---

Hej,

Jeg bruger med stor glæde ssh-agent fra openssh. Men da jeg
efterhånden er ved at have spredt et batragteligt antal nøgler rundt
omkring, er det ved at blive lidt uoverskueligt at holde styr på de
enkelte passphrases.

Jeg kunne derfor godt tænke mig enten at benytte den samme nøgle på
alle maskiner, eller hvis det er en dårlig ide, så i det mindste den
samme passphrase til samtlige nøgler.

Kan nogen af de kloge hoveder se et umiddelbart problem i det? Især
det med at bruges den samme passphrase til flere nøgler forekommer mig
at være ret risikabelt, men er det det?

--
/Wegge <http://outside.bakkelygaard.dk/~wegge/>

---

Anders Wegge Jakobsen <wegge@bakkelygaard.dk> writes:

> Kan nogen af de kloge hoveder se et umiddelbart problem i det? Især
>det med at bruges den samme passphrase til flere nøgler forekommer mig
>at være ret risikabelt, men er det det?

Så længe din(e) private nøgle(r) er sikrede - altså ligger
på maskiner, de ikke kan hugges fra, og man ikke kan "aflytte"
din indtastning af passphrase, er der ikke noget problem i at
bruge den samme.

Men du skal være opmærksom på, at i det øjeblik din passphrase
bliver kendt, skal den onde mand bare have fat i en af dine
private nøgler. Så sørg for at beskytte begge dele godt.

Eneste problem kunne være sikkerhedspolitikken, der kræver, at
man bruger unikke passphrases. Men det kommer jo an på den
konkrete situation.

Mvh.
   Klaus.

---

Anders Wegge Jakobsen wrote:

> Jeg bruger med stor glæde ssh-agent fra openssh. Men da jeg
> efterhånden er ved at have spredt et batragteligt antal nøgler rundt
> omkring,

Hm. Jeg synes du overser en af de væsentlige pointer i public/private-
key konceptet. Det koncept jeg taler om, er selvfølgelig at du med
fordel kan bruge det /samme/ nøglepar til mange forskellige
applikationer, i stedet for at lave nye nøglepar til hver enkelt. Så
længe du sørger for at holde din private nøgle hemmelig, er der ingen
problemer med at bruge den samme offentlige nøgle til alle de systemer
du har brug for adgang til.

Det er faktisk en af de helt store forcer ved den type sikring: Du
behøver kun at huske en enkelt passphrase, selv til applikationer der i
øvrigt er fuldstændigt uafhængige. Og når du så samtidigt bruger ssh-
agent, ja så er du faktisk helt fri for at taste passwords -- i hvert
fald i princippet.

Jeg vil ikke anbefale at bruge samme passphrase til flere nøgler. Brug
i stedet den samme nøgle til flere applikationer. Så gør du livet meget
lettere for dig selv, og du har kun en privat nøgle du skal passe på.
Og hvis uheldet så skulle være ude og du får mistanke om at din nøgle
kan være blevet kopieret eller andet, så har du kun 1 nøgle der skal
revokes i stedet for en hel stabel.

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Nu med politisk ladet signatur.
--> http://www.digitalforbruger.dk

---

"Niels" == Niels Callesøe <pfy@nntp.dk> writes:

> Anders Wegge Jakobsen wrote:
>> Jeg bruger med stor glæde ssh-agent fra openssh. Men da jeg
>> efterhånden er ved at have spredt et batragteligt antal nøgler rundt
>> omkring,

> Hm. Jeg synes du overser en af de væsentlige pointer i public/private-
> key konceptet. Det koncept jeg taler om, er selvfølgelig at du med
> fordel kan bruge det /samme/ nøglepar til mange forskellige
> applikationer, i stedet for at lave nye nøglepar til hver enkelt. Så

Ja, det ved jeg, men måden ssh-agent fungerer på betinger at man har
den private del af nøglen liggende på alle de maskiner hvorfra man vil
lave login til andre maskiner, og installerer den offentlige del på
dem. Ved login bliver man bedt om passphrase til den private nøgle een
gang, og derefter kører ssh, scp, etc. uden behov for authencitering,
så længe de benyttes i en shell der er spawnet fra den oprindelige
ssh-agent. Så hvis jeg skal benytte det samme nøglepar, kræver det at
jeg har både den private og offentlige nøgle liggende på samtlige de
maskiner jeg vil lave login imellem.

