سؤال هل هو موافق لمشاركة ملف المفتاح الخاص بين أجهزة كمبيوتر / خدمات متعددة؟


لذا فنحن جميعًا نعلم كيفية استخدام المفاتيح العامة / المفاتيح الخاصة باستخدام SSH ، إلخ. ولكن ما هي أفضل طريقة لاستخدام / إعادة استخدامها؟ هل يجب أن أبقيهم في مكان آمن إلى الأبد؟ أعني ، كنت بحاجة إلى زوج من المفاتيح للوصول إلى GitHub. أنا خلقت زوج من الصفر واستخدمت ذلك لبعض الوقت للوصول إلى GitHub. ثم قمت بتنسيق بلدي HDD وخسر هذا الزوج. صفقة كبيرة ، قمت بإنشاء زوج جديد وقمت بتكوين GitHub لاستخدام زوجي الجديد. أم هو شيء لا أريد أن أفقده؟

أنا أيضا بحاجة إلى زوج من المفاتيح العامة / المفاتيح الخاصة للوصول إلى أنظمة الشركة. سألني المشرف عن مفتاحي العام ، وولدت زوجًا جديدًا وأعطيته له. هل من الأفضل بشكل عام إنشاء زوج جديد للوصول إلى أنظمة مختلفة أم أنه من الأفضل أن يكون لديك زوج واحد وإعادة استخدامه للوصول إلى أنظمة مختلفة؟ وبالمثل ، هل من الأفضل إنشاء زوجين مختلفين واستخدام أحدهما للوصول إلى أنظمة شركاتنا من المنزل والآخر للوصول إلى الأنظمة من العمل ، أم أنه من الأفضل الحصول على زوج واحد واستخدامه من كلا المكانين؟


106
2017-09-16 13:15


الأصل


هذا ليس إجابة لسؤالك مباشرة ، ولكن من المستحسن أن يكون هناك عبارات مرور لكل مفتاح أيضًا. من الناحية المثالية ، جمل مرور منفصلة لكل مفتاح (استخدم مدير كلمة المرور). والسبب هو كما يلي: إذا تم اختراق مفتاح خاص (تم سرقة جهاز الكمبيوتر المحمول ، وتم اختراق جهاز الكمبيوتر) ، فسيكون لديك بعض الوقت قبل أن يصبح المفتاح مضطربًا ، ويمكنك استبدال المفتاح العام على جميع الأجهزة التي تستخدمه. قبل أن يتمكن مهاجمك. مصدر: help.ubuntu.com/community/SSH/OpenSSH/... - Xandor Schiefer


الأجوبة:


يجب عليك بالتأكيد مفاتيح منفصلة خاصة لكل منشأ. يعني ذلك بشكل أساسي أنه يجب أن تكون هناك نسخة واحدة من كل مفتاح خاص (بدون حساب النسخ الاحتياطية). لا بأس في استخدام نفس المفتاح الخاص من الجهاز المرتبط بشكل وثيق ، في الحالات التي يؤدي فيها الاختراق إلى عنصر أساسي إلى منحك حق الوصول إلى الآخر (على سبيل المثال إذا كانا في بعضهما البعض shosts.equiv). لا تستخدم نفس المفتاح الخاص على الأجهزة في مجالات مختلفة (على سبيل المثال ، المنزل والعمل) ، ولا تشارك أبدًا مفتاحًا خاصًا بين اثنين من المستخدمين ، ولا تشارك أبدًا مفتاحًا خاصًا بين جهاز كمبيوتر محمول وأي جهاز آخر.

بالنسبة للجزء الأكبر ، لا أرى نقطة في وجود مفاتيح خاصة مختلفة لوجهات مختلفة. إذا تم اختراق المفتاح الخاص ، فإن جميع المفاتيح الخاصة الأخرى المخزنة في نفس الدليل سيتم اختراقها أيضًا ، لذلك سيكون هناك تعقيد إضافي لعدم وجود فائدة أمنية.

إذا اتبعت هذه المبادئ ، يقوم كل زوج من الأزواج بتحديد زوج واحد (الجهاز ، المستخدم) ، مما يجعل إدارة التفويض أسهل.

