Preocupações de segurança de exibir a chave privada ssh

14

Cometi um grande erro, ou pelo menos acho que o fiz: "catted" a minha chave SSH privada

cat ~/.ssh/id_rsa

Agora estou com medo de ter criado uma falha de segurança, permitindo que outros usuários vejam minha chave privada observando o histórico do bash / scrollback ou usando outros métodos. Então, minhas perguntas:

  1. Eu realmente comprometi a segurança do meu par de chaves SSH?
  2. Existem formas "suficientemente seguras" de corrigir, excluindo o maneira óbvia (e mais segura) de criar um novo par de chaves?

(NOTA: eu sou o único usuário da máquina, então, na verdade, não estou tão preocupado no meu caso específico, mas achei que seria uma pergunta interessante.)

    
por LeartS 27.01.2014 / 16:41

1 resposta

20

Se você fez isso em particular, não há problema. Pense nisso - você só exibiu na tela exatamente os mesmos dados que já estão armazenados no seu disco rígido. E se alguém puder acessar sua rolagem ou seu histórico, eles poderiam ler o arquivo id_rsa diretamente.

  • Além disso, o histórico do seu shell - mesmo que fosse legível para outros usuários (o que não é) - contém apenas comandos, não sua saída. Então tudo o que vai ter é uma linha com cat ~/.ssh/id_rsa .

  • O histórico de rolagem, para a maioria dos terminais, é armazenado inteiramente na memória. (terminais baseados em libvte às vezes usam um arquivo de apoio em / tmp, mas isso é um tmpfs ou está localizado no mesmo disco que o seu ~ / .ssh, de qualquer forma ...) Então se torna irrelevante uma vez você fecha o terminal. E de qualquer forma só é acessível a você, é claro.

  • E muito frequentemente, a própria chave privada é criptografada com uma frase secreta e é inutilizável, a menos que você a descriptografe quando ssh solicitar.

A menos, claro, que você fez isso na presença de câmeras de segurança de alta resolução, ou até mesmo permitiu que alguém tirasse uma foto da sua janela de terminal. Nesse caso, alguém poderia redigitar a chave das fotos, e a única coisa que a protegeria seria a senha criptografada.

    
por 27.01.2014 / 16:56