Во время работы мне часто приходится пользоваться компьютерами, отличными от моих, и было бы удобно запускать пагент с помощью своего закрытого ключа. Можно ли поместить свой закрытый ключ с секретным ключом в пространство с полужестким доверием?
3 ответа
Это зависит от систем, к которым этот закрытый ключ дает доступ. Если это только для ваших систем дома, и он содержит только ваши семейные фотографии, не имеет значения. Но если он защищает корпоративный брандмауэр или банковскую информацию, я бы не стал.
Пары ключей SSH используются для двухфакторной аутентификации. Есть что-то, что вы знаете (пароль) и что-то, что у вас есть (закрытый ключ SSH). Если у вас больше нет эксклюзивности ключа SSH или вы не контролируете его использование, вы фактически удаляете фактор аутентификации.
Я немного сумасшедший, но один из моих ключей SSH хранится на устройстве, защищенном от отпечатков пальцев. Вместе с другими мерами безопасности, чтобы личный ключ не оставлялся во временных файлах и т.д.
Я хочу сказать, что сейчас ваш личный ключ может быть в безопасности. Но если в алгоритме генерации ключа SSH обнаружена ошибка, или если кто-то получает копию и использует перебор, чтобы найти ее пароль, вы увеличиваете вероятность взлома. Опять же, это зависит от того, что вы защищаете своим ключом SSH.
С чистой точки зрения "паранойя с безопасностью", это не хорошо. Многие компании устанавливают программное обеспечение на свои корпоративные ПК, которые способны контролировать все на этих ПК, включая нажатия клавиш. (Например, посмотрите на это программное обеспечение: Digital Guardian )
Теоретически они могут захватить ваш "пароль", который защищает закрытый ключ.
В действительности, эти экстремальные функции (такие как клавиатурные шпионы и снимки экрана) могут быть фактически отключены в большинстве компаний.
Мне очень жаль, но должен ли у вас быть защищенный паролем закрытый ключ на чужом ПК - это вопрос с субъективным ответом - ответ зависит от вашего уровня паранойи.
На самом деле это не должно сводиться к паранойе - поскольку ваш ключ - это «вы» в ИТ-системах (поскольку нет 100% гарантированного способа доказать, что человек, который что-то печатал, был вами, это часто считается настолько близким, насколько вы можете получить общие системы), так что если вы не защищаете его, кто-то другой может быть вами до любого требуемого уровня.
Хотите ли вы защищаться от технически «доказуемых» доказательств того, что вы совершили какое-либо действие?
Довольны ли вы тем, что знаете, что у вас нет конфиденциальности?
Защитите свой закрытый ключ - всегда!