> længe du sørger for at holde din private nøgle hemmelig, er der ingen
> problemer med at bruge den samme offentlige nøgle til alle de systemer
> du har brug for adgang til.

Det kan godt komme til at knibe lidt. En af maskinerne er en laptop,
andre er placeret på mit arbejde, hvor jeg ikke har 100% kontrol over
systemet, så det med at holde den private nøgle hemmelig er en
non-triviel opgave.

--
/Wegge <http://outside.bakkelygaard.dk/~wegge/>

---

Anders Wegge Jakobsen <wegge@bakkelygaard.dk> wrote:
> Ja, det ved jeg, men måden ssh-agent fungerer på betinger at man har
> den private del af nøglen liggende på alle de maskiner hvorfra man vil
> lave login til andre maskiner, og installerer den offentlige del på
> dem.

Nej, authentication forwarding (som af gode grunde er slaaet fra per
default) lader ssh relaye authentication requests tilbage til din
arbejdstation. F.eks. indeholder min ~/.ssh/config blandt andet
foelgende for de maskiner jeg stoler paa:

Host miracle
Hostname 193.162.142.71
ForwardAgent yes
Protocol 2

Paa denne maade kan jeg fra min laptop (priceless), som har ssh-agent
koerende, logge ind paa miracle, og derefter videre til andre maskiner
jeg har adgang til. Jeg tillader ikke at alpha forwarder mine
authentication requests, derfor kan jeg ikke logge ind paa beta eller
miracle fra alpha.

priceless$ ssh miracle
This is 'miracle.mongers.org' -- intruders will be shot, raped and burned.
miracle$ ssh a@alpha.area51.dk
Alpha$ ssh a@beta.area51.dk
Permission denied (publickey).
Alpha$ ssh holsta@miracle.mongers.org
This is 'miracle.mongers.org' -- intruders will be shot, raped and burned.
Permission denied (publickey).

Jeg indtaster kun min passphrase een gang, nemlig naar jeg logger ind i
X paa min laptop. Jeg har kun min private key liggende to steder: min
laptop og et CompactFlash kort som jeg bruger til backup af mine
kryptografiske noegler.

> Det kan godt komme til at knibe lidt. En af maskinerne er en laptop,
> andre er placeret på mit arbejde, hvor jeg ikke har 100% kontrol over
> systemet, så det med at holde den private nøgle hemmelig er en
> non-triviel opgave.

Du skal ikke lave authentication forwarding til maskiner som du ikke
stoler paa; root kan stjaele din session og logge ind paa andre maskiner
som dig.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

---

Anders Wegge Jakobsen <wegge@bakkelygaard.dk> wrote:
> Jeg bruger med stor glæde ssh-agent fra openssh. Men da jeg
> efterhånden er ved at have spredt et batragteligt antal nøgler rundt
> omkring, er det ved at blive lidt uoverskueligt at holde styr på de
> enkelte passphrases.

Jeg ser lidt paa private keys som jeg goer paa Kerberos realms: een til
hvert administrativt domaene.

Du har ikke mulighed for at benytte authentication forwarding og dermed
nedbringe antallet af maskiner med dine private noegler?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

"Alex" == Alex Holst <a@mongers.org> writes:

> Anders Wegge Jakobsen <wegge@bakkelygaard.dk> wrote:
>> Jeg bruger med stor glæde ssh-agent fra openssh. Men da jeg
>> efterhånden er ved at have spredt et batragteligt antal nøgler rundt
>> omkring, er det ved at blive lidt uoverskueligt at holde styr på de
>> enkelte passphrases.

> Jeg ser lidt paa private keys som jeg goer paa Kerberos realms: een til
> hvert administrativt domaene.

> Du har ikke mulighed for at benytte authentication forwarding og dermed
> nedbringe antallet af maskiner med dine private noegler?

I nogen tilfælde kunne jeg nok, men da det er en temmelig heterogen
samling maskiner, hvor jeg ikke har administrator adgang på dem alle,
er det ikke en praktisk løsning.

