La mia azienda è seriamente preoccupata per la sicurezza e desiderosa di passare alle coppie di chiavi SSH. Gli utenti possono generare le loro coppie di chiavi SSH in modo indipendente e mi preoccupo se impostano una passphrase. Posso far valere questo? La firma con la guida ssh-keygen?
No. Non è possibile applicare sul lato server che la chiave abbia passphrase. La chiave è sempre sul lato client e il server vede solo la firma della sfida e della chiave pubblica. Anche i certificati (ovvero le chiavi firmate) non saranno di aiuto, perché le chiavi pubbliche sono firmate.
Ti propongo di dare un'occhiata a qualche tipo di autenticazione a due fattori o smart card se vuoi andare in questo modo in sicurezza.
Leggi altre domande sui tag authentication ssh public-key-infrastructure openssh