Автоматическое/автоматическое управление ключами устройств Linux (сертификаты для доступа к серверам обновлений)
В настоящее время я работаю над специализированным медиацентром/коробкой для своего работодателя. По сути, это Raspberry Pi 3b+ с Raspian, настроенным на периодическое автоматическое обновление через apt. Устройство получает доступ к двоичным файлам для проприетарных приложений через частный защищенный репозиторий apt с использованием предварительно установленного сертификата на устройстве.
Прямо сейчас срок действия сертификата на устройстве не истекает, но в будущем мы хотели бы настроить срок действия сертификата каждые 4 месяца. Мы также планируем развернуть уникальный сертификат для каждого отправляемого нами устройства, чтобы сертификаты можно было отозвать (например, в случае, если клиент сообщит об украденном устройстве).
Есть ли способ через apt или OpenStack/Barbican KMS:
- Периодически обновляйте сертификаты для доступа к apt-repo на устройстве.
- Настройте ключи шифрования ключей (KEK) на устройстве, если нам нужно, чтобы устройство могло загружать конфиденциальные данные, такие как кэшированная в памяти копия информации о клиенте.
- Предоставьте механизм развертывания нового ключа на устройстве, если срок действия текущего ключа истек (т. е. пользователь не подключал устройство к Интернету более 4 месяцев). Пытаюсь обернуть голову вокруг этого, поскольку у устройства сейчас (в этом состоянии) сертификат с истекшим сроком действия, и я не могу определить, как доверить ему получение нового.
- Разрешить отслеживать, отзывать и списывать ключи.
Спасибо.
Ответы 1
Is there a way I could use Barbican to: * Update the certs for apt-repo access on the device periodically.
Раньше у Barbican был интерфейс для выдачи сертификатов, но это было удаленный. Поэтому barbican — это просто сервис для генерации и хранения секреты.
Вы можете использовать что-то вроде certmonger. certmonger является клиентской стороной демон, который генерирует запросы сертификатов и отправляет их в ЦС. Это тогда отслеживает эти сертификаты и запрашивает новые, когда сертификаты собираются истекает.
- Setup key-encryption-keys (KEK) on the device, if we need the device to be able to download sensitive data, such as an in-memory cached copy of customer info.
Чтобы использовать barbican, вы должны иметь возможность аутентифицировать и получать что-то вроде краеугольного камня. Если у вас есть это, вы можете использовать barbican для генерации ключевых ключей шифрования (которые будут храниться в barbican database) и загрузить их на устройство с помощью секретного поисковый API.
Вам нужно / хотите, чтобы KEK были депонированы таким образом?
- Provide a mechanism for a new key to be deployed on the device if the currently-used key has expired (i.e. the user hasn't connected the device to the internet for more than 4 months).
У Барбакана нет для этого механизма. Это инструмент на стороне клиента, который надо будет написать. Вам нужно подумать об аутентификации.
- Allow keys to be tracked, revoked, and de-commissioned.
Same as above. Barbican has no mechanism for this.