EDITAR:Veja a resposta abaixo, minhas suposições estavam incorretas.
Se eu tiver o seguinte na minha configuração SSH ( ~/.ssh/configno OS X), isso é um risco de segurança?
Host *
AddKeysToAgent yes
UseKeychain yes
IdentityFile ~/.ssh/my-secret-key.pem
Meu entendimento é que eu enviaria minha chave secreta para qualquer host em que eu sshentrasse. Isso está correto? Se sim, isso é um risco de segurança? O host poderia, em teoria, tentar usar minha chave secreta para fazer login em alguns dos principais hosts SSH (como o GitHub)?
Se eu especificar HostName, estou correto ao pensar que a chave só é enviada para esse host:
Host *
HostName github.com
AddKeysToAgent yes
UseKeychain yes
IdentityFile ~/.ssh/my-secret-key.pem
Odocumentos oficiais para configurar SSH para GitHubparece sugerir usar a primeira configuração ...
Responder1
SSH faznãoenvie suas chaves privadas para o servidor. O mecanismo é baseado no cálculo usando o que a entidade possui - o servidor calcula algo com base na chave pública, o cliente com base na chave privada (veresta postagem do Stack Exchange sobre segurança da informaçãopara mais).
Em qualquer caso, quer você adicione as chaves ao agente ou não, o SSH tenta todas as chaves até que uma seja bem-sucedida. A menos que você tenha o encaminhamento de agente configurado, não acho que haja alguma coisa noservidorpara poder usar as chaves adicionadas ao agente.
Host *
HostName github.com
AddKeysToAgent yes
Isso define o Hostnameof each Hostcomo github.com, o que certamente não é algo que você deseja fazer (isso significa que ssh foo.barse conectará a github.com). Se você quiser aplicar alguma configuração apenas às conexões com github.com, use isso como Hostpadrão:
Host github.com
IdentityFile ~/.ssh/my-secret-key.pem
Se é um risco à segurança depende de contra quem você está se defendendo. Se suas chaves SSH forem protegidas por senha e outra pessoa for capaz de acessar o agente SSH em seu sistema, claro, isso abrirá todas as chaves protegidas por senha para acesso assim que forem adicionadas ao agente.
Mas eu diria que essa ameaça é improvável.