Cosa fare quando si utilizza la chiave privata da un altro computer?

47

Mi collegherò a uno dei miei server dal computer del mio capo (Win 10) usando PuTTY. Per farlo, userò la mia chiave privata. C'è qualcosa che dovrei fare prima / dopo per evitare che la mia chiave venga rubata?

Il mio piano era:

  1. Installa PuTTY
  2. aggiungi il file priv_key ad esso
  3. connect
  4. ...
  5. Disinstalla PuTTY
  6. rimuovi priv_key
posta sysfiend 22.12.2016 - 16:13
fonte

2 risposte

122

Un'alternativa più sicura è creare una nuova coppia di chiavi che usi per questo scopo.

  • Crea la coppia di chiavi sul computer del tuo capo.
  • Trasferisci la chiave pubblica sul tuo computer.
  • Connettiti al server e aggiungi la chiave pubblica.

Ora il computer del tuo capo può connettersi al server. Al termine, è possibile rimuovere la chiave sul server. In questo modo, la tua chiave non lascia il tuo computer e la chiave del tuo capo è valida solo per poco tempo.

    
risposta data 22.12.2016 - 16:57
fonte
15

Una buona soluzione è quella di avere la chiave su un dispositivo hardware dedicato che eseguirà tutte le operazioni di crittografia senza nemmeno rivelare il materiale chiave al computer host. Puoi utilizzare qualsiasi scheda PKI supportata da OpenSC , una smartcard OpenPGP (supportata da GnuPG e OpenSC) o una Yubikey (che in questo caso si comporterà proprio come una scheda OpenPGP).

Per le schede supportate da OpenSC, installa OpenSC e comunica a OpenSSH di usarlo:

ssh -I /usr/lib/opensc-pkcs11.so [email protected]

Per GnuPG puoi utilizzare l'agente GPG come agente SSH che esporrà le chiavi della carta attraverso quello. Si noti che, a meno che non si abbia bisogno di una password passphrase / PIN, si consiglia di utilizzare OpenSC su GPG.

Su Windows, dovresti usare il minidriver della tua carta (come Microsoft chiama software come OpenSC) - molti di questi possono essere scaricati automaticamente purché tu permetta al tuo sistema di cercare i driver online. Se non viene trovato nessun minidriver ufficiale, è possibile utilizzare la build di Windows di OpenSC che include un minidriver generico. Nota che per le schede OpenPGP esiste un minidriver di terze parti che funziona meglio di quello di OpenSC (in effetti Non ho avuto fortuna a far funzionare il minidriver di OpenSC con la scheda OpenPGP, anche se la libreria PKCS11 funzionava correttamente dimostrando che OpenSC stava parlando con la scheda).

Una volta installato il minidriver, il software sarà in grado di parlare con la scheda utilizzando l'API Crypto standard del sistema (la scheda viene visualizzata come qualsiasi altro certificato nell'archivio dei certificati dell'utente). PuTTY-CAC è un programma che può avvantaggiarsi di quei certificati (e schede), include PuTTY stesso e Pageant , L'equivalente di PuTTY di un agente SSH. Se sotto Cygwin / MSYS puoi usare ssh-pageant per convertire un Pageant in esecuzione in un agente SSH che può essere usato dallo standard ssh (un ponte diretto tra CAPI e SSH sarebbe stato più bello, ma non esiste ancora nulla di simile ).

    
risposta data 23.12.2016 - 05:01
fonte

Leggi altre domande sui tag