يمكنني التفكير في استثناءين للقاعدة العامة لمفتاح خاص واحد لكل مصدر:

  • إذا كان لديك مفتاح بدون كلمة مرور يتيح الوصول إلى أمر معين فقط على جهاز معين (على سبيل المثال ، آلية نسخ احتياطي أو آلية تلقائية) ، يجب أن يكون هذا المفتاح مختلفًا عن مفتاح الوصول العام إلى shell.
  • إذا كانت بعض الأجهزة متصلة بشكل متقطع ، فقد يكون لديك مفتاح خاص قديم إلى جانب مفتاح خاص جديد ، حتى تنتقل للانتهاء من نشر المفتاح الجديد.

83
2017-09-16 18:26



هذه هي الطريقة التي استعملت بها دائما مفتاحي. لم أكن أفهم لماذا كان GitHub يدعو إلى توليد مفتاح جديد في تعليمات الإعداد الخاصة بهم. تجاهلت ذلك واستخدمت مفتاحي القياسي. أفترض أنهم محافظون. - toolbear74
طيب ، لذلك تقول "لا تستخدم نفس المفتاح الخاص على الأجهزة في مجالات مختلفة" ولكن ماذا لو حل نظام أسماء النطاقات لاسم مضيف معين لأي من الجهازين بناءً على موقعك؟ بدون مشاركة المفتاح الخاص ، أحصل على تحذيرات أو إخفاقات عندما أحاول استخدام ssh أو rsync لاسم المضيف هذا لأن ssh يحصل على الخلط في وجود مفتاحين منفصلين لنفس اسم المضيف. - Michael
Michael لا أفهم المشكلة التي قد تواجهها المستعمل مفاتيح في السيناريو الذي تصفه ، وهو ما يدور حول هذا الموضوع. سوف تحصل على الخلط حول SSH مضيف ولكن كمستخدم ما تشاهده هو المفتاح العام للمضيف ، وليس المفتاح الخاص للمضيف ، ومشاركة المفتاح الخاص للمضيف أمر خطير - أنا أوصي فقط إذا كان المضيفين متكافئين تمامًا (تكرار في حالة فشل أحدهم ) ، وربما لا حتى ذلك الحين. - Gilles
اه، حسنا يبدو أنه ليس هناك الكثير من التمييز الواضح بين الاثنين ، ويفترض فقط أنك تعرف أي موضوع يتم الحديث عنه. - Michael
JSBach إن الحصول على مفاتيح منفصلة لكل مجال يسمح لك بتحديد أذونات أكثر دقة (يسمح المفتاح المخزن في نطاق الأمان المنخفض A المستخدم بين الأجهزة من A ، ولكن يتطلب تسجيل الدخول إلى B عامل مصادقة أقوى) ويسمح لك بإلغائها. بشكل منفصل (تم اختراق النطاق A ، ولكن لا يزال بإمكاني تسجيل الدخول إلى C من B). يعد الدخول الموحّد هو الحالة التي تسجل فيها الدخول إلى أعلى نظام أمان ، ومن ثم يمكنك تسجيل الدخول إلى أي مكان آخر. لا أعرف ما هي المخاطر التي يرونها في وجود مفاتيح متعددة لكل مستخدم. هذا من شأنه أن يكون موضوعا ل أمن المعلومات. - Gilles


لا أعرف ما هي أفضل طريقة ولكن يمكنني معرفة ما هي طريقي.

كمسؤول النظام استخدم مفتاحًا مختلفًا للوصول إلى كل خادم / خدمة كجذر. وبهذه الطريقة ، إذا ضاع المفتاح أو تعرضت للاختراق ، فأنا أقصر المخاطر على خادم واحد ولا أحتاج إلى تحديث جميع خدماتي باستخدام مفاتيح جديدة تمامًا.

بالحديث عن المستخدمين ، أستخدم مفتاحًا مختلفًا لكل منهم. مع هذا المفتاح يمكن للمستخدم الوصول إلى الخدمة التي يحتاجها كمستخدم غير محظوظ. بهذه الطريقة ، يمكنني بسهولة منح أو إلغاء الوصول إلى الخدمات الفردية لكل مستخدم. في حالة فقد المستخدم لمفتاحه ، يمكنني حذفه من جميع الخدمات والحد من خطر الوصول غير المصرح به.


