PHP Script per PGP-keys geschützt; geht das?

Bash, Shell, PHP, Python, Perl, CGI
zg0re
Posts: 104
Joined: 2003-06-04 15:33

PHP Script per PGP-keys geschützt; geht das?

Post by zg0re »

Hab mal ne Frage: Ich hab eine Seite, auf die aber nur ein paar leute zugriff haben sollen. Eine Schutz per Passwort reicht hierbei leider nicht aus :(
Als idee hatte ich, dass das Script die PGP Public Keys der leute kennt, die sich einloggen können und nur, wenn jemand den entsprechenden private key hat, kann er mit zusätlichem passwort die seite betreten.
Hat einer ne Ahnung, ob und wie man des machen könnte?
r00ty
Posts: 747
Joined: 2003-03-17 15:32

Re: PHP Script per PGP-keys geschützt; geht das?

Post by r00ty »

hmmm, jetzt erklär mir mal bitte wo bei deinem beispiel der unterschied ist ob er sich mit nem private key einloggt oder mit nem passwort ? das läuft doch auf exakt das selbe raus, oder ?
zg0re
Posts: 104
Joined: 2003-06-04 15:33

Re: PHP Script per PGP-keys geschützt; geht das?

Post by zg0re »

Nein, nicht wirklich, denn:

-ein Passwort kann der user an jemand anderes weitergeben und man kann es nicht so leicht nachvollziehen. Seinen Private Key weiterzugeben ist da schon ein wenig heikler ;)

-Gibt jemand das pw in die öffentlichkeit, können, bevor man es merkt, viele die seite betreten.
outofbound
Posts: 470
Joined: 2002-05-14 13:02
Location: Karlsruhe City

Re: PHP Script per PGP-keys geschützt; geht das?

Post by outofbound »

Hi,

mit pgp nicht direkt, aber
evtl (und mit JavaScript) könntest du das
selbst machen, bzw. ein HMAC- System
verwenden.

Im aktuelen php-magazin ist da ein Artikel
drüber drin mit Sourcen.

Gruss,

Out

PS: Wenn die Sicherheit so hoch sein soll, dann hat es
auf öffentlichen Webseiten nichts zu suchen. ;)
--> Bau mit php gtk ein eigenes "Tool" zum
anzeigen der Seiten, so dass man Tool + Pass + Key
benötigt, und greif über einen SSH- Tunnel auf
die Seiten zu.
majortermi
Userprojekt
Userprojekt
Posts: 916
Joined: 2002-06-17 16:09

Re: PHP Script per PGP-keys geschützt; geht das?

Post by majortermi »

OutOfBound wrote: mit pgp nicht direkt
Doch, geht schon.
Ein PHP-Skript erzeugt einen zufälligen String - der User muss diesen mit seinem privaten Schlüssel signieren und die Signatur zurück an den Server schicken - dort wird diese mit Hilfe des öffentlichen Schlüssels überprüft. Insgesamt ein relativ sicheres Verfahren.

Ich behaupte aber, dass es einfachere Lösungen gibt, die wahrscheinlich auch noch eine Spur sicher sind:
* SSL mit clientseitigen Zertifikaten (ja, das geht)
* IPsec (am besten auch mit X.509 Zertifikaten) - dürfte wohl mit Abstand das sicherste sein, weil ein Angriff einen Bug in der IP-Implementierung des Kernel oder in IPsec voraussetzt (oder natürlich einen User, der zu blöd ist auf den Private-Key bzw. die Passphrase aufzupassen).
Erst nachlesen, dann nachdenken, dann nachfragen... :)
Warum man sich an diese Reihenfolge halten sollte...
User avatar
Joe User
Project Manager
Project Manager
Posts: 11173
Joined: 2003-02-27 01:00
Location: Hamburg

Re: PHP Script per PGP-keys geschützt; geht das?

Post by Joe User »

schonmal http://www.gnupg.org/(en)/related_softw ... tends.html angesehen? Eventuell ist ja etwas verwertbares dabei...