최근에 새 업무용 노트북을 구입했는데 이전 업무용 노트북에서 사용했던 것과 동일한 RSA 키 쌍을 계속 사용하는 것이 좋은 습관이 될지 궁금합니다. 추적할 다른 키 쌍을 만들고 싶지 않습니다.
이는 일반적으로 허용되는 관행입니까? 키 쌍에는 비밀번호가 있으므로 물리적 시스템이 안전한 한 합리적으로 안전해야 합니다. 그렇죠?
답변1
여기와 다른 곳의 다른 답변에서 더 명확합니다. "보안"은 개인 키만큼 안전합니다. 누군가 귀하의 개인 키에 접근할 수 있는 경우 이메일로 전송되거나 USB 장치에 복사될 수 있습니다. 복사된 개인 키는 다른 사람이 사용할 수 있습니다.
개인 키가 보안 시스템에 있는 한 이를 여러 컴퓨터로 전송하는 데 문제가 없습니다.
하지만 한 가지만 말씀드리고 싶습니다.아니요개인 키를 원격 시스템에 복사합니다. SSH 에이전트(ssh-agent 또는 pageant) 및 에이전트 전달을 사용해 보세요. 원격 시스템에 개인 키가 있는 경우 시스템에 액세스하는 데 사용되는 키와 다른지 확인하십시오.
답변2
예, 안전한 손에 있는 한 안전합니다. 즉, 물리적 기계가 안전합니다. 물론, 공격자가 액세스 권한을 얻어 한 컴퓨터에 SSH로 접속할 수 있으면 해당 컴퓨터에서 키를 얻어 다른 컴퓨터에서 해당 키를 사용할 수 있습니다. 바라보다이것더 많은 정보를 알고 싶습니다.
답변3
여러 컴퓨터에 단일 키를 사용하면 시스템 관리자가 처리해야 하는 키 수가 확실히 줄어듭니다. 작동하는 기계가 5개 있습니다(보통 3개 정도가 매우 활발하게 작동하지만 하나는 수리 중이고 다른 하나는 가끔씩 사용됩니다). 회사에 나 같은 사람이 8명이 있다면 관리할 열쇠는 8개가 아닌 40개다.
그러나 Arcege가 (비록 간접적이기는 하지만) 매우 훌륭하게 지적한 것처럼 문제는 기계가 손상되거나 짧은 기간 동안 분실된 경우 더 이상 컴퓨터에서 (내 키로) 액세스할 수 없다는 의미입니다. 모든 기계 내 모든 기계를 해체해야 했습니다.) 물론 손상되거나 도난당한 노트북에서 단일 키를 삭제할 수 있고 다른 컴퓨터에서 계속 작업할 수 있다는 편리함은 여러 키를 처리하는 번거로움을 감수할 가치가 있습니다.
좀 더 극단적인 예로, 제가 시스템 관리자인데 노트북이 도난당하거나 해킹당했다고 가정해 보겠습니다. 내 키를 삭제해야 하지만 이를 위해서는 모든 시스템에 액세스해야 합니다. 한 세션에서 교체하고 제거하는 것이 기술적으로 가능하지만 신속하게 이동하고 모든 기반을 포괄하려고 할 때 긴급 상황을 상당히 복잡하게 만들 수 있습니다.
반면, 각 워크스테이션마다 고유한 키가 있고 교체 워크스테이션을 이용할 수 있다면 잠금 위험 없이 손상된 키 문제를 빠르고 효율적으로 해결할 수 있습니다.
SSH 키 보안 방법을 더 깊이 파고들면서 진정한 보안을 위해서는 우리 모두가 두 가지 방법을 모두 사용해야 한다는 것이 분명해졌습니다.
- 우리가 가지고 있는 것(SSH 키)
- 우리가 알고 있는 것(서버 비밀번호)
비밀번호 요구 사항에는 서버 및 키에 액세스하기 위한 비밀번호가 포함됩니다. 번거로운 요소는 증가하지만 이 시점에서는 세 가지(SSH 키, SSH 키 액세스 비밀번호, 서버 비밀번호)가 모두 준비되어 있습니다.더 이상 단일 장애 지점이 없습니다.. 서버 비밀번호를 공유하면 매우 취약한 SSH 키 비밀번호로부터 팀을 보호할 수도 있습니다. (보통 우리는 동료가 생성한 비밀번호 수준을 제어할 수 없습니다. 기업 상황에서는 비밀번호 관리자를 사용하여 비밀번호 감사 도구에 액세스할 수 있습니다.) 더 잘 알아야 할 사람들이 때때로 놀라울 정도로 약한 비밀번호를 만듭니다).
공격자를 식별해야 하며 공격이 성공하려면 수개월 또는 수년이 걸릴 수 있습니다. 가끔 서버 비밀번호를 변경하면(6개월 정도마다 서버 비밀번호가 LastPass와 같은 엔터프라이즈급 시스템과 공유됩니다. SSH 키도 있다는 점을 기억하세요), 이 시점에서 서버는 합리적인 보안을 누릴 수 있습니다. 침입하려면) 키를 고대 암호와 결합하세요.
불법 내부자 접근(Edward Snowden이 먼저 떠오르고, Ashley Madison 해킹이 두 번째로 떠오름)을 주요 위험으로 고려해야 합니다. 키와 비밀번호를 모두 사용하는 것만으로도 내부자의 활동 속도가 느려질 수 있습니다.
고대 중국의 방법 외에도:산채로 묻어라작업이 완료되면.
매장 후, 메커니즘을 만들고 그 보물을 알고 있는 장인이 이러한 비밀을 공개한다면 심각한 위반이 될 것이라는 제안이 있었습니다. 그래서 장례가 끝나고 보물을 치우자 내부 통로가 막히고 외부 문이 낮아져 인부와 장인들이 즉시 안에 갇혔습니다. 누구도 탈출할 수 없습니다.
답변4
직장, 집, open_source_project 등 다양한 그룹에 대해 서로 다른 키를 사용하는 것이 좋은 습관이라고 말하고 싶습니다.
키를 더 많이 추가할수록 관리가 더 복잡해집니다.