2

私は現在、雇用主のためにカスタマイズされたメディア センター/ボックス製品に取り組んでいます。これは基本的に、Raspian を実行する Raspberry Pi 3b+ で、定期的に自動更新するように構成されていaptます。aptデバイスは、デバイスにプリインストールされた証明書を使用して、プライベートで安全なリポジトリを介して独自のアプリケーションのバイナリにアクセスします。

現在、デバイスの証明書は無期限に設定されていますが、今後は 4 か月ごとに証明書が期限切れになるように構成したいと考えています。また、出荷するデバイスごとに一意の証明書を展開する予定であるため、証明書を取り消すことができます (つまり、顧客がデバイスの盗難を報告した場合)。

aptまたは OpenStack/Barbican KMS を介して次のことを行う方法はありますか?

  • デバイス上の apt-repo アクセスの証明書を定期的に更新します。
  • Setup key-encryption-keys (KEK) on the device, if we need the device to be able to download sensitive data, such as an in-memory cached copy of customer info.
  • Provide a mechanism for a new key to be deployed on the device if the currently-used key has expired (i.e. the user hasn't connected the device to the internet for more than 4 months). Trying to wrap my head around this one, since the device now (in this state) has an expired certificate, and I can't determine how to let it be trusted to pull a new one.
  • Allow keys to be tracked, revoked, and de-commissioned.

Thank you.

4

1 に答える 1

0

Barbican を使用して次のことができる方法はありますか? * デバイスの apt-repo アクセスの証明書を定期的に更新します。

Barbican には証明書を発行するためのインターフェイスがありましたが、これは削除されました。したがって、barbican は単にシークレットを生成して保存するためのサービスです。

certmonger のようなものを使用できます。certmonger は、証明書要求を生成して CA に送信するクライアント側のデーモンです。次に、それらの証明書を追跡し、証明書が期限切れになると新しい証明書を要求します。

  • メモリ内にキャッシュされた顧客情報のコピーなどの機密データをデバイスでダウンロードできるようにする必要がある場合は、デバイスでキー暗号化キー (KEK) をセットアップします。

barbican を使用するには、keystone トークンのようなものを認証して取得できる必要があります。それができたら、barbican を使用してキー暗号化キー (barbican データベースに保存される) を生成し、シークレット取得 API を使用してそれらをデバイスにダウンロードできます。

このように KEK をエスクローする必要がありますか?

  • 現在使用されているキーの有効期限が切れた場合 (つまり、ユーザーが 4 か月以上デバイスをインターネットに接続していない場合) に、新しいキーをデバイスにデプロイするメカニズムを提供します。

Barbican には、このためのメカニズムがありません。これは、作成する必要があるクライアント側のツールです。認証について考える必要があります。

  • キーの追跡、取り消し、廃止を許可します。

同上。Barbican には、このためのメカニズムがありません。

于 2019-06-01T03:14:59.800 に答える