È sicuro usare le chiavi del server SSH per un client SSH?

2

Lasciami spiegare la mia domanda. Sto lavorando su un dispositivo Internet Appliance (IOT). Il dispositivo esegue attualmente un server SSH piuttosto bene. È possibile collegarlo a SSH e configurarlo, osservare le statistiche, ecc. Ora devo aggiungere una funzione in cui il dispositivo carica periodicamente i propri registri tramite SFTP su un server che non consente login / autenticazione password, solo chiave pubblica.

Per motivi che non ti annoierò qui, sarebbe molto più comodo se potessi usare la stessa coppia di chiavi pubblica / privata per la sessione SFTP. Generare e memorizzare una nuova chiave in sicurezza su questo dispositivo è piuttosto complicato. Non è un dispositivo basato su Linux, ma piuttosto esegue un RTOS proprietario.

Non riesco a pensare a nessun rischio per la sicurezza, ma ho pensato di chiederlo. C'è qualcosa che ho trascurato? C'è una ragione per non farlo?

In entrambi i casi viene divulgata solo la chiave pubblica.

    
posta Kory 01.09.2016 - 00:47
fonte

1 risposta

2

L'uso della stessa chiave privata per più di uno scopo è di solito una cattiva idea, a causa del rischio che potresti essere ingannato a firmare qualcosa nella prima capacità, che potrebbe essere usato per impersonare te nella seconda capacità.

Più precisamente, c'è il rischio che un client che si connette al tuo server possa indurre il tuo server a generare una firma che potrebbe essere utilizzata per autenticare te sul server SFTP?

Il protocollo di autenticazione della chiave pubblica SSH tuttavia sembra essere sufficientemente incoerente con protocollo dell'accordo chiave SSH per escludere tale vettore di attacco.

Le considerazioni sulla sicurezza di SSH non coprono esplicitamente questa domanda.

    
risposta data 01.09.2016 - 04:01
fonte

Leggi altre domande sui tag