4
2017-09-16 14:28



+1 أنا ذاهب للتحدث مع مديري حول سياسة استخدام مفتاح جديد ؛-) لكل خادم / خدمة الأصوات أكثر أمنا من مجرد لكل شبكة - Diskilla


أعتقد أنه يمكنك استخدام المفتاح الخاص في أي مكان طالما وضعت عبارة مرور عليه ، وهذا يعني أن تقول ما إذا كنت ترغب في مشاركة مفتاحك الخاص مع بعض الأجهزة ، مثل لاب توب 1 ، 2 ، سطح المكتب 1 ، 2 ، يجب أن يكون جيدًا.

من واقع خبرتي ، فإن جهازي الرئيسي هو سطح مكتبي الذي أقوم به معظم عملي بمعالج قوي ، ولكن في بعض الأحيان أحتاج إلى استخدام الكمبيوتر المحمول على الهاتف المحمول ، واستكشاف الأخطاء وإصلاحها في مركز البيانات والأشياء ، لذلك ، لا يزال بإمكاني تسجيل الدخول إلى أي مضيفين أنني أقيم مفتاح عمومي.


1
2018-06-27 08:27



اقرأ أفضل إجابة هنا. أنت تعمل ذلك بالطريقة الخاطئة. لا يعني ذلك أنه لا يمكنك فعل ذلك بهذه الطريقة ولكن لا يجب عليك فعل ذلك. - PhilT
لا يمكن أن نرى لماذا كل downvotes. الشبكات الجامعية (على سبيل المثال) غالبًا ما يكون لها دليل رئيسي متصل بالشبكة ، لذلك يتم استخدام نفس المفتاح الخاص في كل مكان من قبل المستخدم ، حتى على أجهزة الكمبيوتر المحمولة التي يتم منحكها. طالما أنك لا تنسخها بدون تشفير عبر الإنترنت ، فأعتقد أنه جيد إذا فهمت المخاطر. أكثر ملاءمة للدماء بهذه الطريقة أيضًا ، عدم الحاجة إلى إضافة مفتاحك العام إلى 2000 مكان مختلف لمجرد أنك قمت بتسجيل الدخول إلى جهاز مختلف. - Asfand Qazi
استمع لأنك لا ينبغي أن تخسر مندوبًا عن هذه الإجابة. إنه تفضيل شخصي ، من الواضح أن استخدام مفتاح منفصل لكل خدمة والآلة يمنحك في النهاية مزيدًا من التحكم ، ولكن في بعض الأحيان يكون مجرد مضيعة للوقت بناءً على حالة الاستخدام. - Daniel Dewhurst


في شركتي ، نستخدم هذه المفاتيح الخاصة بمستخدمي المفاتيح. هذا يعني الحالة الثانية. يمتلك المستخدم مفتاحه الخاص ويستخدم هذا الجهاز لكل جهاز يستخدمه للاتصال بنظام الشركة. رأيي هو استخدام مفتاح واحد لنظام واحد. وهذا يعني أنك تستخدم هذا المفتاح على كل جهاز تحتاج إلى الاتصال بشبكات معينة. لحالتك التي من شأنها أن تكون مفتاح واحد ل GitHub ومفتاح واحد لنظام الشركة. لذا ، إذا كان المسؤول يسألك مرة أخرى ، فسأعطيه نفس المفتاح مثل آخر مرة. ليس جديد. ولكن ، لا أعرف ما إذا كانت هناك سياسة استخدام شائعة لهذه المفاتيح وأنا أفعلها بشكل خاطئ منذ ذلك الحين. هذا ممكن ممكن ؛-)


0
2017-09-16 13:27





المفتاح العام الذي أنشأته هو للجميع. سوف تسمح لهم بذلك أ) التحقق من authentizity ب) تشفير لك

المفتاح الخاص ، حسنا ، خاص. هو فقط من أجلك. وهذا هو المفتاح الذي يجب عليك الاحتفاظ به في مكان ما ، في مكان آمن. يمكنك أيضًا تشفيرها بكلمة مرور آمنة إذا قمت بحفظها على عصا USB على سبيل المثال.

المفتاح العام هو هويتك للآخرين. لذلك لا توجد مشكلة / من الأفضل استخدام زوج مفاتيح واحد لكل شيء ، على الأقل حيث لا ترغب في استخدام هوية جديدة صريحة ، حتى لا يعرف الآخرون هويتك.


0
2017-09-16 13:30



شكرا ، ولكن إجابتك ، في الغالب ، لا علاقة لها بسؤالي. انظر إجابة @ Diskilla. - Behrang