
<br><br><div class="gmail_quote">On 10 December 2012 02:18, Nick Daly <span dir="ltr"><<a href="mailto:nick.m.daly@gmail.com" target="_blank">nick.m.daly@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

For the FBX to be able to enforce identity standards, we need to<br>

guarantee that SSH and PGP keys are available on for each user (in the<br>

users group) on boxen at all times.  This can be enforced by a simple<br>

cron job that scans each user's home directory every hour or so and<br>

creates the keys users need if they don't exist.  To do that, we'd need<br>

to get the information we need to create the key from the user ahead of<br>

time and pass it into the key creation tool.<br>

<br>

The good news is that, if we do this sort of key creation in the<br>

background, over time, we don't get hung up on the fact that we don't<br>

have enough entropy when the box boots: keys will be continuously<br>

created as entropy becomes available.  This'll consume a lot of entropy,<br>

so it's good that we only need to do it once per user.<br>

<br>

- Do we need other types of keys?<br>

<br>

- How does "gpg --gen-key --batch" work?<br>

<br>

- Does the entire structure work at all?  What complications am I<br>

  missing?  The locking might be a bit tricky, but hardly impossible.<br></blockquote><div><br>I like to use the same key for both GPG and X.509.  Forthcoming GNOME keyrings may be able to syncronize things through PKCS11.  It's possible to convert between the two using bouncy castle (I have some code) or maybe monkeysphere does it too.  You also need a key for your web server, in the case you are using a self signed cert.<br>

 </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<span class="HOEnZb"><font color="#888888"><br>

Nick<br>

</font></span><br>_______________________________________________<br>

Freedombox-discuss mailing list<br>

<a href="mailto:Freedombox-discuss@lists.alioth.debian.org">Freedombox-discuss@lists.alioth.debian.org</a><br>

<a href="http://lists.alioth.debian.org/cgi-bin/mailman/listinfo/freedombox-discuss" target="_blank">http://lists.alioth.debian.org/cgi-bin/mailman/listinfo/freedombox-discuss</a><br></blockquote></div><br>