website/index.mdwn

   1 [[meta title="The Monkeysphere Project"]]
   2
   3 # The Monkeysphere Project #
   4
   5 The Monkeysphere project's goal is to extend OpenPGP's web of trust to
   6 new areas of the Internet to help us securely identify each other
   7 while we work online.
   8
   9 Specifically, monkeysphere currently offers a framework to leverage
  10 the OpenPGP web of trust for OpenSSH authentication.
  11
  12 In other words, it allows you to use secure shell as you normally do,
  13 but to identify yourself and the servers you administer or connect to
  14 with your OpenPGP keys.  OpenPGP keys are tracked via GnuPG, and
  15 monkeysphere manages the `known_hosts` and `authorized_keys` files
  16 used by OpenSSH for authentication, checking them for cryptographic
  17 validity.
  18
  19 ## Overview ##
  20
  21 Everyone who has used secure shell is familiar with the prompt given
  22 the first time you log in to a new server, asking if you want to trust
  23 the server's key by verifying the key fingerprint.  Unfortunately,
  24 unless you have access to the server's key fingerprint through a
  25 secure out-of-band channel, there is no way to verify that the
  26 fingerprint you are presented with is in fact that of the server
  27 you're really trying to connect to.
  28
  29 Many users also take advantage of OpenSSH's ability to use RSA or DSA
  30 keys for authenticating to a server (known as
  31 "`PubkeyAuthentication`"), rather than relying on a password exchange.
  32 But again, the public part of the key needs to be transmitted to the
  33 server through a secure out-of-band channel (usually via a separate
  34 password-based SSH connection or a (hopefully signed) e-mail to the
  35 system administrator) in order for this type of authentication to
  36 work.
  37
  38 [OpenSSH](http://openssh.com/) currently provides a functional way to
  39 manage the RSA and DSA keys required for these interactions through
  40 the `known_hosts` and `authorized_keys` files.  However, it lacks any
  41 type of [Public Key Infrastructure
  42 (PKI)](http://en.wikipedia.org/wiki/Public_Key_Infrastructure) that
  43 can verify that the keys being used really are the one required or
  44 expected.
  45
  46 The basic idea of the Monkeysphere is to create a framework that uses
  47 [GnuPG](http://www.gnupg.org/)'s keyring manipulation capabilities and
  48 public keyserver communication to manage the keys that OpenSSH uses
  49 for connection authentication.
  50
  51 The Monkeysphere therefore provides an effective PKI for OpenSSH,
  52 including the possibility for key transitions, transitive
  53 identifications, revocations, and expirations.  It also actively
  54 invites broader participation in the
  55 [OpenPGP](http://en.wikipedia.org/wiki/Openpgp) [web of
  56 trust](http://en.wikipedia.org/wiki/Web_of_trust).
  57
  58 Under the Monkeysphere, both parties to an OpenSSH connection (client
  59 and server) explicitly designate who they trust to certify the
  60 identity of the other party.  These trust designations are explicitly
  61 indicated with traditional GPG keyring trust models.  Monkeysphere
  62 then manages the keys in the `known_hosts` and `authorized_keys` files
  63 directly, in such a way that is completely transparent to `ssh`.  No
  64 modification is made to the SSH protocol on the wire (it continues to
  65 use raw RSA public keys), and no modification is needed to the OpenSSH
  66 software.
  67
  68 To emphasize: ***no modifications to SSH are required to use the
  69 Monkeysphere***.  OpenSSH can be used as is; completely unpatched and
  70 "out of the box".
  71
  72 ## License ##
  73
  74 All Monkeysphere software is copyright, 2007, by [the
  75 authors](community), and released under [GPL, version 3 or
  76 later](http://www.gnu.org/licenses/gpl-3.0.html).
  77
  78 ----
  79
  80 This wiki is powered by [ikiwiki](http://ikiwiki.info).