--
/Wegge <http://outside.bakkelygaard.dk/~wegge/>

---

Anders Wegge Jakobsen <wegge@bakkelygaard.dk> wrote:
>> Du har ikke mulighed for at benytte authentication forwarding og dermed
>> nedbringe antallet af maskiner med dine private noegler?
>
> I nogen tilfælde kunne jeg nok, men da det er en temmelig heterogen
> samling maskiner, hvor jeg ikke har administrator adgang på dem alle,
> er det ikke en praktisk løsning.

Hvorfor ikke? Hvis din private key allerede ligger paa disse maskiner
vil det da vaere en forbedring af risikoen hvis du slettede dem og
benyttede authentication forwarding.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

"Alex" == Alex Holst <a@mongers.org> writes:

> Anders Wegge Jakobsen <wegge@bakkelygaard.dk> wrote:
>>> Du har ikke mulighed for at benytte authentication forwarding og dermed
>>> nedbringe antallet af maskiner med dine private noegler?
>>
>> I nogen tilfælde kunne jeg nok, men da det er en temmelig heterogen
>> samling maskiner, hvor jeg ikke har administrator adgang på dem alle,
>> er det ikke en praktisk løsning.

> Hvorfor ikke? Hvis din private key allerede ligger paa disse maskiner
> vil det da vaere en forbedring af risikoen hvis du slettede dem og
> benyttede authentication forwarding.

Jeg er vist ved at være nået ud over kanten af mine evner. Kan du
eventuelt overtales til at skære authentication forwarding ud i pap?


--
/Wegge <http://outside.bakkelygaard.dk/~wegge/>

---

Anders Wegge Jakobsen wrote:

>>>> Du har ikke mulighed for at benytte authentication forwarding
>>>> og dermed nedbringe antallet af maskiner med dine private
>>>> noegler?
>>>
>>> I nogen tilfælde kunne jeg nok, men da det er en temmelig
>>> heterogen samling maskiner, hvor jeg ikke har administrator
>>> adgang på dem alle, er det ikke en praktisk løsning.
>
>> Hvorfor ikke? Hvis din private key allerede ligger paa disse
>> maskiner vil det da vaere en forbedring af risikoen hvis du
>> slettede dem og benyttede authentication forwarding.
>
> Jeg er vist ved at være nået ud over kanten af mine evner. Kan du
> eventuelt overtales til at skære authentication forwarding ud i
> pap?

Jeg tror noget af svaret kommer til at afhænge af, præcis hvordan det
er du logger på de pågældende maskiner. Har du ikke en eller flere
maskiner hvorfra du altid vil logge på de øvrige? Eller er det helt
tilfældigt hvilken maskine du starter fra?

I det sidste tilfælde ville et flytbart medie -- som for eksempel en
USB nøgle -- med din private nøgle på måske være sagen?

Jeg er bestemt ikke nogen ekspert i ssh[0], men jeg tror det vil gøre
det lettere at give dig et godt forslag med lidt mere information om
hvordan det normalt er du tilgår de forskellige maskiner.


[0]: Alex, derimod..

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Nu med politisk ladet signatur.
--> http://www.digitalforbruger.dk

---

Anders Wegge Jakobsen <wegge@bakkelygaard.dk> wrote:
>> Hvorfor ikke? Hvis din private key allerede ligger paa disse maskiner
>> vil det da vaere en forbedring af risikoen hvis du slettede dem og
>> benyttede authentication forwarding.
>
> Jeg er vist ved at være nået ud over kanten af mine evner. Kan du
> eventuelt overtales til at skære authentication forwarding ud i pap?

Jeg har benyttet lejligheden til at opdatere 'I seng med SSH':

http://mongers.org/ssh#ssh-auth-forwarding

Er det forstaaligt?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

"Alex" == Alex Holst <a@mongers.org> writes:

> Anders Wegge Jakobsen <wegge@bakkelygaard.dk> wrote:

....

>> Jeg er vist ved at være nået ud over kanten af mine evner. Kan du
>> eventuelt overtales til at skære authentication forwarding ud i pap?

> Jeg har benyttet lejligheden til at opdatere 'I seng med SSH':

> http://mongers.org/ssh#ssh-auth-forwarding

> Er det forstaaligt?

Helt afgjort. Du skal have tak for forklaringen.

--
/Wegge <http://outside.bakkelygaard.dk/~wegge/>