Итак, мы все знаем, как использовать открытый ключ / закрытый ключ с использованием SSH и т. Д. Но как лучше всего их использовать / использовать повторно? Должен ли я держать их в безопасном месте навсегда? Я имею в виду, мне нужна была пара ключей для доступа к GitHub. Я создал пару с нуля и некоторое время использовал ее для доступа к GitHub. Затем я отформатировал свой жесткий диск и потерял эту пару. В общем, я создал новую пару и настроил GitHub для использования моей новой пары. Или это то, что я не хочу потерять?
Мне также понадобилась пара открытых / закрытых ключей для доступа к системам нашей компании. Наш администратор попросил у меня мой открытый ключ, и я сгенерировал новую пару и передал его ему. Как правило, лучше создать новую пару для доступа к разным системам или лучше иметь одну пару и использовать ее повторно для доступа к разным системам? Точно так же лучше создать две разные пары и использовать одну для доступа к системам наших компаний из дома, а другую - для доступа к системам с работы, или лучше просто иметь одну пару и использовать ее из обоих мест?
источник
Ответы:
У вас обязательно должны быть отдельные закрытые ключи для каждого источника . В основном это означает, что обычно должна быть одна копия каждого закрытого ключа (не считая резервных копий). Можно использовать один и тот же закрытый ключ с близкородственного компьютера в ситуациях, когда взлом одного дает вам доступ к другому (например, если они принадлежат друг другу
shosts.equiv
). Не используйте один и тот же закрытый ключ на компьютерах в разных сферах (например, дома и на работе), никогда не разделяйте закрытый ключ между двумя пользователями и никогда не делите закрытый ключ между ноутбуком и любой другой машиной.По большей части, я не вижу смысла иметь разные закрытые ключи для разных мест назначения. Если закрытый ключ скомпрометирован, все остальные закрытые ключи, хранящиеся в том же каталоге, также обязательно будут скомпрометированы, поэтому возникнут дополнительные сложности без какой-либо выгоды для безопасности.
Если вы следуете этим принципам, каждая пара ключей идентифицирует одну пару (машина, пользователь), что упрощает управление авторизацией.
Я могу думать о двух исключениях из общего правила одного закрытого ключа для источника:
источник
Я не знаю, как лучше, но я могу сказать, какой у меня путь.
Как системный администратор я использую разные ключи для доступа к каждому серверу / службе от имени пользователя root. Таким образом, если ключ утерян или скомпрометирован, я ограничиваю риск одним сервером, и мне не нужно обновлять все мои сервисы новыми ключами.
Говоря о пользователях, я использую разные ключи для каждого из них. С помощью этого ключа пользователь может получить доступ к услуге, которая ему нужна как непривилегированный пользователь. Таким образом, я могу легко предоставить или отменить доступ к отдельным службам для каждого пользователя. Если пользователь потеряет свой ключ, я могу удалить его из всех сервисов и ограничить риск несанкционированного доступа.
источник
Я полагаю, что вы можете использовать закрытый ключ где угодно, если вы добавите на него фразу-пароль, то есть, если вы хотите поделиться своим закрытым ключом с несколькими компьютерами, скажем, ноутбук 1, 2, рабочий стол 1, 2, все будет в порядке.
Исходя из моего опыта, моей основной машиной является мой настольный компьютер, на котором я выполняю большую часть своей работы с его мощным процессором, но иногда мне нужно использовать ноутбук на мобильных устройствах, устранять неполадки в центре обработки данных и т. Д., Поэтому я все еще могу войти на любые хосты что у меня есть мой открытый ключ.
источник
В моей компании мы используем эти ключи для каждого конкретного пользователя. Это означает второй случай. У пользователя есть свой собственный ключ, и он используется для каждой машины, которую он использует для подключения к системе компании. Мое мнение - использовать один ключ для одной системы. Это означает, что вы используете этот ключ на каждом компьютере, который вам нужен для подключения к конкретным сетям. Для вашего случая это будет один ключ для GitHub и один ключ для системы компании. Так что, если ваш админ спросит вас снова, я бы дал ему тот же ключ, что и в прошлый раз. не новый. Но я не знаю, существует ли общая политика использования этих ключей, и с тех пор я делаю это неправильно. Это конечно возможно ;-)
источник
Сгенерированный вами открытый ключ предназначен для всех. Это позволит им: а) проверить подлинность б) зашифровать для вас
Закрытый ключ, ну, в общем, закрытый. Это только для вас. И это ключ, который вы должны сделать резервную копию где-нибудь, в безопасном месте. Вы также можете зашифровать его с помощью безопасного пароля, например, сохранив его на USB-накопителе.
Открытый ключ - это ваша личность для других. Так что нет проблем / лучше использовать одну пару ключей для всего, по крайней мере там, где вы не хотите использовать явную новую идентификацию, чтобы другие не знали, что это вы.
источник