it-swarm.com.de

Was tun, wenn Sie Ihren privaten Schlüssel von einem anderen Computer aus verwenden?

Ich werde mit PuTTY vom Computer meines Chefs (Win 10) aus eine Verbindung zu einem meiner Server herstellen. Dazu verwende ich meinen privaten Schlüssel. Gibt es etwas, das ich vorher/nachher tun sollte, um zu verhindern, dass mein Schlüssel gestohlen wird?

Mein Plan war:

  1. Installieren Sie PuTTY
  2. füge die Datei priv_key hinzu
  3. verbinden
  4. Deinstallieren Sie PuTTY
  5. entfernen Sie priv_key
47
sysfiend

Eine sicherere Alternative besteht darin, ein neues Schlüsselpaar zu erstellen, das Sie für diesen Zweck verwenden.

  • Erstellen Sie das Schlüsselpaar auf dem Computer Ihres Chefs.
  • Übertragen Sie den öffentlichen Schlüssel auf Ihren eigenen Computer.
  • Stellen Sie eine Verbindung zum Server her und fügen Sie den öffentlichen Schlüssel hinzu.

Jetzt kann der Computer Ihres Chefs eine Verbindung zum Server herstellen. Wenn dies erledigt ist, können Sie den Schlüssel auf dem Server entfernen. Auf diese Weise verlässt Ihr eigener Schlüssel Ihren Computer nicht und der Schlüssel Ihres Chefs ist nur kurze Zeit gültig.

121
Sjoerd

Eine gute Lösung besteht darin, den Schlüssel auf einem dedizierten Hardwaregerät zu haben, das alle Ihre Kryptooperationen ausführt, ohne das Schlüsselmaterial dem Host-Computer preiszugeben. Sie können jede PKI-Karte verwenden, die von OpenSC unterstützt wird, eine OpenPGP-Smartcard (sowohl von GnuPG als auch von OpenSC unterstützt) oder einen Yubikey (der sich in diesem Fall wie eine OpenPGP-Karte verhält).

Installieren Sie OpenSC für von OpenSC unterstützte Karten und weisen Sie OpenSSH an, es zu verwenden:

ssh -I /usr/lib/opensc-pkcs11.so [email protected]

Für GnuPG können Sie den GPG-Agenten als SSH-Agenten verwenden , wodurch die Schlüssel der Karte dadurch sichtbar werden. Beachten Sie, dass ich die Verwendung von OpenSC über GPG empfehle, es sei denn, Sie benötigen eine Passphrase/PIN-Zwischenspeicherung.

Unter Windows sollten Sie entweder den Minidriver Ihrer Karte verwenden (wie Microsoft Software wie OpenSC nennt) - die meisten können automatisch heruntergeladen werden, sofern Sie dies Ihrem System erlauben online nach Treibern suchen. Wenn kein offizieller Minitreiber gefunden wird, können Sie den Windows-Build von OpenSC verwenden, der einen generischen Minitreiber enthält. Beachten Sie, dass es für OpenPGP-Karten einen Minidriver eines Drittanbieters gibt, der besser funktioniert als der von OpenSC (tatsächlich hatte ich kein Glück, den Minidriver von OpenSC dazu zu bringen, mit der OpenPGP-Karte zu arbeiten, selbst wenn die PKCS11-Bibliothek einwandfrei funktioniert hat dass OpenSC mit der Karte sprach).

Sobald der Minitreiber installiert ist, kann die Software über die Standard-Crypto-API des Systems mit der Karte kommunizieren (die Karte wird wie jedes andere Zertifikat im Zertifikatspeicher des Benutzers angezeigt). PuTTY-CAC ist ein solches Programm, das diese Zertifikate (und Karten) nutzen kann. Es enthält PuTTY selbst sowie Pageant, PuTTYs Äquivalent zu einem SSH-Agenten. Wenn Sie unter Cygwin/MSYS ssh-pageant Verwenden können, um einen laufenden Festzug in einen SSH-Agenten zu konvertieren, der vom Standard ssh verwendet werden kann (eine direkte Brücke zwischen CAPI und SSH wäre schöner gewesen, aber so etwas gibt es noch nicht).

15
André Borie