Wednesday October 12 2016 21:20, from Alexey Vissarionov -> Nil Alexandrov:
AV> Вот работа binkd через ssh (а это, кстати, уже существующая функция) - AV> да, интересно... ИЧСХ, вполне позволяет проводить "беспарольные" AV> сессии (и не требует для этого ничего кроме аккуратной настройки AV> демона SSH).
Дык надо всё равно "договориться о линке" сначала, т.е. обменяться паблик ключами.
Тогда у меня такая мысль.. В фидо уже существует фундаментальный механизм - доверенное распространение нодлист записи от узла в обще сетевой, в регион, в зону, сборка глобального нодлиса. Если принять за основу, что мы можем 100% доверять записям в нодлисте, хотя это ещё спорный вопрос, откуда мы последнюю версию вообще скачали или по какой файлэхе пришло или кто туда захатчил.. Можно каждой ноде сгенерить пару RSA ключей и SHA1/MD5 от паблик ключа добавить в виде нового флага в нодлист. Далее, можно без парольно и секьюрно звонить на любой узел, при этом обе стороны аутентифицируются. Правда, использование только хеша паблик ключа, а не сам паблик ключ в качестве проверки - не совсем секьюрно, но зато компромис, не надо иметь центральный CA, что не в духе распределённого фидо. Запихать целиком паблик ключ в нодлист - нельзя, распухнет, а хешь от него - компромис безопасности и компактности.
