1. Dom
  2. Pytanie i odpowiedź
  3. Najlepsze praktyki dla prywatnych kluczy prywatnych

Najlepsze praktyki dla prywatnych kluczy prywatnych

2012-06-04 20 views
5

Właśnie zaczynam używać kluczy RSA w mojej codziennej pracy i mam kilka pytań dotyczących najlepszych sposobów ich użycia.Najlepsze praktyki dla prywatnych kluczy prywatnych

Największe pytanie dotyczy idei wielu klientów i wielu serwerów. Oto scenariusz:

Mam dwa komputery klienckie:

  1. pulpitu
  2. Laptop

I są dwa serwery, które będę uwierzytelnianie:

  1. Mój własny lokalny serwer
  2. Usługa zdalna (np. Git piasta)

Tak więc, na ogół, ile par kluczy zaleciłbyś w tej sytuacji?

  • Jedna para kluczy: ten klawisz to "Ja" i używam go wszędzie.
  • Jeden na klienta: ten klucz to "Ten klient" i umieszczam go na każdym serwerze, z którym chcę się połączyć z tego klienta.
  • Jedna para kluczy na serwer: Jest to klucz "dla tej usługi", a ja przyprowadzam klucz prywatny do każdego klienta, z którym chcę się połączyć.
  • Jedna dla każdej kombinacji: każde unikalne parowanie klient-serwer ma swoją własną parę kluczy.

Jeśli żaden z nich nie jest znacznie lepsze lub gorsze do innych, można przedstawić zalety i wady każdego z nich tak, że człowiek może wybrać dla siebie?

Źródło

2012-06-04 Ipsquiggle

Odpowiedz

2

twoich czterech opcji, dwa Lubię to:

  • Jeden na kliencie: Ten klucz jest „Klient” i umieścić go na każdym serwerze mam na myśli, aby połączyć się z tym klientem.

    To daje łatwy zdolność do odwołania wszystkie klucze dla konkretnego klienta, w przypadku jest zagrożona - usunięcie jednego klawisza na każdą usługę. Ponadto skaluje się liniowo tylko pod względem liczby klientów, co prawdopodobnie ułatwi zarządzanie kluczami. To nawet pasuje do modelu klucza OpenSSH, który ma dać każdemu klientowi klucz, który jest używany na wielu serwerach. (Ty może zrobić inne modele z OpenSSH, co jest ładne, ale to jest najłatwiej to zrobić, jak to dzieje się bez żadnego wysiłku ze strony użytkownika.).

  • Jeden dla każdej kombinacji: Każdy unikalny parowanie klient-serwer ma swoją własną parę kluczy.

    Ma to tę wadę, że wymusza odwołanie wielu kluczy w przypadku złamania pojedynczego klienta, ale w każdym razie będzie to jeden klucz na usługę, więc nie jest znacząco gorszy. Lepszym wyjściem jest to, że znacznie trudniej będzie, aby jedna usługa służyła jako pośrednik między tobą a inną usługą. W większości przypadków nie jest to problemem, ale jeśli nagle użyty zostanie klucz (Laptop, Serwer, SMTP) (Laptop, Serwer, SSH), będziesz miał okazję zauważyć dziwność. Nie jestem pewien, czy ta umiejętność warta jest kwadratowego zwiększenia liczby kluczy do zarządzania.

Źródło

2012-06-04 23:00:01 sarnold

2

Typowym sposobem wykonania tej czynności jest opcja "Jeden na klienta". W ten sposób, w przypadku zaatakowanego klucza klienta, możesz odwołać tylko ten klucz z serwerów, na które jest on dozwolony. Jeśli chcesz dodatkowej pracy, możesz wykonać "Jeden za każdą kombinację".

Powyższe opcje pozwalają uniknąć kopiowania danych klucza prywatnego między hostami.

Źródło

2012-06-04 22:58:05

Powiązane problemy

 Powiązane problemy