Metodo per deprecare la coppia di chiavi SSH localmente

10

Sto usando i miei tasti ssh per un po '. Sto pensando di aggiornare la mia coppia di chiavi ssh a una crittografia più forte e non conosco tutti i dispositivi in cui sono registrate le mie chiavi.

È possibile "deprecare" una chiave SSH localmente in modo tale da ricevere un avviso se eseguo l'autenticazione con una chiave SSH obsoleta?

security ssh-keys

— tim0_o
fonte

Mentre ci sei, suggerirei di smettere di usare la stessa chiave SSH per più host; aumenta inutilmente la superficie di attacco e il valore di quella chiave in caso di violazione. Invece, usa una chiave per ogni host a cui ti connetti; idealmente, usa una chiave per ogni coppia di client e server (ma questo si ridimensiona male se hai molti sistemi client che si collegano a molti server). Mi piace anche taggare le chiavi con la data di generazione nel commento o il nome della chiave, permettendomi di tenere traccia di quanti anni hanno. Quindi imposta un promemoria ricorrente ogni 6-24 mesi circa nel tuo calendario per rinnovarlo.

— un CVn

@ MichaelKjörling Non sono d'accordo con la prima parte del tuo suggerimento. Generare molte coppie di chiavi in cui tutte le chiavi private sono archiviate sullo stesso computer con le stesse autorizzazioni non fornisce miglioramenti significativi della sicurezza. Se uno è compromesso, molto probabilmente anche il resto è compromesso. E in quel caso avere molte coppie di chiavi significa solo che ci sarà più lavoro da fare con la rotazione una volta che vedrai un motivo per generare una nuova coppia di chiavi. La parte sull'aggiunta di una data di generazione al commento è un buon consiglio (vorrei ssh-keygenfarlo per impostazione predefinita).

— Kasperd,

@kasperd Hai ragione. Suppongo che come sempre, dipende molto dal tuo modello di minaccia. Ho il sospetto di aver implicitamente supposto che le chiavi avrebbero diverse passphrase, che posso vedere come con un gran numero di chiavi potrebbe non essere sempre pratico, a meno che tu non sia disposto ad aggiungere un gestore di password al mix. Si fa tuttavia permette qualcosa di molto vicino a quello che il PO sta descrivendo, dal momento che una chiave può essere "deprecato" molto facilmente senza interessare gli altri collegamenti. Sospetto alla fine, è un po 'una questione di gusti personali.

— un CVn

9

Non so come fare qualcosa del genere, ma vedo come sarebbe utile. Quello che sarei propenso a fare è smettere di aggiungere la chiave obsoleta al mio agente SSH. In questo modo, ogni volta che viene utilizzato, devo inserire nuovamente la passphrase. Se è qualcosa come "ugh, un altro da risolvere", allora mi ricorderà ogni volta che devo andare a ruotare anche la mia chiave su quella macchina.

— womble
fonte

a questo proposito potrebbe essere utile (a seconda della distro / DE) spostare il file in un'altra directory, ad esempio cavalluccio marino utilizza ~/. sshautomaticamente tutte le chiavi .

— Guntbert,

1

Tutto ciò che lo fa deve essere bruciato. Significa che nel momento in cui hai più di sei chiavi (ne ho un paio di dozzine) finirai per fallire auth a causa di troppi fallimenti (ogni chiave che viene presentata e rifiutata conta per il conteggio dei fallimenti).

— Womble

5

È possibile spostare la vecchia chiave ssh in una posizione non predefinita (ad esempio ~ / .ssh / deprecated_id_rsa) e quindi creare una nuova chiave ssh con le proprietà desiderate in ~ / .ssh / id_rsa

In questo modo hai ancora la tua chiave obsoleta disponibile se necessario ssh -i ~/.ssh/deprecated_id_rsa ..., ma per impostazione predefinita utilizzerai la tua nuova chiave.

— dito del piede
fonte