Por que os documentos do NoMachine NXclient instruem a copiar sobre a chave privada do servidor?

2

Trabalhando para configurar o keymanager do GnuPG para SSH e agora o servidor FreeNX no CentOS 6 e NoMachine NXclient na minha nova instalação do ArchLinux, eu tenho lido mais sobre chaves do que já li antes. Eu estou no nível de "A Postal Analogy" da Wikipedia. Assim, faz sentido que uma chave privada seja mantida no sistema de origem e a chave pública seja a compartilhada. E esta mensagem é repetida de novo e de novo:

"Uma vez que você tenha gerado um par de chaves, você precisará copiar a chave pública para o servidor remoto [. ..] Observe que a chave privada não é compartilhada e permanece na máquina local. "

"O problema é que sua chave privada nunca deve ser comprometida."

No entanto, instruções para configurar o NX A partir da página de configuração FreeNX do CentOS (role para baixo): "Você precisará do ssh no servidor [...] Copiar todos o texto (incluindo as linhas BEGIN DSA PRIVATE KEY e END DSA PRIVATE KEY. "

Da página de configuração da NoMachine: "Distribuir a chave privada das chaves recém-geradas localizadas no arquivo [...] a todos os clientes que precisam receber acesso ao host específico do servidor NX. "

O cliente pode certamente gerar sua própria chave privada.

EDIT: E ... Depois de tentar levar os comentários abaixo em consideração, eu reconfigurei o usuário para nx. O que está acontecendo com a autenticação com falha solicitando (o que eu espero) a chave pública?

NX> 203 NXSSH running with pid: 4523
NX> 285 Enabling check on switch command
NX> 285 Enabling skip of SSH config files
NX> 285 Setting the preferred NX options
NX> 200 Connected to address: 192.168.2.8 on port: 22
NX> 202 Authenticating user: nx
**NX> 208 Using auth method: publickey**
NX> 204 Authentication failed.
    
por xtian 13.09.2013 / 16:19

1 resposta

1

O servidor também precisa da sua chave privada, porque a comunicação é bidirecional. Nem tudo é criptografado usando a chave pública do cliente - somente coisas do servidor para o cliente são feitas dessa maneira.

O motivo é óbvio: se o cliente criptografar suas transmissões usando sua própria chave pública, o servidor precisaria da chave privada correspondente para descriptografá-la. Que derrota o ponto de uma "chave privada". Se o servidor não tiver a chave privada do cliente, ele não poderá descriptografar mensagens feitas com a chave pública do cliente.

Em vez disso, o servidor envia ao cliente uma chave pública, que o cliente usa para criptografar as mensagens para o servidor. Portanto, o servidor precisa de seu próprio par de chaves pública / privada - presumivelmente um par completamente diferente daquele usado pelo cliente.

O cliente mantém sua chave privada privada.

O servidor mantém sua chave privada privada.

Eles não são a mesma chave.

Faz sentido? Observe que isso significa que nenhuma das partes pode descriptografar as mensagens enviadas; somente o receptor da mensagem pode.

    
por 13.09.2013 / 16:25