Чи добре обмінюватися файлом приватного ключа між декількома комп'ютерами / службами?

Таким чином, ми всі знаємо, як використовувати відкритий ключ / приватні ключі за допомогою SSH тощо. Але який найкращий спосіб їх використання / повторного використання? Чи слід тримати їх у безпечному місці назавжди? Тобто, мені потрібна була пара ключів для доступу до GitHub. Я створив пару з нуля і використовував її деякий час для доступу до GitHub. Потім я відформатував свій жорсткий диск і втратив цю пару. Велика справа, я створив нову пару і налаштував GitHub на використання своєї нової пари. Або це щось, що я не хочу втрачати?

Також мені знадобилася пара відкритих / приватних ключів для доступу до систем нашої компанії. Наш адміністратор попросив мене відкрити ключ, і я створив нову пару і передав його йому. Чи взагалі краще створити нову пару для доступу до різних систем або краще мати одну пару і повторно використовувати її для доступу до різних систем? Аналогічно, чи краще створити дві різні пари і використовувати одну для доступу до систем наших компаній з дому, а іншу для доступу до систем з роботи, або краще просто мати одну пару і використовувати її з обох місць?

Ви обов'язково повинні мати окремі приватні ключі за походженням . В основному це означає, що зазвичай має бути одна копія кожного приватного ключа (не рахуючи резервних копій). Добре використовувати той самий приватний ключ від тісно пов’язаної машини, коли ситуація, коли ввірвання в один, в основному дає вам доступ до іншого (наприклад, якщо вони знаходяться один у одному shosts.equiv). Не використовуйте один і той же приватний ключ на машинах в різних сферах (наприклад, вдома та на роботі), ніколи не діліться приватним ключем між двома користувачами та ніколи не діліться приватним ключем між ноутбуком та будь-якою іншою машиною.

Здебільшого я не бачу сенсу мати різні приватні ключі для різних напрямків. Якщо приватний ключ порушений, усі інші приватні ключі, що зберігаються в одному каталозі, також будуть порушені, тому не буде додано жодних ускладнень без жодної користі для безпеки.

Якщо дотримуватися цих принципів, кожна пара ключів ідентифікує одну (машину, користувача) пару, що полегшує управління авторизацією.

Я можу придумати два винятки із загального правила одного приватного ключа за походженням:

• Якщо у вас ключ без пароля, який надає доступ лише до певної команди на певній машині (наприклад, автоматизованого резервного копіювання або механізму сповіщення), цей ключ повинен відрізнятися від загального ключа доступу до оболонки.
• Якщо деякі машини періодично підключені, у вас може бути старий приватний ключ поряд із новим приватним ключем, поки ви не обходитесь, щоб закінчити розгортання нового ключа.

Я не знаю, який найкращий спосіб, але я можу сказати, який мій шлях.

Як sysadmin я використовую інший ключ для доступу до кожного сервера / послуги як root. Таким чином, якщо ключ загублений або порушений, я обмежую ризик одним сервером, і мені не потрібно оновлювати всі свої служби абсолютно новими ключами.

Говорячи про користувачів, я використовую різний ключ для кожного з них. Цим ключем користувач може отримати доступ до послуги, яка йому потрібна як непривілейований користувач. Таким чином я можу легко надати або відкликати доступ до окремих послуг кожному користувачеві. У випадку, якщо користувач втратить ключ, я можу його видалити з усіх служб і обмежити ризик несанкціонованого доступу.

Я вважаю, що ви могли використовувати приватний ключ де завгодно, доки ви накладете на нього парольну фразу, тобто сказати, чи хочете ви поділитися своїм приватним ключем з кількома машинами, скажімо, ноутбук 1, 2, робочий стіл 1, 2, має бути добре.

З мого досвіду, моя головна машина - це настільний робочий стіл, який я більшу частину своєї роботи виконую з його потужним процесором, але часом мені потрібно використовувати свій ноутбук на мобільному пристрої, усунення несправностей у дата-центрі та ін. що я маю свій відкритий ключ.

У моїй компанії ми використовуємо ці ключові користувачі. Це означає випадок другий. У користувача є свій ключ, і цей використовується для кожної машини, яку він використовує для підключення до системи компанії. моя думка - використовувати один ключ для однієї системи. Це означає, що ви використовуєте цю клавішу на кожному пристрої, який потрібно підключити до певних мереж. Для вашого випадку це був би один ключ для GitHub та один ключ для системи компанії. Отже, якщо ваш адміністратор знову вас запитає, я б дав йому той самий ключ, що і минулого разу. не новий. Але я не знаю, чи існує загальна політика використання цих ключів, і я роблю це з тих пір неправильно. Це точно можливо ;-)

Створений вами відкритий ключ призначений для всіх. Це дозволить їм a) перевірити автентичність b) шифрувати для вас

Приватний ключ - ну, приватний. Це тільки для вас. І це ключ, який слід резервувати десь у захищеному місці. Ви також можете зашифрувати його захищеним паролем, якщо, наприклад, збережете його на USB-накопичувачі.

Публічний ключ - це ваша особа для інших. Тож немає жодних проблем / краще використовувати одну пару ключів для всього, принаймні там, де ви не хочете використовувати явну нову особу, щоб інші не знали, що це ви.