La mia chiave privata super cruciale è memorizzata in ~/.ssh/id_rsa
con un chmod di "-rw -------"
Gestisco molte applicazioni sul mio Mac. Ad esempio:
Mi sembra che qualsiasi cosa io corra abbia accesso alla mia chiave privata e, in teoria, può sifonarlo con un POST HTTP al server di un hacker.
Non si tratta di un problema di sicurezza? In che modo la gente lo mitiga?
Sì, il software dannoso in esecuzione come utente può fare qualsiasi cosa tu possa fare come utente. Non esiste alcuna separazione privilegiata tra diverse applicazioni eseguite come lo stesso utente. Ciò è stato notato anche da xkcd .
Per proteggere in modo specifico la tua chiave SSH, puoi aggiungere una passphrase, come accennato da galoget, ma ciò aiuterà solo marginalmente - un programma dannoso potrebbe anche raccogliere la memoria quando la chiave è in uso o registrare le sequenze di tasti per la passphrase. (Anche se ci sono alcune attenuazioni per quegli attacchi.)
Un'opzione migliore è usare un token hardware di qualche tipo: io uso un Yubikey 4 con una chiave OpenPGP per l'autorizzazione SSH. Sebbene la mia chiave possa essere sfruttata male quando sbloccata, il materiale chiave non può essere rubato e viene sbloccato solo per un breve periodo di tempo. (È possibile impostare questo timeout su 0 vicino e richiedere l'interazione dell'utente per ciascun uso della chiave.)
Un'altra opzione è quella di memorizzare la tua chiave sotto un altro account utente e utilizzare su per passare a quell'account prima di SSHing.
In ogni caso, se hai un software dannoso in esecuzione come tuo utente sul tuo computer, avrai un brutto momento.
La tua chiave privata può essere protetta utilizzando una passphrase, e questo è un altro motivo per utilizzare solo il software proveniente da fonti attendibili.
Ecco due link che saranno un ottimo complemento per la tua comprensione:
Spero che ti aiuti.