Как хранить ключи rsa?

Question

[Мика Слепинин]

Добрый вечер!

Сгенерировал ключи, и мой публичный ключ добавили на сервер. Только один. Но я хочу заходить туда с нескольких машин, ноутбука, рабочей станции, виртуалок.

Как быть? Просто сохранить ключи на флешке, скопировать их всюду, выставив соответствующие права с помощью chmod? Но безопасность в таком случае будет близка к нулю, как безопасность файла мои пароли.txt на рабочем столе. Как поступить, как сделать чтобы можно было использовать лишь одну пару для множества устройств, не потеряв в безопасности.

Comments

[Алексей Ярков]

Добрый вечер!

Сгенерировал ключи, и мо

Н - Недосказанность )))

[Мика Слепинин]

Алексей Ярков: это дзен, https://ru.wikipedia.org/wiki/%D0%9C%D1%83_(%D0%BE...

[Алексей Ярков]

Сгенерировал ключи, и мой публичный ключ добавили на сервер

Обратитесь к тем, кто добавили ваш ключ. Они еще добавят.

[Мика Слепинин]

Алексей Ярков: там не все так просто, как минимум долго ждать придется.

Answer 1

[Алексей Ярков]

Доступ уже есть? Выполняете команду столько раз, сколько ключей у вас есть:

$ ssh root@YOUR_IP_VPS
$ echo “ВСТАВЛЯЕМ СОДЕРЖИМОЕ ФАЙЛА КЛЮЧА” >> ~/.ssh/authorized_keys

Answer 2

[Daemon23RUS]

Воспользуйтесь E-Token/Rutoken итп https://ru.wikipedia.org/wiki/EToken внешне как флешка, внутри приватный ключ. Ключ не извлекается, генерация происходит внутри устройства, на выходе только подпись.
По опыту использования могу сказать следующее: перед началом - танцы с бубном, пока разберешься, зато потом высокий уровень безопасности, в случае утери можно быть спокойным, 3 попытки ввода пинкода, затем 10 длинного паккода, израсходовали - получили кирпич.

Comments

[Макс]

извлекается, к сожалению. но надежнее, чем флэшка - это факт

[Daemon23RUS]

Макс: На память не скажу точное наименование, но есть устройства OTP (One Time Programming) - одноразовые - можно только форматировать. Они предательски созвучны одной из моделей аладина, но никакого отношения к ней не имеют.

[Daemon23RUS]

SyavaSyava: Не могу утверждать за все, только за те с которыми имел дело. Подпись происходит ВНУТРИ, криптосервисы и ПО обеспечивают передачу на подпись и получение подписанного. Инициализируется в разных режимах, один из которых, как я говорил выше ОТП, в этом режиме контейнер неизвлекаемый.
Внутри микроконтроллер, ПО которого выполняет криптооперции. Никакой закрытой области, недоступной обычному ПО. Имеется ограничение на алгоритмы и длины ключа, связанные с характеристикой внутреннего микроконтроллера (не тянул длинные ключи)

Answer 3

[SagePtr]

Приватный ключ можно зашифровать при помощи пароля. Тогда даже если злоумышленник украдёт флешку, ключом не сможет воспользоваться.

Comments

[Мика Слепинин]

Вы имеете ввиду passphrase? Увы, я оставил его пустым при генерации ключей.

[SagePtr]

Мика Слепинин: можно и потом задать

Answer 4

[Alexander Movchan]

Ваш ключ добавили --> у вас есть доступ к серверу --> можете сами добавить сколько угодно ключей. Разве нет?

Comments

[Мика Слепинин]

Хм, а ведь и правда, это скорее всего сработает.

[Мика Слепинин]

Вот только там отключена авторизация по паролю.

[Alexander Movchan]

Мика Слепинин: как уже ответили, вы можете добавить другие ключи с того устройства, с которого есть доступ.