্ট করা ব্যক্তিগত কীগুলি পড়তে পারে , দেখুন: nginx.org/en/docs/http/…
5lava

4
এনগিনেক্স এবং এর সংস্করণগুলি আলোচনায় আনার উদ্দেশ্য কী? এছাড়াও, (বি) এবং (সি) সমতুল্য সুরক্ষা দেয় (যথা, ফাইল সিস্টেম এসিএল)। আপনি যে সমস্যাটি বর্ণনা করছেন তা হ'ল আনট্যান্ডেন্ডেড কী স্টোরেজ সমস্যা এবং এটি সমাধান ছাড়াই সমস্যা। গুটম্যানের ইঞ্জিনিয়ারিং সুরক্ষা বইটি দেখুন।
jww

@jww প্রশ্নটি " উদ্দেশ্য কী ..." জিজ্ঞাসা করে । আমি প্রশ্নের প্রসঙ্গে বিবেচনা করেছি (প্রোগ্রামারগুলির জন্য কিউএনএ), যা আমি "তবে, আমি মনে করি (প্রোগ্রামারদের জন্য) এর কারণটি হ'ল:"। বিশেষভাবে নিরাপত্তা সংক্রান্ত .. পারে এক আলোচনা হতে security.stackexchange.com
জেক বার্জার
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.