SSH Autenticazione basata su chiave utilizzando Nitrokey

4

Quindi sono abbastanza nuovo rispetto a forme più sicure di gestione delle chiavi, sono stato abituato a memorizzare le mie chiavi all'interno dei file di chiavi sul mio computer. Recentemente ho voluto provare a vedere se potevo impostare l'autenticazione SSH sul mio server web utilizzando una chiave memorizzata sul mio Nitrokey Pro, rendendo il mio portachiavi più portatile e sicuro nel processo.

Ho seguito passo dopo passo questa guida ma ho notato che in Alla fine, non avevo bisogno che il mio Nitrokey Pro venisse inserito nel mio computer per consentire l'autenticazione.

Ho la sensazione che, dopo aver esportato la mia chiave, sia stata in qualche modo aggiunta alla memoria della mia chiave locale, rendendo Nitrokey ridondante, ma non ne sono abbastanza informato sul funzionamento esatto per essere sicuro.

Qualcuno potrebbe essere in grado di aiutarmi a garantire che posso solo SSH nel mio server web mentre il mio Nitrokey è inserito nel mio computer?

Note:

  • SO: OSX El Capitan 10.11.4
  • Nitrokey Pro
  • Anche se Nitrokey è inserito nel mio computer NON mi chiede di inserire un pin quando tento di SSH.
  • OpenSC 0.15.0
  • gpg 2.0.28

Ho provato a rimuovere da ~ / .ssh quanto segue:

id.rsa
private_key.pem

dopo aver tentato di accedere nuovamente a SSH al mio server Web, ho ricevuto:

Permission denied (publickey,gssapi-keyex,gssapi-with-mic).

Suppongo che questo indichi che la sessione SSH non riesce a trovare la chiave con cui autenticare, Ho controllato se il mio computer stava rilevando il Nitrokey eseguendo:

gpg --card-status

e informazioni sulla carta ricevuta come mi aspetterei.

    
posta MSB 25.04.2016 - 12:55
fonte

1 risposta

3

I have a feeling that upon exporting my key it somehow got added to my local key storage making the NitroKey redundant but I am not knowledgable enough about the exact workings to be sure.

Se è stato fatto correttamente, non dovrebbe essere possibile. Se la chiave privata è memorizzata nella "smartcard", non dovrebbe essere esportabile e per ogni operazione di chiave privata, è necessaria quella scheda.

Non ho NitroKey e non sono a conoscenza degli interni delle applicazioni nitrokey così pochi comandi che dovrebbero portare un po 'più di luce:

  • Pubblica registro devbug della tua connessione utilizzando la chiave memorizzata sulle carte: ssh -vvv server
  • Come appare la ssh-add -L ?
  • Riesci a vedere le chiavi nella "smartcard" quando esegui pkcs11-tool --login -O --module /path/to/usr/lib64/pkcs11/opensc-pkcs11.so
risposta data 09.03.2017 - 22:09
fonte

Leggi altre domande sui tag