📱 VKey под капотом: политики, ключи, SSH-сертификаты

Продолжаем разбирать архитектуру VKey. Начало здесь.

➡️ Политики доступа к ключам

Для доступа приложений к ключу могут применяться разные методы:

🔹Ввод PIN-кода
🔹Использование биометрии (Touch ID / Windows Hello)

✅ Это позволяет реализовать разные сценарии работы

Сейчас мы используем 4 ключа в TPM/Secure Enclave:

🔹SSH (Dev) — политика не требует второго фактора;

🔹SSH (Prod) — политика требует обязательный второй фактор (TouchID, PIN, Windows Hello);

🔹VPN сертификат — без второго фактора;

🔹mTLS сертификат — с обязательным вторым фактором.

👍 Переход на SSH-сертификаты

Помимо хранения SSH-ключей в TPM/Secure Enclave, мы теперь используем SSH-сертификаты, которые генерируются на базе SSH-ключей. При использовании SSH-ключей необходимо копировать открытый ключ на каждый хост, к которому требуется доступ — и повторять эту процедуру для каждого пользователя.

🔹Преимущества:

🔹Не нужно раскладывать ключи по машинам
🔹Можно выдавать доступ по логину
🔹Разные CA для Dev и Prod позволяют разграничивать доступ

👉 В следующей части — расскажем, как VKey используется для VPN и mTLS.

#vkey #эксперты #разбор