Яким відкритим ключем має бути дозволено стати?

12

У мене є сценарій, який я використовую для установки нових фрагментів на slicehost, і один із кроків - додати мій відкритий ключ до authorized_keysфайлу. На даний момент я scpклавішу вручну, але в ідеалі я мав би сценарій завантажити ключ.

Отже, якщо мій відкритий ключ був дуже відкритим, що найгірше, що може статися? :)

ssh public-key

— Пітер Култон
джерело

Не слід забувати, що завантаження ключа скрипта може ввести інші отвори в безпеці, якщо хтось встигне MitM на ваш вихідний сервер.

— користувач1686

18

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAtKYac1ZiC43jF6BdclPok0Yv2g4YecBVJ6a7qggOSGjRAxh2cckwCBUR6VoVc2vmt9tcHCLWuVVpKUTUynbMdWq8wOdbK7Ud7n63cpg1PL44Hg9Wn2kT/aJdMMABSE5wSNsffxslcoUhF4h0mHaf+X6E5IKVhhHsy2g1yeoc2//0Q5YPt5Kj72VY1j3aeZ8a/tqSHu5rZpFYDddnv0ARWIgSvh7jUudKT9phLUiryX9TCyGVKFCrvVKwexjAmOz63pvWtX0TJughWskvDP1ZREkhjkxtCxofwn0NG1QSbbEgGYBLf3T1Pgfkhx83Uce01Aw1hBqdl228NRg0cv0KaQ==

— einstiien
джерело

3

Гей, це мій відкритий ключ!

— Zypher

Добре продемонстровано. :)

— Том О'Коннор

Я розмістив свою інформацію на своїй сторінці користувача wikipedia місяці тому.

— phuzion

14

Є причина, яку називають "відкритим ключем". Це потрібно випускати в дику природу. найгірше, що може статися, це те, що хтось може зашифрувати файли таким чином, лише ваш приватний ключ міг розшифрувати його.

Тепер, якщо ви втратите приватний ключ ..., це ціле "ніщо не може черв'яків".

— Зіфер
джерело

@Chris S: підробка? Що? Це відкритий ключ. Немає причин, щоб він не був доступний усьому світу, окрім того, що занадто ледачий, щоб його кудись завантажити.

— Алекс Холст

1

Алекс, я думаю, що Кріс пропонує, що ключі з відповідними відбитками пальців генеруються досить просто. Хоча це справедливо і для SHA-1 або md5 хешу ключа, звичайно, самі клавіші зовсім інші.

— Джон Лассер

2

@Chris S - Алекс правий. Там немає причин , щоб захистити свій відкритий ключ на всіх . У вашому передбачуваному сценарії "підробленої заміни", невідповідність ключового ключа ssh буде червоним прапором.

— ЄЕАА

Досить справедливо, я відкликаю свій очевидно недосконалий коментар. Я зберігатиму ключі від себе незалежно.

— Chris S

4

Для PGP, шифрування яких принципово подібне до того, що SSH робить із відкритими ключами, пропонуються сервери відкритих ключів. Через них мета полягає в тому, щоб якомога ширше розповсюджувати відкриті ключі.

Перетворити приватний ключ із відкритого ключа неможливо. Насправді, у цьому і полягає вся суть криптографії відкритого ключа: з огляду на відповідну довжину ключів, її просто неможливо зробити, і дані будуть безпечними незалежно від того, наскільки широкий загальний доступ буде відкритим.

(Зауважте, що "це просто неможливо зробити" залежить від безумовно широко поширених припущень про те, що вища математика не виявиться помилковою. Але якщо це станеться, вам доведеться турбуватися про більші речі ...)

— Джон Лассер
джерело

0

Ваш відкритий ключ - це не ваш приватний ключ. Будь-хто може мати копію вашого відкритого ключа, не шкода ділитися ним зі світом.

— fsckin
джерело

0

Дуже давнє запитання, але дозвольте мені піднятися .... Не можу зупинитися.

Спільний доступ до вашого відкритого ключа у Вікіпедії або на кільце відкритого ключа - одне, а не приєднання цього до .authorized_keys на вашому сервері. Коли ви приєднаєте всі свої відкриті ключі до кожного свого сервера незалежно від ролей, значить, ви піддаючи себе ризику, якщо приватний ключ загублений, усі ваші сервери порушені ...

— Шрі Мандаді
джерело