Ieri ho ricevuto un nuovo spazio di hosting e quando ho configurato l'accesso SSH ho notato che si aspettano che io generi una coppia di chiavi attraverso un'interfaccia web, quindi scaricare la chiave privata e installarla sul mio sistema locale.
La mia domanda è, è sicuro trasferire le chiavi private su Internet? (ovviamente tramite una connessione crittografata con SSL). Mi è stato detto di non farlo mai, poiché è tecnicamente possibile che un attaccante lo prenda durante il trasferimento.
Sebbene la probabilità che venga compromessa è piccola, è meglio generarla localmente in modo che la chiave privata RSA non lasci mai il sistema. In questo modo devi solo caricare la tua chiave pubblica sul server.
Non sarei troppo preoccupato per il livello TLS e per i dati in transito, ma sarei più preoccupato del fatto che i dati delle chiavi private siano rimanenti sul server o memorizzati nella cache del tuo browser web.
Dipende dalla tua definizione di sicurezza. Se hai una connessione protetta da TLS all'interfaccia di amministrazione del servizio di hosting per mantenere la tua password (allo stesso servizio) al sicuro da terze parti, allora perché non fidarti di esso per trasmettere anche una chiave SSH. Il fornitore di servizi di hosting può probabilmente accedere al tuo server con altri mezzi, quindi il fatto che la chiave privata passi da loro non è un grosso problema.
Tuttavia, l'utilizzo di una chiave SSH generata da qualcun altro oltre a te ha lo svantaggio di non voler utilizzare la stessa chiave per i servizi altri . In un certo senso, la chiave sarà quindi legata al server che si sta collegando a , invece dell'host che si sta collegando da . Quest'ultimo sarebbe più normale, e le chiavi sono chiamate "identità" per un motivo.
Ma in ogni caso, non importa molto, dal momento che per un normale server SSH è possibile modificare le chiavi SSH autorizzate subito dopo aver ottenuto l'accesso, quindi la chiave generata dal provider deve essere valida solo per pochissimo tempo.
Potrei immaginare che il provider di hosting lo abbia implementato in questo modo, quindi non è necessario insegnare a tutti gli utenti a generare le chiavi per se stessi. :)
Leggi altre domande sui tag ssh key-management rsa