Метод знецінення ключа SSH Парі локально

10

Я деякий час використовую свої ssh-ключі. Я думаю про те, щоб оновити мою пару ключів ssh до більш сильного шифрування, і я не знаю всіх пристроїв, де мої ключі зареєстровані.

Чи можливо "зняти" ключ SSH на локальному рівні, щоб я отримав попередження, якщо підтверджую автентифікацію за допомогою клавіші SSH?

security ssh-keys

— tim0_o
джерело

Поки ви перебуваєте на цьому, я б запропонував припинити використовувати один і той же ключ SSH для декількох хостів; це непотрібно збільшує атакуючу поверхню, а також значення цього ключа в разі порушення. Натомість використовуйте один ключ для кожного хоста, до якого ви підключаєтесь; в ідеалі використовувати один ключ для кожної пари клієнтів та серверів (але це погано масштабується, якщо у вас є багато клієнтських систем, що підключаються до багатьох серверів). Мені також подобається тегувати ключі з датою генерації у коментарі чи назви ключа, що дозволяє мені відслідковувати, скільки років їм. Потім встановіть повторюване нагадування кожні 6-24 місяці або близько того у своєму календарі, щоб оновити його.

— CVn

@ MichaelKjörling Я не погоджуюся з першою частиною вашої пропозиції. Створення безлічі пар ключів, де всі приватні ключі зберігаються на одній машині з однаковими дозволами, не забезпечує суттєвих поліпшень безпеки. Якщо хтось піддається компрометові, то, швидше за все, і інші репрезентовані. І в такому випадку наявність багатьох пар ключів просто означає, що з їх обертанням буде ще багато роботи, як тільки ви побачите причину для створення нової пари ключів. Частина щодо додавання дати покоління до коментаря є гарною порадою (я ssh-keygenб хотів зробити це за замовчуванням).

— kasperd

@kasperd Ви добре зазначаєте. Я думаю, як завжди, це дуже залежить від вашої моделі загрози. Я підозрюю, що я неявно припускав, що ключі матимуть різні парольні фрази, і я можу бачити, як з великою кількістю клавіш не завжди може бути практично, якщо ви не готові додати менеджер паролів до суміші. Це робить , проте дозволяє що - то дуже близько до того , що описує ФП, так як ключ може бути «застарілим» дуже легко , не впливаючи на інші сполуки. Я підозрюю, врешті-решт, це трохи питання особистого смаку.

— CVn

9

Я не знаю жодного способу зробити щось подібне, але я бачу, як це було б корисно. Що я схильний би зробити - це припинити додавати застарілий ключ до мого агента SSH. Таким чином, кожного разу, коли він звикне, мені доведеться знову вводити парольну фразу. Якщо це щось на кшталт "ух, ще одне виправити", то воно буде нагадувати мені щоразу, коли мені доведеться повертати свій ключ і на цій машині.

— жіночий
джерело

у зв'язку з цим може бути корисним (залежно від distro / DE) перенести файл в інший каталог, наприклад , морський коник~/. ssh автоматично використовує всі клавіші .

— guntbert

1

Все, що це робить, потрібно спалити. Це означає, що в момент, коли у вас буде більше шести клавіш (у мене є кілька десятків), ви закінчитеся невдалою автентичністю через занадто багато відмов (кожна клавіша, яка представлена і відхилена, зараховується до кількості відмов).

— живіт

5

Ви можете перемістити старий ключ ssh до місця, яке не використовується за замовчуванням (тобто ~ / .ssh / deprecated_id_rsa), а потім створити новий ключ ssh з потрібними властивостями за адресою ~ / .ssh / id_rsa

Таким чином, у вас все ще є доступний застарілий ключ, якщо це потрібно ssh -i ~/.ssh/deprecated_id_rsa ..., але ви користуєтеся новим ключем за замовчуванням.

— носок
джерело