Capacidade de usar o Webkey do GNUPG como um mecanismo de autenticação de serviços da Web

1

Existe uma maneira de usar o novo GNUPG novo Webkey capacidade de criar um mecanismo de autenticação de chave pública federada sem senha para login de serviços da Web?

Algo como a arquitetura a seguir:

    .--------------------.
    |      DomainA       |
    |  Webkey Directory  |<---.
    |  User Public Keys  |    |  (2)                         
    '--------------------'    |  Web service requests current
                              |  known public key            
                              |
                    .------------------.
                    |   Web Service    |
              .---->|  Requires Login  |---.
              |     '------------------'   |
              |                            |
 (1)                             (3)                                     
 User Requests Account           Web service encrypts a nonce            
 Uses DomainA                    using domain supplied public key.       
 email address                   And sends the encrypted message to user.
              |                            |
              |                            |
 (4)                                       |
 User enters unencrypted         (5)                             
 nonce in web browser.           Once account has been created   
              |                  web browser plugin asks for    
              |                  GPG passphrase when logging     
              |                  in to the webservice.           
              |                  Auth with signed nonce, verified
    .-------------------.        by public key DB.               
    |    Web Client     |                  |
    | has email address |<-----------------'
    |    at DomainA     |
    '-------------------'
  1. GNUTLS?

Eu percebi que GNUTLS tinha a compatibilidade de usar chaves PGP como um mecanismo de autenticação de cliente. Talvez eu estivesse lendo a documentação incorretamente. Talvez o GNUTLS estivesse simplesmente permitindo que chaves PGP fossem usadas como uma raiz confiável para conexões TLS. No entanto, acredito que a capacidade foi removida devido à falta de interesse e / ou uso.

  1. As senhas estão quebradas

As senhas são a ruína da Internet e, enquanto o 2 Factor funciona para a maioria das finalidades, pode haver alguns casos em que o uso de um smartphone é impraticável.

  1. certificados de cliente da CA são uma opção

Os certificados de cliente da CA funcionam razoavelmente bem. E é possível configurar uma CA de nível de domínio para autenticar usuários. No entanto, a CA do nível de domínio não seria confiável para os navegadores dos usuários. Assim, cada usuário precisaria instalar o certificado raiz do domínio.

  1. GNUPG agora tem Webkey

Existe algum projeto que está sendo trabalhado atualmente para ativar o PGP Auth para serviços da web, aproveitando o GNUPG Webkey?

    
por RubberStamp 25.10.2017 / 20:05

0 respostas