Private/Public SSH-Key Handling für GitHub & Co

[buhtz]

Eigentlich konzentriere ich mich ja auf https://codeberg.org und https://gitlabs.org. Auch hier kann man einen public Key hochladen, um sich die Passwortabfrage beim Handtieren mit git auf der Kommandozeile zu ersparen.

Wie sieht das bei euch aus?

Nutzt ihr auch die Passphrase? Frage mich, ob das in dem Setting notwendig ist?

Setzt ihr ein Ablaufdatum für den Key?

Muss der privat key immer unterhalb von $HOME liegen? Ich müsste ihn damit auf mehrere Maschinen verteilen. (EDIT: https://stackoverflow.com/q/84096/4865723)
Gibt es evtl. eine Möglichkeit den auf USB-Stick mitzuführen und SSH bezieht den dann automatisch jedesmall vom Stick?

Ich nutze nämlich auch einen Stick als Schlüssel für KeePassXC (Passwort-Manager). Den Workflow möchte ich gerne beibehalten, ohne eine zusätzlichen aufmachen zu müssen.

[paedubucher]

Ich habe auf all meinen Rechnern (dem beruflichen und den beiden privaten, Laptop und PC) mehrere SSH-Keys für verschiedene Zwecke. Einen davon verwende ich für GitHub, d.h. ich habe auf meinem GitHub-Account insgesamt drei SSH-Keys hinterlegt.

Die Schlüssel sind bei mir nicht passwortgeschützt, und zwar aus Bequemlichkeitsgründen. Ein Ablaufdatum habe ich auch nicht gesetzt. Der Vorteil an mehreren Schlüsseln ist, dass man im Zweifelsfall einen deaktivieren kann, und die anderen Rechner nicht davon betroffen sind.

Ich würde schon empfehlen, mehrere Keys auf den unterschiedlichen Rechnern zu verwenden. Dein $HOME ist immer noch sicherer als ein USB-Stick, d.h. man bemekrt den Verlust (Diebstahl) schneller. Wenn du den Key auf dem USB-Stick halten willst, würde ich ihn auf jeden Fall mit einer starken Passphrase schützen.

Die Frage ist auch, um welche Art von Rechnern und/oder Repositories es sich handelt. Ein Laptop, den man überall mitnimmt und vielleicht mal unbeaufsichtigt lässt, sollte schon besser geschützt sein als der heimische PC. Und in der Firma habe ich definitiv die wichtigeren Repositories als privat.

Den Passwortmanager und die SSH-Schlüssel auf dem gleichen Stick halte ich doch für etwas risikoreich. Da fände ich einen SSH-Key ohne Passphrase noch besser, da man diesen einfach wieder deaktivieren kann. Alle Passwörter beim Verlust des Sticks zu ändern ist dann doch etwas viel Aufwand.

Du siehst, es gibt da sehr viele Variablen...

[buhtz]

Mhm...

Ok, gehen wir davon aus, ich arbeite ohne Passwort-Manager und USB-Stick und jeder Client hat seinen eigenen key für GitHub.

Wie macht ihr das? Nutzt ihr dann noch eine passphrase?
Es ist GitHub und nicht irgendein großer eigener hochsensibler Server. Wenn mein GitHub Konto kompromitiert wird, kann mir das doch fast wurscht sein. Ich sehe es an den commits. Ich spule zurück, mache den key neu, fertig.

In dem Kontxt sehe ich (als Laie) keinen (den Aufwand rechtfertigenden) Sicherheitsgewinn durch passphrase.

[eggy]

Ich sehe es an den commits. Ich spule zurück, mache den key neu, fertig.

Und was ist mit den Leuten, die inzwischen Deinen kompromierten Code gezogen und bei sich ausgeführt haben?

[buhtz]

Und was ist mit den Leuten, die inzwischen Deinen kompromierten Code gezogen und bei sich ausgeführt haben?

(Unsignierter) upstream code ist IMO nie vertrauenswürdig - erst Recht, wenn er auf einer Microsoft-Cloud mit Closed-Source Software gehostet wird.
GitHub war hier nur ein prominentes Beispiel: Ich nutze eigentlich Codeberg (ehm. TeaHub) dafür.

[eggy]

Nach-mir-die-Sinnflut. Wozu überhaupt freien Code veröffentlichen, wenn einem egal ist, welche Schäden man damit anrichtet? Nur Selbstdarstellung?

[buhtz]

Nach-mir-die-Sinnflut. Wozu überhaupt freien Code veröffentlichen, wenn einem egal ist, welche Schäden man damit anrichtet? Nur Selbstdarstellung?

Ich investiere einen Teil der "freien Zeit" darin, meinen Code in die Distros (incl. der dazugehörigen Aufnhame- und Qualitätskontrollprozeduren) zu bekommen.

[eggy]

Dann hoffe ich mal, dass Du da etwas sorgfältiger arbeitest.