Автоматическое / автоматическое управление ключами устройства Linux (сертификаты для доступа к серверам обновлений)

Question

В настоящее время я работаю над персонализированным медиацентром / коробочным продуктом для моего работодателя.В основном это Raspberry Pi 3b + с запущенным Raspian, настроенным на автоматическое обновление через apt.Устройство получает доступ к двоичным файлам для проприетарных приложений через частное защищенное apt репо с использованием предварительно установленного сертификата на устройстве.

В данный момент сертификат на устройстве настроен так, что срок его действия никогда не истекает, но в будущемМы хотели бы настроить срок действия сертификата каждые 4 месяца.Мы также планируем развернуть уникальный сертификат для каждого отправляемого нами устройства, чтобы эти сертификаты можно было отозвать (т. Е. В случае, если клиент сообщил об украденном устройстве).

Есть ли способ через aptили OpenStack / Barbican KMS для:

• Периодически обновлять сертификаты для доступа apt-repo на устройстве.
• Настройка ключей-ключей шифрования (KEK) на устройстве, если нам нужно, чтобы устройство могло загружать конфиденциальные данные, такие как кэшированная в памяти копия информации о клиенте.
• Предоставляет механизм для развертывания нового ключа на устройстве, если используется в данный момент.срок действия ключа истек (т. е. пользователь не подключал устройство к Интернету более 4 месяцев). Попытка обернуть голову вокруг этого , поскольку у устройства (в этом состоянии) есть сертификат с истекшим сроком действия, и я не могу определить, как ему можно доверять, чтобы получить новый.
• Разрешить отслеживание, отзыв и снятие с эксплуатации ключей.

Спасибо.

Answer 1

Есть ли способ, с помощью которого я могу использовать Barbican: * Периодически обновлять сертификаты для доступа apt-repo на устройстве.

Раньше у Barbican был интерфейс для выдачи сертификатов, ноэто было удалено.Поэтому barbican - это просто сервис для генерации и хранения секретов.

Вы можете использовать что-то вроде certmonger.certmonger - это клиентский демон, который генерирует запросы на сертификат и отправляет их в CA.Затем он отслеживает эти сертификаты и запрашивает новые, когда срок действия сертификатов истекает.

• Настройка ключей-ключей шифрования (KEK) на устройстве, если нам необходимо, чтобы устройство моглодля загрузки конфиденциальных данных, таких как кэшированная в памяти копия информации о клиенте.

Чтобы использовать barbican, вам необходимо иметь возможность аутентифицировать и получать что-то, похожее на токен keystone.Получив это, вы можете использовать barbican для генерации ключей шифрования ключей (которые будут храниться в базе данных barbican) и загружать их на устройство с использованием секретного поискового API.

Требуется ли вам / требуется ли депонирование ключа KEK?например, как это?

• Предоставьте механизм для развертывания нового ключа на устройстве, если истек срок действия используемого ключа (т. е. пользователь не подключил устройство к Интернету).более 4 месяцев).

У Барбикана нет механизма для этого.Это инструмент на стороне клиента, который нужно написать.Вам нужно подумать об аутентификации.

• Разрешить отслеживание, отзыв и снятие с эксплуатации ключей.

То же, что и выше.У Барбикана нет механизма для этого.