by

Where communities thrive


  • Join over 1.5M+ people
  • Join over 100K+ communities
  • Free without limits
  • Create your own community
People
Activity
    Ales Teska
    @ateska
    z nejakeho (me nejasneho) duvodu se ssh-agent vyptava na CKO_CERTIFICATE ... a teprve, kdyz je dostane, tak je spokojeny
    Jan Schermer
    @zviratko
    to nebude agentem ale tou pkcs11 knihovnou, ne? agenta opravdu certifikaty nezajimaji
    beru zpet, zajima.... akorat netusim proc
    Ales Teska
    @ateska
    jo, jo ... tak presne tak jsem netusil a pak naimplementoval self-signed ... stejne jako Yubikey
    Jan Schermer
    @zviratko
    a pro stare klice se ten certifikat tedy dogeneroval nebo mi to funguje bez nej?
    ale jak rikam - pouzival jsem v minulosti tokeny bez certifikatu (ciste jen vygenerovany rsa klic) a s ssh to vzdycky fungovalo
    Ales Teska
    @ateska
    ne, dogenerovani certifikatu tam neni ... to je na tom to zajimave
    podle toho pkcs11-tool -O certifikat nemate ... a pokud to opravdu funguje, tak certy nejsou potreba (ja vim, ze je SSH fakt nepotrebuje).
    Jan Schermer
    @zviratko
    ja myslim ze bude opravdu chyba jinde, spis se chci kouknout proc vubec ssh-pkcs11 o certifikatech mluvi, mozna mi neco uniklo
    v minulosti jsem pouzival x509 patche do openssh ale tohle je vanilla
    Ales Teska
    @ateska
    no je mozne, ze to spravil nejaky fix v nasi pkcs#11 implementaci ...
    Jan Schermer
    @zviratko
    tipnul bych ze jste pri tom opravil neco jineho (treba to umisteni v /usr/local/lib :))
    a vam to ted funguje bez certifikatu nebo to funguje jen me? :)
    Ales Teska
    @ateska
    Jan Schermer
    @zviratko
    ja to tu mam otevrene take
    ale ja nejsem koder takze si to proctu az se budu nudit a zkusim zjistit co se tam deje )
    Ales Teska
    @ateska
    1567 a 1568
    podle toho by mely stacit jen public klice, certy to cte, aby z nich vydoloval public klic
    Jan Schermer
    @zviratko
    tak mozna ta pkcs11 knihovna nevracela public klic
    Ales Teska
    @ateska
    ssh -I keyote.so fungovalo v pohode
    Jan Schermer
    @zviratko
    s tim jsem bojoval kdyz jsem se snazil pouzit openpgp (resp. yubikey gpg applet) jako pkcs11
    bylo potreba z toho vydolovat public klic uplne bokem a vnutit mu to z filesystemu (v ten okamzik me to teda prestalo zajimat protoze chci mit portable token a ne nosit jeste flashku s konfiguraci)
    Ales Teska
    @ateska
    ale ssh je obecne dost citlive na to, co PKCS#11 knihovna vraci, tak bych veril tomu, ze tam byl nejaky glitch, co jsme fixli
    Jan Schermer
    @zviratko
    nebo apple v 10.15
    Ales Teska
    @ateska
    ne, tohle bude ssh vs keyote ...
    Jan Schermer
    @zviratko
    ted si nejsem jisty jestli jsem zkousel 8.0p1 z homebrew nebo ne (myslim ze ano), ale apple openssh docela patchuje
    Ales Teska
    @ateska
    ja referencne zkousim jeste ubuntu ssh
    bylo to stejne ... pamatuji si, ze to chvili vypadalo, ze mu vadi ten EC klic, kteremu SSH 7 nerozumi ... bylo to dost k vzteku ...
    zkusim odstranit certifikat a zkusit to bez neho - ale az zitra
    Jan Schermer
    @zviratko
    ja tam ale EC klic mam taky, vzdycky ho to akorat ignorovalo (krome te prvni verze ktera nejak padala a to jste hned opravili)
    zitra je sobota, to se nepracuje :)
    Ales Teska
    @ateska
    podle kodu v SSH mate pravdu vy ... asi jsem se do toho nejak zamotal a misto spraveni podpory pub klicu jsem pridal (podle Yubikey) self-certy (ja je teda pridal taky, aby Keyote fungoval s OpenSSL a OpenVPN) ... a pak se rozbehl i ssh-agent ... a v mezicase se evidetne fixly i ty pub klice ...
    v OpenSSL uz EC klice behaji, btw
    Keyote neni prace
    Jan Schermer
    @zviratko
    openvpn taky certifikaty nepotrebuje :)
    openssl nevim, tam mi ty engines vzdycky prisly jako cerna magie...
    tak tedy dobrou noc, dejte vedet kdyby bylo neco potreba, ja se budu tesit na verzi pro iOS 13 ;-)
    Ales Teska
    @ateska
    jasne, dobrou noc
    jinak VPN certy potrebuje, protoze je postavene primo nad OpenSSL
    Jan Schermer
    @zviratko
    zajimave, ted koukam ze to certifikat potrebuje, pritom jsem si jisty ze jsem to pouzival bez nich
    mozna jsem mel certifikat na filesystemu a klic v pkcs11
    ipsec pubkey autentizace mi kazdopadne fungovala i s tou pkcs11 proxy pro gnupg :)
    tak a uz je sobota, hezky vikend :)
    Vladimír Bělohradský
    @Lweek_gitlab
    @zviratko Pár novinek. Jednak Keyote je již dostupný na AppStore veřejně: (https://apps.apple.com/app/id1456541180) ale doporučuju zůstat na betě. Zvláště kvůli iOS 13. Už jsem opravil UI glitche. Ty největší jdou zkompilovat i s iOS12 SDK, takže budou brzy k dispozici. Jediné co nejde je přebarvit jsou ty přepínátka, to vyžaduje iOS13 SDK. Nicméně nejpozději za měsíc bude k dispozici beta zkompilovaná v iOS 13 SDK.
    Jan Schermer
    @zviratko
    diky za zpravu, otestuju jen co to vyjde. Mimochodem par lidi se me ptalo kolik to bude stat apod. - je k tomu nekde neco?
    Vladimír Bělohradský
    @Lweek_gitlab
    @zviratko V tuhle chvíli je to pořád zadarmo. Zvažujeme různé možnosti, ale nemělo by to být v žádném případě drahé. Jak rád říkám, pár hrnků kávy pro vývojáře. :-)
    Jan Schermer
    @zviratko
    dokazu si predstavit enterprise verzi treba s vlastnim CA...
    Vladimír Bělohradský
    @Lweek_gitlab
    Jj, tímhle směrem to určitě půjde.
    Ales Teska
    @ateska
    Ano, ano. Vlastni PKI server (CA) nabizime ;-)
    Jan Schermer
    @zviratko
    @ateska navrhuji presun na macadmins Slack :)