Vantaggio di sicurezza delle chiavi host supportate da hardware per OpenSSH

4

Di recente c'è stato un accordo "due al prezzo di uno" su Yubikey 4 e ora ne ho troppi.

Questo mi ha fatto pensare a cose da fare con loro, più o meno utili. Naturalmente uso già le funzionalità della smart card per proteggere la mia CA SSH e le mie chiavi SSH personali. Ma potrebbe anche essere usato per proteggere le chiavi dell'host?

Ciò richiederebbe sicuramente l'uso di un agente ssh, dal momento che appare estremamente poco pratico inserire il codice PIN ogni volta che un client si connette al server. Dopo una rapida occhiata nel manuale sshd_config, in realtà è possibile indirizzarlo a un SSH_AUTH_SOCK invece dei file sul disco per le chiavi host usando HostKeyAgent.

Potresti elaborare le tue opinioni sull'effettivo miglioramento della sicurezza in una configurazione come questa? Per me la più ovvia è una chiave fisica, puoi sempre essere sicuro che la chiave non è stata copiata da qualche parte, e se la chiavetta è sparita puoi facilmente accorgertene.

    
posta Peter 23.10.2017 - 21:26
fonte

2 risposte

0

Una chiave host hardware memorizzata impedisce il furto della chiave e impedisce l'utilizzo multiplo di tale chiave.

Ma quando le autorizzazioni sono configurate correttamente, solo l'utente root ha accesso a questi file chiave host, questo significa che chiunque abbia accesso alle chiavi ha ottenuto autorizzazioni root (limitate).

Questo significa che hai problemi più grandi di una semplice chiave host rubata! (l'intero sistema è ora insicuro e compromesso!)

Il vettore di attacco rimanente è quello di rubare la chiave a riposo (quindi direttamente dal disco senza che la macchina venga avviata o direttamente un backup).

Mentre in tal caso i rischi per gli utenti attuali sono minimi, è comunque una situazione piuttosto brutta. il backup / disco (probabilmente) contiene dati più interessanti della chiave host. Per il backup dovresti MAI includere le chiavi dell'host (o qualsiasi altra chiave pertinente) in un backup senza protezioni contro il furto (crittografia e.a.).

Quindi secondo me. se si desidera ridurre il rischio di una chiave host rubata, è possibile utilizzare una chiave hardware a tale scopo. Ma penso che sarebbe più adatto per uno scopo diverso. (ad esempio, utilizzalo per crittografare il segreto principale di un vault da hashicorp e usalo per archiviare gli altri tuoi segreti in). per la chiave Host stessa limita il rischio che in una situazione di sicurezza in profondità potrebbe essere possibile. ma per il quale esistono soluzioni migliori disponibili.

    
risposta data 27.10.2017 - 14:46
fonte
0

AFAIK, la tua valutazione è abbastanza corretta. Il tuo dispositivo fisico migra il rischio che la tua chiave venga rubata dal mondo virtuale a quello fisico. Quindi, se il tuo server è temporaneamente compromesso, hai il minimo rischio che la tua chiave sia stata rubata. Che enorme differenza!

Tuttavia, in genere non previene l'abuso della tua chiave. Quindi se qualcuno ha hackerato il tuo server, può firmare cose arbitrarie con la tua chiave, proprio come farebbe il tuo host SSH. Questo include attacchi di testo in chiaro, che consentono all'aggressore di indovinare la tua chiave in meno tempo. Pertanto, non proteggerebbe in modo efficace un sistema compromesso in modo permanente.

    
risposta data 23.10.2017 - 23:33
fonte

Leggi altre domande sui tag