Sicherheitsbedenken bei der Anzeige des privaten SSH-Schlüssels

tag-icon tag-icon bash ssh security private-key
Sicherheitsbedenken bei der Anzeige des privaten SSH-Schlüssels

Ich habe einen großen Fehler gemacht, oder zumindest glaube ich das: Ich habe meinen privaten SSH-Schlüssel "gecattet"

cat ~/.ssh/id_rsa

Ich befürchte jetzt, dass ich eine Sicherheitslücke geschaffen habe, die es anderen Benutzern ermöglicht, meinen privaten Schlüssel zu sehen, indem sie sich den Bash-/Scrollback-Verlauf ansehen oder andere Methoden verwenden. Also, meine Fragen:

  1. Habe ich die Sicherheit meines SSH-Schlüsselpaars wirklich kompromittiert?
  2. Gibt es „ausreichend sichere“ Möglichkeiten zum Patchen, abgesehen von der offensichtlichen (und sichersten) Möglichkeit, ein neues Schlüsselpaar zu erstellen?

(HINWEIS: Ich bin der einzige Benutzer der Maschine, daher bin ich in meinem speziellen Fall eigentlich nicht so besorgt, aber ich dachte, das wäre eine interessante Frage.)

Antwort1

Wenn Sie dies privat getan haben, gibt es kein Problem. Denken Sie darüber nach – Sie haben auf dem Bildschirm nur genau dieselben Daten angezeigt, die ohnehin bereits auf Ihrer Festplatte gespeichert sind. Und wenn jemandkönnteWenn sie auf Ihren Scrollback oder Ihren Verlauf zugreifen, können sie die Datei genauso gut id_rsadirekt lesen.

  • Außerdem enthält der Verlauf Ihrer Shell – selbst wenn er für andere Benutzer lesbar wäre (was nicht der Fall ist) – nur Befehle, nicht deren Ausgabe. Er enthält also nur eine Zeile mit cat ~/.ssh/id_rsa.

  • Der Scrollback-Verlauf wird bei den meisten Terminals vollständig im Speicher gespeichert. (libvte-basierte Terminals verwenden manchmal eine Sicherungsdatei in /tmp, aber das ist entweder einetmpsoder befindet sich jedenfalls auf derselben Festplatte wie Ihre ~/.ssh...) Es wird also irrelevant, sobald Sie das Terminal schließen. Und in jedem Fall ist es natürlich nur für Sie zugänglich.

  • Und sehr oft ist der private Schlüssel selbst mit einer Passphrase verschlüsselt und unbrauchbar, sofern Sie ihn nicht sshauf Aufforderung entschlüsseln.

Es sei denn natürlich, Sie haben dies in Gegenwart hochauflösender Überwachungskameras getan oder sogar jemandem erlaubt, ein Foto Ihres Terminalfensters zu machen. In diesem Fall könnte jemand den Schlüssel anhand von Fotos neu eingeben und das einzige, was ihn schützt, wäre die Verschlüsselungspassphrase.

verwandte Informationen