Насколько открытым должен быть открытый ключ?

12

У меня есть скрипт, который я использую для настройки новых слайсов на slicehost, и один из шагов - добавить мой открытый ключ в authorized_keysфайл. На данный момент я scpвручную ключ, но в идеале мне бы скрипт скачать ключ.

Так что, если мой открытый ключ был очень открытым, что может быть худшего? :)

Питер Коултон
источник
Не следует забывать, что наличие ключа для загрузки скрипта может привести к появлению других дыр в безопасности, в случае, если кому-то удастся MitM на вашем исходном сервере.
user1686

Ответы:

18

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAtKYac1ZiC43jF6BdclPok0Yv2g4YecBVJ6a7qggOSGjRAxh2cckwCBUR6VoVc2vmt9tcHCLWuVVpKUTUynbMdWq8wOdbK7Ud7n63cpg1PL44Hg9Wn2kT/aJdMMABSE5wSNsffxslcoUhF4h0mHaf+X6E5IKVhhHsy2g1yeoc2//0Q5YPt5Kj72VY1j3aeZ8a/tqSHu5rZpFYDddnv0ARWIgSvh7jUudKT9phLUiryX9TCyGVKFCrvVKwexjAmOz63pvWtX0TJughWskvDP1ZREkhjkxtCxofwn0NG1QSbbEgGYBLf3T1Pgfkhx83Uce01Aw1hBqdl228NRg0cv0KaQ==

einstiien
источник
3
Эй, это мой открытый ключ!
Zypher
Хорошо продемонстрировано. :)
Том О'Коннор
Я разместил мой на моей странице пользователя в Википедии несколько месяцев назад.
phuzion
14

Есть причина, по которой его называют «открытым ключом», который нужно выпускать в дикую природу. самое худшее, что может случиться, - это то, что кто-то может зашифровать файлы таким образом, чтобы расшифровать его мог только ваш личный ключ.

Теперь, если вы потеряете свой закрытый ключ ... это ничто иное, как черви.

Zypher
источник
@Chris S: Поддельная замена? Какая? Это открытый ключ. Нет причин, по которым он не должен быть доступен всему миру, кроме того, что он слишком ленив, чтобы загрузить его куда-нибудь.
Алекс Холст
1
Алекс, я думаю, что Крис предполагает, что ключи с соответствующими отпечатками пальцев довольно легко генерировать. Хотя это справедливо для хэша ключа SHA-1 или md5, сами ключи, конечно, совершенно разные.
Джон Лассер
2
@Chris S - Алекс прав. Нет никакой причины защищать ваш открытый ключ вообще . В вашем предполагаемом сценарии «поддельной замены» несоответствие ключа хоста ssh будет красным флагом.
EEAA
Справедливо, я отказался от своего явно некорректного комментария. Я буду держать свои ключи при себе независимо.
Крис С
4

Для PGP, чье шифрование в основном похоже на то, что SSH делает с открытыми ключами, предлагаются серверы с открытым ключом. Через них цель состоит в том, чтобы распространять открытые ключи как можно шире.

Невозможно провести обратный инжиниринг закрытого ключа из открытого ключа. Фактически, в этом и заключается весь смысл криптографии с открытым ключом: при соответствующей длине ключа это просто невозможно, и данные будут защищены независимо от того, насколько широко открыт открытый ключ.

(Обратите внимание, что «это просто невозможно сделать» зависит от, безусловно, широко распространенных предположений о том, что высшая математика не будет доказана как ложная. Но если это произойдет, у вас будет больше поводов для беспокойства ...)

Джон Лассер
источник
0

Ваш открытый ключ ... не ваш закрытый ключ. Любой человек может получить копию вашего открытого ключа, без вреда, поделившись ею с миром.

fsckin
источник
0

Очень старый вопрос, но позвольте мне рассказать ... Не могу остановиться ..

Совместное использование вашего открытого ключа в Википедии или в кольце открытых ключей - это одно, а не присоединение этого к .authorized_keys на вашем сервере. Когда вы присоединяете все свои открытые ключи к каждому серверу независимо от ролей, вы подвергая себя риску, если закрытый ключ утерян, все ваши серверы скомпрометированы ...

Шри Мандади
источник