Saya mendapatkan akses ke server SFTP jarak jauh. Admin telah membuat pengguna untuk saya, dan membuat pasangan kunci publik / pribadi untuk saya. Lalu ia dengan aman mengirimi saya file kunci pribadi, yang saya gunakan untuk otentikasi. Saya percaya ini tidak baik, saya harus menjadi orang yang menghasilkan pasangan kunci, dan memberikan kunci publik kepadanya. Tapi saya tidak bisa memikirkan alasan bagus mengapa ini buruk, jika saya menggunakan kunci ini hanya untuk masuk ke server itu, tidak ada server lain. Apakah ada alasan seperti itu?
authentication
ssh-keys
private-key
matthiash
sumber
sumber
Jawaban:
Persis seperti yang Anda katakan: Seluruh konsep otentikasi kunci publik adalah bahwa kunci privat hanya boleh diketahui oleh pemilik, sedangkan kunci publik yang sesuai dapat disebarluaskan. Keamanan otentikasi Anda tergantung pada keamanan kunci pribadi, bukan keamanan kunci publik.
Fakta bahwa orang lain memberi Anda kunci pribadi secara otomatis membuatnya dikompromikan. (Anda tidak tahu apakah admin lain itu masih memiliki salinan yang dapat digunakan untuk menyamar sebagai Anda.)
sumber
Untuk kunci itu, organisasi tidak memiliki penolakan . Yaitu, jika seseorang melakukan sesuatu yang kasar atau merusak sistem itu menggunakan kunci 'Anda', admin tidak dapat menyalahkan Anda karena hanya bertanggung jawab untuk itu. Karena orang yang memberikannya kepada Anda juga memiliki kunci. Ini mungkin tidak terlalu buruk bagi Anda, karena itu memberi Anda pertahanan, tetapi mengerikan bagi organisasi yang mengendalikan server, jika sesuatu yang buruk pernah terjadi.
Anda mungkin dapat menggunakan hak menulis yang Anda miliki dari kunci yang disediakan, untuk memperbarui kunci resmi Anda, dan menambahkan kunci Anda, dan menghapus kunci yang disediakan.
sumber
crypt
(2) dalam banyak bentuk menghiburnya.