Kdy použít pro privátní klíč passphrase

Kdy použít pro privátní klíč passphrase
« kdy: 17. 06. 2021, 15:33:07 »
Zamýšlím se v jakých případech je vhodné použití passphrase a kdy je to zbytečné, protože to nemá žádné reálné znatelné bezpečnostní výhody.

Děkuji za informace.
« Poslední změna: 17. 06. 2021, 16:30:54 od Petr Krčmář »


Jose D

  • *****
  • 849
    • Zobrazit profil
Re:Kdy použí pro privátní klíč passphrase
« Odpověď #1 kdy: 17. 06. 2021, 16:04:29 »
svym userum to durazne doporucuji zejmena v takovych pripadech, kdy nemaji sifrovany disk a soucasne jde o prenosny pocitac, tj. hrozi realne riziko pouziti treti osobou.

tj. realne jde o to jak bezpecne mas ulozeny ten privatni klic.

Re:Kdy použí pro privátní klíč passphrase
« Odpověď #2 kdy: 17. 06. 2021, 16:14:09 »
Je to přesně jak píšeš. Mám notebook s widlema, které nejsou ve verzi pro. Takže šifrování disku neumí a já nechci používat žádné programy třetích stran. No mám ten privátní klíč uložený bez passphrase na disku někde v ve složce s dokumenty. :-)

Problém je že mě nikdy nestačí odpověď, která mi radí co mám udělat. Mohl bys mi ještě prosím napsat proč bych to měl udělat? Co je na pozadí? Jaké tam jsou hrozby a jak ty hrozby passphrase vyřeší?

Vyřeší je vůbec když existuje keylogger? Tak jak to chápu, tak mi přijde, že passphrase vůbec nic neřeší, jen nepatrně zkomplikuje útočníkovi zneužití mého klíče.

Díky ti.

Re:Kdy použít pro privátní klíč passphrase
« Odpověď #3 kdy: 17. 06. 2021, 16:47:56 »
Pokud vám útočník může nainstalovat něco do systému, nepomůže žádné softwarové řešení. Pak pomůže jenom klíč na USB tokenu nebo čipové kartě.

Heslo ke klíči řeší případ, kdy by vám ten notebook někdo ukradl. Keylogger mu nepomůže, heslo na ukradeném notebooku už zadávat nebudete. Ale pokud někdo na tom ukradeném notebooku najde klíč bez hesla, může se okamžitě přihlásit a začít páchat škodu. Pokud ten klíč bude chráněný heslem, může útočník to heslo začít louskat. Asi tam nebude nějaké extra komplikované heslo, takže se počítá s tím, že se k tomu klíči v řádu hodin nebo dnů dostane. Jenže tu dobu vy máte na to, abyste ten klíč všude zneplatnil. Takže to je (pokud vím) jediný důvod, proč se používá heslo ke klíči – aby vám to dalo čas na zneplatnění klíče.

Re:Kdy použít pro privátní klíč passphrase
« Odpověď #4 kdy: 17. 06. 2021, 16:56:58 »
Váu díky, za vysvětlení proč se mi hodí passphrase, už mám jasno. Ještě bych rád znal argumenty proč/v jakém případě použít či nepoužít ssh-agent forwarding. Či je pro mě vhodné používat třeba jen passphrase bez ssh-agenta či bez fforwardingu toho agenta?

Na ssh-agenta a forwarding jsem sice vytvořil příslušný topic věnujícíse přímo jim, ale ento topic s tím vlastně také souvisí, tak snad to neva.

1) Jakto, že PC ten HW klíč vidí, ale útočník by ho neviděl?
2) Nepomůže ani ssh-agent forwarding, tam by taky klíče měly být mimo PC.


Re:Kdy použít pro privátní klíč passphrase
« Odpověď #5 kdy: 17. 06. 2021, 17:59:32 »
Já bych prostě ssh-agenta použil pokaždé, když je to možné, včetně forwardingu (když se potřebuju přihlašovat dál). Je to pohodlnější na používání a bezpečnost se tím nesnižuje. Taková kombinace se málokdy podaří…

1) Jakto, že PC ten HW klíč vidí, ale útočník by ho neviděl?
Útočník HW klíč vidí, ale může ho použít akorát k navázání spojení v tomto okamžiku. Až HW klíč vytáhnete, o přístup přijde. Případně pokud je přístup chráněn heslem/PINem, musí dávat pozor, aby ve vás nevzbudil podezření, že po vás agent požaduje PIN, když jste se nikam nepřipojoval.

2) Nepomůže ani ssh-agent forwarding, tam by taky klíče měly být mimo PC.
Na tom „mezipočítači“ pomůže. Na počítači, u kterého sedíte, záleží na tom, jak ten klíč do ssh-agenta dostáváte – zda je to soubor na disku, nebo soubor na disku chráněný heslem, nebo zda se ssh-agent ten klíč vůbec nedozví, protože je klíč uložen např. právě na USB tokenu.