Безопасность при работе с ssh-ключами

Компрометация ssh-ключа

Скомпрометировать ключ можно при:

• передаче другому лицу (по аналогии: с железного ключа можно снять восковой отпечаток и отдать ключ обратно, копий ключа уже будет сколько угодно), примеры:
  • хранение на флешке ключа и передача флешки (даже на время) других людям (чтобы они на нее сохранили что-нибудь, например)
  • подключение флешки в сторонний компьютер
  • хранение ключа на компьютере в классе (администратор класса может получить к нему доступ)
  • хранение ключа в почте (аналогично: может получить доступ администратор почтового сервера)
• посылке по открытым каналам (аналогично, копию снять ничего не стоит), пример:
  • посылка по почте (даже себе)
• и других обстоятельствах, когда доступ к закрытому ключу могут получить третьи лица

Стратегии защиты

Соответственно для противодействия можно использовать следующие стратегии:

• основная: хранение приватного ssh-ключа лишь на своем личном ноутбуке и осуществление входа лишь с него
• вспомогательная: шифрование приватного ssh-ключа с помощью пароля (пароль нужен сложный)

Лучше всего использовать обе стратегии (ноутбук тоже может быть утерян). Несколько хуже, чем использование ключа лишь с личного компьютера:

• хранение ключа на личной флешке

Это хуже, т.к. данные с флешки могут быть скопированы:

• когда Вы вставляете её в чужой компьютер
• когда передаете её другому человеку