Ich versuche die Funktionsweise des ssh-agent zu verstehen.
Warum erzeuge ich mir ein mit passhrase geschützes Schlüsselpaar, wenn ich am Ende die passphrase doch wieder nur einmal eingebe und im Speicher halte? Wo ist dann der Sicherheitsgewinn?
SSH: Passphrase bei ssh-agent Nutzung sinnlos?
SSH: Passphrase bei ssh-agent Nutzung sinnlos?
Debian 11 & 12; Desktop-PC, Headless-NAS, Raspberry Pi 4
Teil des Upstream Betreuer Teams von Back In Time (
backintime)
Teil des Upstream Betreuer Teams von Back In Time (
backintime)Re: SSH: Passphrase bei ssh-agent Nutzung sinnlos?
Selbst wenn du den Schlüssel am Ziel auf genau deine Quelle eingeschränkt hast, könnte ein Angreifer von deinem System sonst evtl. zugreifen. Besteht diese Einschränkung nicht könnte der Schlüssel entwendet und woanders verwendet werden. Umgekehrt ist es natürlich sehr unpraktisch immer die Passphrase eingzugeben.
Re: SSH: Passphrase bei ssh-agent Nutzung sinnlos?
Wenn du dies nicht möchtest dann kannst du auch ssh-add -t 3600 nutzen um die TTL einzugrenzen.buhtz hat geschrieben:05.06.2019 06:59:18Warum erzeuge ich mir ein mit passhrase geschützes Schlüsselpaar, wenn ich am Ende die passphrase doch wieder nur einmal eingebe und im Speicher halte?
Re: SSH: Passphrase bei ssh-agent Nutzung sinnlos?
Aber das kann er doch auch, wenn ich eine passphrase + agent nutze, oder?uname hat geschrieben:05.06.2019 08:01:31Selbst wenn du den Schlüssel am Ziel auf genau deine Quelle eingeschränkt hast, könnte ein Angreifer von deinem System sonst evtl. zugreifen.
Debian 11 & 12; Desktop-PC, Headless-NAS, Raspberry Pi 4
Teil des Upstream Betreuer Teams von Back In Time (backintime)
Teil des Upstream Betreuer Teams von Back In Time (
backintime)Re: SSH: Passphrase bei ssh-agent Nutzung sinnlos?
Wie schätzt ihr die Notwendigkeit von passphrasen-geschützen Schlüsseln für Dienste wie GitHub, GitLab, Coderberg, etc ein?
Wenn ein Schlüssel (ohne passphrase) entwendet und genutzt wird, würde ich es bei dem Dienst ja auch sofort merken, weil alle git-Aktivitäten gelogged werden. In dem Fall könnte ich den Schlüssel einfach entfernen, das repository aus meinen Backups zurücksetzen/reparieren und gut ist.
Wenn ein Schlüssel (ohne passphrase) entwendet und genutzt wird, würde ich es bei dem Dienst ja auch sofort merken, weil alle git-Aktivitäten gelogged werden. In dem Fall könnte ich den Schlüssel einfach entfernen, das repository aus meinen Backups zurücksetzen/reparieren und gut ist.
Debian 11 & 12; Desktop-PC, Headless-NAS, Raspberry Pi 4
Teil des Upstream Betreuer Teams von Back In Time (backintime)
Teil des Upstream Betreuer Teams von Back In Time (
backintime)-
diggerchen
- Beiträge: 114
- Registriert: 15.01.2005 22:35:26
Re: SSH: Passphrase bei ssh-agent Nutzung sinnlos?
Der Sicherheitsgewinn liegt IMHO darin, dass der private Schlüssel bei Transport und Lagerung vor unberechtigter Benutzung geschützt ist (eine ausreichend sichere Passphrase vorausgesetzt). Benutzt man den privaten Schlüssel auf einem kompromittierten System, bringt die Passphrase kaum Sicherheitsgewinn.buhtz hat geschrieben:05.06.2019 06:59:18Ich versuche die Funktionsweise des ssh-agent zu verstehen.
Warum erzeuge ich mir ein mit passhrase geschützes Schlüsselpaar, wenn ich am Ende die passphrase doch wieder nur einmal eingebe und im Speicher halte? Wo ist dann der Sicherheitsgewinn?