Generazione di chiavi SSH e invio della chiave privata

Naviga le tue risposte
0

Ho cercato su come impostare l'autenticazione della chiave pubblica tra due host sulla mia LAN. Ho intenzione di utilizzare una frase di accesso con la mia coppia di chiavi.

Un sacco di tutorial mi istruiscono a generare la coppia di chiavi e a inviare la chiave pubblica al computer di destinazione. È OK inviare la mia chiave privata invece? A volte gli altri host sulla mia LAN sono Windows e non sempre hanno i mezzi per generare facilmente le chiavi pubbliche, quindi è spesso più facile generarli altrove.

Capisco che dato l'ambiente sarebbe a basso rischio, ma supponiamo che lo stavo facendo anche attraverso le WAN.

    
posta adampski 06.07.2015 - 17:16
fonte

4 risposte

3

Non lo farei. Le chiavi private sono private, l'intenzione è di proteggere intensamente la chiave privata e fornire la chiave pubblica a qualsiasi altra parte ne abbia bisogno (che può essere utilizzata per decrittografare le informazioni crittografate con la chiave privata). Questa è la bellezza di PKI.

Se sei preoccupato di generare una coppia di chiavi su Windows, usa PuTTY. Ha uno strumento fantastico per questo e funziona alla grande, e anche facilmente.

    
risposta data 06.07.2015 - 17:25
fonte
0

La tua chiave privata ssh permetterà a chiunque, che ha i permessi di file di leggerlo (e conosce la password opzionale) di agire come te: accedi a qualsiasi server che si fida della tua chiave, ecc.

Se è necessario memorizzare la chiave privata al di fuori del proprio personal computer, assicurarsi di proteggerla almeno con una password complessa e controllare se il server presenta segni visibili di infezione da rootkit, per impedire che il software dannoso rubi questa password.

Tuttavia tecnicamente è sempre possibile inviare la chiave privata ovunque.

Si noti inoltre che è possibile utilizzare più coppie di chiavi ssh: separate per saltare tra i server e per accedere dal proprio personal computer.

    
risposta data 06.07.2015 - 17:25
fonte
0

Dovresti mantenere la chiave privata sul computer su cui è stata generata. Come ha detto Aron, così facendo, lo stai trasformando in una chiave simmetrica. Invece, vorrei generare una chiave privata per macchina che ne ha bisogno. Con Windows, come menzionato da Tara Hodges, puoi usare PuTTY e Pageant. Questo ti permetterà di generare keypair anche su Windows.

Tuttavia, c'è una cosa che penso sia stata esclusa dalla conversazione fino ad ora - la revoca. Se condividi la tua chiave privata con altre macchine, una volta che una macchina è stata compromessa, dovrai girare la chiave privata e pubblica per tutte le macchine. Se ne generi uno per macchina, una volta che una macchina viene compromessa, devi solo revocare la sua chiave pubblica e le altre macchine non subiscono immediatamente alcun impatto.

    
risposta data 06.07.2015 - 17:31
fonte
0

Non è chiaro cosa stai chiedendo, ma non dovresti inviare chiavi private su canali non protetti. Come altri hanno affermato di essere chiamati "privati" per una ragione.

Ci sono strumenti compatibili con Windows per generare keypair. Detto questo se il metodo di comunicazione è sicuro puoi trasferire le chiavi private. Un esempio potrebbe essere quello di generare keypair su una macchina, copiare su unità USB e sneakernet sul server. Avresti bisogno di cancellare in modo sicuro l'unità flash e cancellare in modo sicuro la chiave dalla macchina di generazione, ma potrebbe essere fatto. Tuttavia, se possibile, le chiavi dovrebbero essere generate localmente in quanto riduce il rischio di esposizione accidentale delle chiavi.

    
risposta data 06.07.2015 - 17:44
fonte

Leggi altre domande sui tag

Prevenire l'installazione di software VPN sui computer di casa? [chiuso] L'XSS è possibile se inserisco dati non fidati in un attributo HTML quotato e HTML codifica il "segno?