Где и как вы храните SSH и PGP ключи?

Question

[Данил Антошкин]

Добрый день, какие инструменты вы используете для хранения SSH и PGP ключей?
Нет желания после переустановки системы создавать новые ключи и обновлять их на серверах или таких сервисах как GitHib

Answer 1

[Sanes]

Да где угодно. Лишь бы не было понятно, что это ваши ключи и что это вообще ключи.

Answer 2

[SagePtr]

Внутри truecrypt-контейнера) может быть, я излишне параноидален

Comments

[res2001]

Наверное. Достаточно пароль на ключ нормальный поставить, имхо. Функционально получится как тот же truecrypt контейнер - ключ на диске будет зашифрован паролем.

[SagePtr]

res2001, так-то я рабочие репозитории тоже в криптоконтейнере храню, почему бы и ключ там же с ними не хранить

[Данил Антошкин]

Хорошая идея

Answer 3

[ky0]

Вы так говорите, как будто нужен отдельный ключ для каждого сервиса. Если приватный кусок запаролен, находится в надёжном хранилище и забэкаплен - достаточно одного-двух, для продакшена и тестового окружения, например.

В целом - KeePass, как уже было озвучено выше.

Answer 4

[Дмитрий Шицков]

ruToken, eToken, *token и прочие смарт-карты или HSM.

Comments

[res2001]

ssh ключи на rutoken? Какой клиент/сервер умеет это?

[Дмитрий Шицков]

res2001, вопрос был про хранение. А в качестве клиентов - linux: openssh, win: puttySC

[res2001]

Дмитрий Шицков, т.е. рабочие ключи как обычно в виде файлов. На токенах бэкапы?
Кстати, несколько раз попадал, что eTokenы дохли или стирались по каким-то причинам, так что и бэкапы нужно дублировать. С другими вариантами токенов мало имел дела.

[Дмитрий Шицков]

res2001, не совсем. Я имел ввиду, что можно просто хранить там ключи (дохнущие токены, конечно плохой вариант. Но я на такое пока не нарывался). Но в т.ч. можно и пользоваться ими прямо с токена в openssh, в puttySC. Даже в системе можно авторизоваться через pam.

[res2001]

Дмитрий Шицков, не знал, спасибо за информацию, полезно.
Токены стирались на моей практике те которые с извлекаемыми ключами, с неизвлекаемыми не стирались. Дохли разные. Причину обычно выяснить не удается, т.к. токены либо у клиента, либо у сотрудников на руках, которые внятно ничего обычно сказать не могут.

[Дмитрий Шицков]

res2001,

с извлекаемыми ключами, с неизвлекаемыми не стирались

- это чистое совпадение. Технически токены не отличаются. Однако да, архивы ключей лучше хранить где-то ещё. А токен - это именно инструмент для авторизации. Он на каждый день. Но, наверно, для параноиков :)

[res2001]

Дмитрий Шицков, Технически они разные.
Токены с неизвлекаемыми ключами сами производят криптографические операции собственным встроенным чипом. Токены с извлекаемыми ключами - по сути флэшка с паролем - вся криптография происходит на компе. На сколько я знаю.
Да, для авторизации самое то.

Answer 5

[jcmvbkbc]

какие инструменты вы используете для хранения SSH и PGP ключей?

домашний каталог. вопрос точно про linux?

Нет желания после переустановки системы создавать новые ключи и обновлять их на серверах или таких сервисах как GitHib

можно держать домашний каталог на отдельном разделе. и иногда делать его бэкап.