it-swarm-id.com

Seberapa sering pasangan kunci SSH harus diubah?

Saya telah menggunakan kunci RSA 1024-bit untuk SSH tanpa kata sandi di antara sistem saya sendiri selama bertahun-tahun. Baru-baru ini saya juga mulai menggunakannya untuk akses tanpa kata sandi ke penyedia hosting saya dan untuk repositori kode sumber.

Apakah menggunakan pasangan kunci yang sama untuk periode waktu yang lama, dan untuk mengakses banyak sumber daya, merupakan masalah?

40
Tim Lesher

Ya, secara tegas disarankan untuk kedaluwarsa kunci SSH setelah beberapa saat (ini bisa bergantung pada panjang kunci, kerentanan yang ditemukan di generator kunci, dll.). Namun mekanisme seperti itu tidak diramalkan oleh SSH. Dan merepotkan untuk pergi ke setiap host jarak jauh yang mungkin dan menghapus kunci publik.

Ada solusi - walaupun saya belum pernah mencobanya, tetapi simpan ketika saya akan memiliki waktu luang - MonkeySphere untuk proyek OpenSSH . Ini akan memungkinkan untuk mengelola kedaluwarsa kunci Anda sejauh yang saya mengerti!

10
Huygens

Saya akan mengambil posisi berbeda dari orang lain di sini. Rekomendasi saya: Tidak perlu mengubah kunci pribadi SSH Anda, kecuali Anda punya alasan kuat untuk mengubahnya.

Dasar Pemikiran: Crypto tidak aus. Itu tidak menjadi lebih lemah dengan penggunaan berulang.

Alasan terbesar untuk mengubah kunci pribadi Anda adalah jika Anda memiliki alasan untuk mencurigai bahwa kunci itu telah disusupi atau tidak lagi aman. Misalnya, jika salah satu mesin Anda diretas, dan Anda memiliki salinan kunci pribadi Anda yang tersimpan di mesin itu, saya sarankan mengubah kunci SSH Anda. Demikian pula, jika salah satu cadangan berjalan tanpa izin, dan ada salinan kunci pribadi SSH Anda di atasnya, saya sarankan mengubah kunci SSH Anda. Atau, jika Anda membuat kunci pribadi pada sistem Debian lama, maka mungkin tidak aman dan saya sarankan mengubahnya. Namun, jika Anda tidak memiliki alasan seperti itu untuk mencurigai bahwa kunci pribadi Anda dikompromikan, saya melihat tidak perlu mengubahnya.

Kelemahan dari mengubah kunci Anda adalah tidak perlu sekarang Anda harus memperbarui authorized_keys file di setiap mesin yang mungkin pernah Anda masuki. Itu agak membosankan.

Saya menduga alasan bahwa beberapa orang merekomendasikan Anda mengganti kunci pribadi Anda adalah untuk alasan profilaksis: bagaimana jika salah satu mesin yang menyimpan kunci pribadi Anda diretas, dan Anda tidak mengetahui, dan sekarang peretas tidak lagi memiliki akses? Peretas mungkin masih memiliki kunci pribadi Anda. Oleh karena itu, mungkin ada beberapa nilai untuk sesekali mengubah kunci pribadi SSH Anda, untuk membatasi paparan dalam skenario semacam itu. Tetapi secara pribadi, saya menduga skenario semacam itu sangat jarang dan mungkin tidak sepadan dengan kesulitan mengubah kunci SSH Anda. Jadi, jika orang lain lebih suka mengganti kunci SSH mereka secara berkala, saya bisa memahami alasan mereka - tetapi secara pribadi, saya tidak akan repot.

P.S. Jika kita berbicara tentang kunci Host (daripada kunci pribadi Anda), maka ada alasan yang lebih kuat untuk tidak perlu mengubah kunci Host: jika Anda mengubah kunci Host, semua orang yang mencoba masuk ke mesin itu akan mulai mendapatkan peringatan bahwa mereka mungkin diserang. Jika orang-orang secara rutin melihat peringatan ini, mereka akan mulai memperlakukannya sebagai suara yang tidak bermakna (itu akan menjadi situasi serigala-bocah yang menangis), merusak nilai mereka. Jadi, jangan secara rutin mengganti kunci Host tanpa alasan yang bagus.

34
D.W.

Ya, tentu saja itu tergantung pada sensitivitas data Anda: Anda melindungi data Anda dari lingkungan Anda, dari serangan bisnis, dari pemerintah?

Artikel ini perkiraan yang memungkinkan untuk membangun komputer yang dapat memecahkan kunci RSA, 1024 bit, dalam setahun, menghabiskan beberapa juta. Mereka menyebutkan banyak penelitian, semua merekomendasikan setidaknya 2048 bit.

Situs ini dapat membantu Anda memperkirakan berapa lama kunci Anda akan tahan terhadap serangan.

Dan pertanyaan ini memberikan banyak jawaban tentang ukuran kunci.

Juga, ingat bahwa menggunakan kunci pribadi Anda dengan benar tidak berarti Anda akan memiliki masalah jika Anda memiliki lebih dari satu Host yang memegang kunci publik Anda, atau waktu Anda menggunakannya akan membuatnya lebih lemah. Karena itulah kunci privat-publik dibuat: digunakan tanpa meningkatkan risiko karena lebih banyak digunakan.

4
woliveirajr

Sejauh yang saya tahu, tidak ada "keausan" dengan kunci RSA, jadi tidak ada masalah menjaga set kunci yang sama. Jika Anda mencurigai kunci Anda mungkin telah disusupi, Anda dapat membuat kunci baru, tetapi sebaliknya itu tidak benar-benar diperlukan.

2
Oleksi

Ini adalah kepercayaan Anda terhadap server jarak jauh, jika Anda tidak mempercayai server jarak jauh, maka mengubah kunci ssh (kunci pribadi baru) dan mengunggah bagian publik baru ke server jauh tidak ada manfaatnya.

Kunci ssh pribadi Anda tidak melewati jaringan ... Keamanan kunci ssh pribadi Anda adalah responsabilitas Anda.

Jika pertanyaan Anda lebih umum, itu berarti cara memvalidasi ulang kunci pengguna, maka itu tergantung. Anda dapat menggunakan beberapa alat seperti cfengine, boneka untuk mengunggah kunci publik ssh pengguna ke homedir mereka secara teratur dari repositori/DB yang akan menyimpan stempel waktu. Kemudian Anda dapat mengirim email ke pengguna untuk memvalidasi ulang penggunaan kunci, atau ke manajernya. Atau Anda dapat menggunakan sertifikat dengan ssh. Meskipun tim OpenSSH belum mengembangkan info tentang sertifikat yang kedaluwarsa ...

Jauh dari berbagai solusi openssh yang diretas dan tambalannya. Apakah mereka akan mendukungnya di masa depan?

1
jirib