doc/conferences/lca2010/abstract

   1 The Monkeysphere uses the OpenPGP web of trust to provide a
   2 distributed Public Key Infrastructure (PKI) for users and
   3 administrators of ssh.  This talk is about why the Monkeysphere is
   4 useful, how it works, and how you can use it to ease your workload and
   5 automatically fully authenticate people and servers.
   6
   7 The Secure Shell protocol has offered public-key-based mutual
   8 authentication since its inception, but popular implementations offer
   9 no formalized public key infrastructure.  This means there is no
  10 straightforward, computable method to signal re-keying events, key
  11 revocations, or even basic key-to-identity binding (e.g. "host
  12 foo.example.org has key X").  As a result, dealing with host keys is
  13 usually a manual process with the possibility of tedium, room for
  14 error, difficulty of maintenance, or users and administrators simply
  15 ignoring or skipping baseline cryptographic precautions.
  16
  17 The OpenPGP specification offers a robust public key infrastructure
  18 that has traditionally only been used for e-mail and for encrypted
  19 storage.  By its nature, the OpenPGP Web of Trust (WoT) is a
  20 distributed system, with no intrinsic chokepoints or global
  21 authorities.  And the global key distribution network provides
  22 commonly-held, public infrastructure for rapid distribution of key
  23 changes, revocations, and identity binding.
  24
  25 The Monkeysphere mixes the two to provide new functionality for ssh
  26 (key revocation, key expiry, re-keying, fewer unintelligible prompts,
  27 semantic authorization, etc) while taking advantage of existing but
  28 often-unused functionality in OpenPGP.  Additionally, the Monkeysphere
  29 implementation does not require any patches to OpenSSH on the client
  30 or server, but takes advantage of existing hooks, which makes it easy
  31 to adopt.
  32
  33 Specifically, the Monkeysphere allows users to automatically validate
  34 ssh host keys through the Web of Trust, and it allows servers to
  35 identify authorized users through the Web of Trust.  Users decide
  36 which certifications in the Web of Trust they put stock in (so they
  37 are not spoofed by spurious certifications of host keys).  Server
  38 administrators decide whose certifications the server should put stock
  39 in (so that the server is not spoofed by spurious certifications of
  40 user keys).
  41
  42 This presentation will go over how the Monkeysphere works; how you can
  43 use it to increase the security of servers you maintain; how you can
  44 use it to increase the security of accounts you connect to with ssh;
  45 and we'll discuss future possibilities lurking in the ideas of the
  46 Monkeysphere.
  47
  48 Monkeysphere is currently available in the main Debian repository and
  49 as a port in FreeBSD.  A Slackbuild is available for Slackware, and
  50 Monkeysphere itself should work on any POSIX-ish system with the
  51 appropriate dependencies available.
  52
  53 The Monkeysphere project began to coalesce in early 2008, and remains
  54 an ongoing collaboration of many people, including:
  55
  56  * Micah Anderson
  57  * Mike Castleman
  58  * Daniel Kahn Gillmor
  59  * Ross Glover
  60  * Matthew James Goins
  61  * Greg Lyle
  62  * Jamie McClelland
  63  * Jameson Graef Rollins
  64
  65 The project's main web site is http://web.monkeysphere.info/