Di recente c'è stato un accordo "due al prezzo di uno" su Yubikey 4 e ora ne ho troppi.
Questo mi ha fatto pensare a cose da fare con loro, più o meno utili. Naturalmente uso già le funzionalità della smart card per proteggere la mia CA SSH e le mie chiavi SSH personali. Ma potrebbe anche essere usato per proteggere le chiavi dell'host?
Ciò richiederebbe sicuramente l'uso di un agente ssh, dal momento che appare estremamente poco pratico inserire il codice PIN ogni volta che un client si connette al server. Dopo una rapida occhiata nel manuale sshd_config, in realtà è possibile indirizzarlo a un SSH_AUTH_SOCK invece dei file sul disco per le chiavi host usando HostKeyAgent.
Potresti elaborare le tue opinioni sull'effettivo miglioramento della sicurezza in una configurazione come questa? Per me la più ovvia è una chiave fisica, puoi sempre essere sicuro che la chiave non è stata copiata da qualche parte, e se la chiavetta è sparita puoi facilmente accorgertene.