まず最初に、秘密鍵を配布するのは、パスワードのコピーを作成して配布するのと同じような、かなり愚かな行為であることは承知しています (この場合、使用時に復号化される暗号化されたコピー)。これは私が望んでいることではなく、意図していることでもありません。ただし、他の代替案は思いつかないので、考えられないことを安全に行う方法を見つけるか、スーパーユーザー コミュニティの知恵を借りて適切な代替案を見つけるかのどちらかです。
仮想的な状況:
当社は、それぞれに同じ RSA 公開キーが含まれるホーム サーバー タイプのデバイスを多数 (数百台) 顧客に配布しました。
当社は関連する秘密鍵の唯一の所有者ですが、サポート目的でエンジニアを雇用しており、このキーを使用して顧客のサーバーにアクセスし、効率的に作業する必要があります。
当然、各自はパスワードで保護された秘密鍵のコピーを必要としますが、使用するためのパスワードが渡されれば、暗号化されていない秘密鍵を自由に配布して危険にさらすことが可能です。
では、サードパーティのプログラムなどを使用して、各エンジニアに独自のパスワードを与え、そのプログラム (キーの実際のパスワードを安全に保存) がそのパスワードを認証として使用してキーを復号化し、接続に使用する (復号化されたフォームをディスクに保存したり、エンジニアにアクセスを許可したりしない) 方法はあるでしょうか?
最後に重要なポイント:
顧客のサーバー ログイン (製品に固有のもの) は、この質問とは関係のない理由により、管理者レベルではありません。エンジニアは、管理者アクセスにデフォルトのユーザー名とパスワードを使用することはできません。エンジニアもこの情報を共有してセキュリティを侵害することができ、漏洩元を突き止めることができなくなるからです。
私の知る限り、これは実現不可能なので、新しいエンジニアを雇うたびにすべての製品を新しい公開キーで更新する必要があるため、各エンジニアに独自のキー ペアを割り当てます。
また、たとえそれがコンピュータのメモリに一時的に保存されているだけであっても、意志の強い人物が暗号化されていないキーを抽出できることもわかっています。これも代替手段が必要な理由の 1 つです。
最後に、発生するコストを考慮して、ハードウェア ベースの認証は避けたいと思います。
ご提案をよろしくお願いします
答え1
設定できるのはジャンプサーバー職場/オフィスで、必要なアプリケーションと秘密鍵がインストールされたサーバーを使用します。その後、雇用されたエンジニア全員が、この 1 台のサーバーへのリモート アクセス (RDP/VNC) を必要とし、そこから顧客のサーバーにアクセスできるようになります。
これが機能するとしても、秘密鍵は共有されているものの、エンジニア全員のコンピューターではなく 1 か所に保存されているため、完璧ではありません。