Chave privada protegida por senha SSH ainda visível

Navegue suas respostas
0

Eu achei que não seria possível visualizar o conteúdo de um arquivo de chave privada protegido por senha sem realmente inserir uma senha.

Por incrível que pareça, ainda posso ver o conteúdo do meu arquivo de chave privada, embora seja bem protegido por senha. Etapas: 

$ ssh-keygen -t ed25519 -o -a 100

Eu então insiro minha senha. Eu espero um pouco. O processo está concluído e, em seguida, faço um cat da seguinte forma: 

$ cat id_ed25519

Para minha grande surpresa, posso ver claramente minha chave privada.

Eu queria saber se ele era bem protegido por senha. Então, fiz o seguinte: 

$ ssh-keygen -p -f ./id_ed25519

Na verdade, tenho que inserir minha senha "antiga". Caso contrário, não o reconhece!

Estou faltando alguma coisa? Se meu entendimento estiver correto, se meu arquivo de chave privada estiver criptografado, não verei seu conteúdo em um editor de texto, certo? Estou completamente perplexo.

Sistema: MacOS Le Capitan, Homebrew

    
por Faxopita 03.10.2018 / 19:00

2 respostas

1

Existe uma diferença entre uma chave criptografada (que é protegida por senha) e uma chave não criptografada. Todas as chaves ainda são arquivos de texto simples. Abaixo eu criei uma chave, sem senha, e então a assegurei adicionando uma senha, e você pode ver como o conteúdo do arquivo no disco é diferente: 

$ ssh-keygen -f ./id_example
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in ./id_example.
Your public key has been saved in ./id_example.pub.
The key fingerprint is:
SHA256:q1soNjAdOS7sEu/268wb/F0ULMB7a2tmr/n+089Ksu0 user@host
The key's randomart image is:
+---[RSA 2048]----+
|     ..          |
|     ... .       |
|    +  .. o      |
| . o o. .. .     |
|. = o  .S..      |
| + =   .oo       |
|. o * ..o.. ...  |
| o.+ = +=o  .=.. |
| ..oBo+=+=+.ooEoo|
+----[SHA256]-----+
$ cat id_example
-----BEGIN RSA PRIVATE KEY-----
MIIEogIBAAKCAQEArxyeUk2lJ+pkW2bHXJNFUfWz1z3glvOsHSUxUQjx8leKIKRu
[hash truncated fro brevity]
hGWfADUrb5nV5Do/mcjBHQDCjrfCpzPHkNrTaZLs4JDxdhX4G0s=
-----END RSA PRIVATE KEY-----
$ ssh-keygen -p -f ./id_example
Enter new passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved with the new passphrase.
$ cat id_example
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-128-CBC,764EDE56E9A89905CD447F1DEF5ED1AB

uVjfs7qu4a7RMvycvpvtJA0UUG5UtkZ+eY6ppmxL7oA/54qM/7S5bvgOT1hM0wL+
[hash truncated for brevity]
FHCAmqC29+FPHxqG19tII7ndYYU6YDpCQHjUN0TaAI7ikwSmjTiNBfXEZodaHblr
-----END RSA PRIVATE KEY-----

A atual chave é a mesma, mas um agente chave não poderá usar a última chave até que eu a destrave com minha senha. De qualquer forma, eu possuo o arquivo, e ele tem que existir no disco, o que significa que pode ser exibido (por exemplo, com cat ).

Você também pode ver quando exibo a chave revisada que ela mostra explicitamente que está criptografada.

    
por 03.10.2018 / 19:40
0

Você sempre poderá (e precisará) "ver" o conteúdo do seu arquivo de chave privada, mas ele será criptografado para que pareça ser algo sem sentido. O que você precisa ter certeza é que apenas você (ou seja, seu ID de usuário) pode vê-lo. Para fazer isso, você precisa: 

chmod go-rwx ./id_ed25519

Além disso, você provavelmente vai querer manter suas chaves privadas em seu próprio diretório para que você possa chmod o diretório também.

    
por 03.10.2018 / 19:22

Tags

Entendendo e corrigindo o esquema de partição (Fedora28) [fechado] Como ativar / desativar o autoruns no Linux Mint 19 quando uma unidade USB está conectada?