Re: SSH-Keys
On Sun, 13 Dec 2015 09:07:20 +0100, Markus Müller
<120.9921fbsd@gmail.com> wrote:
>?elcher Algorythmus ist der sicherste (DSA, ECDSA or RSA ) ?
DSA ist nur für heute nicht mehr zeitgemäße Schlüssellängen
kryptografisch untersucht. ECDSA ist umstritten, da die Parameter
kompromittiert sein könnte. RSA (mit einer Schlüssellänge von > 2048
bit) ist wohl aktuell immer noch die beste Wahl.
Disclaimer: Ich bin kein Kryptologe.
>Benutzt man/ihr für jeden Server einen seperaten key oder einer für alles ?
Wenn Du von Host Keys sprichst, da hat jeder Server natürlich seinen
eigenen.
Meine persönlichen Keys, die ich zum Einloggen auf Server verwende,
oganisiere ich nach Kunden: Einen Key pro Kunden und einen eigenen für
meine "eigenen" Server. Auf diese Weise brauche ich nur den Key im
ssh-Agent geladen zu haben, den ich aktuell gerade für meine Arbeit
benötige, und ich kann mich nach dem Ende eines Engagements
wirkungsvoll selbst beim Kunden aussperren.
>Was kann ein Finder eines USB-Sticks mit dem passphrase gesicherten Key
>anfangen ?
Er kann in aller Ruhe und mit voller Geschwindigkeit seiner (notfalls
massiv parallelen) Hardware Deine Passphrase bruteforcen, weil es
keine Beschränkung der Zugriffsversuche geben kann.
In dieser Beziehung ist ein ssh-Key mit schlechter Passphrase sogar
unsicherer als klassische Passwort-Authentifizierung, weil der Server
brute-force-Ansätze ausbemsen kann bzw nach einer bestimmten Zahl von
Versuchen einfach ganz zumachen kann.
>(Ich gehe hier davon aus, das der Verlust zeitnah bemerkt wird und
>Schlüssel zeitnah auf den Servern ausgetauscht werden)
Dann ist's wurschd ;-)
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Reply to:
- References:
- SSH-Keys
- From: Markus Müller <120.9921fbsd@gmail.com>