Biarkan saya mulai dengan mengatakan bahwa saya tahu mendistribusikan kunci pribadi adalah hal yang sangat bodoh untuk dilakukan, seperti membuat salinan kata sandi Anda dan membagikannya (dalam hal ini, salinan terenkripsi yang akan didekripsi untuk digunakan) - itu bukan sesuatu Saya ingin atau ingin melakukannya. Namun, saya tidak bisa memikirkan alternatif lain, jadi saya menemukan cara aman untuk melakukan hal yang tidak terpikirkan, atau saya meminta kebijaksanaan komunitas pengguna super dalam menemukan alternatif yang sesuai.
Situasi Hipotetis:
Kami telah mendistribusikan banyak (ratusan) perangkat jenis server rumah ke pelanggan, yang masing-masing berisi Kunci Publik RSA yang sama.
Perusahaan adalah satu-satunya pemilik kunci privat terkait, namun kami mempekerjakan teknisi untuk tujuan dukungan yang harus menggunakan kunci ini untuk mengakses server pelanggan dan bekerja secara efektif.
Secara alami mereka masing-masing akan memerlukan salinan kunci privat, yang akan dilindungi kata sandi - namun jika mereka diberi kata sandi untuk menggunakannya, mereka akan dapat secara bebas mendistribusikan kunci privat yang tidak terenkripsi dan mengkompromikannya.
Jadi apakah akan ada cara, mungkin menggunakan program pihak ke-3, untuk memberikan setiap insinyur kata sandi mereka sendiri, yang mengatakan program (setelah secara aman menyimpan kata sandi yang benar untuk kunci) kemudian akan digunakan sebagai otorisasi untuk mendekripsi kunci dan menggunakannya untuk koneksi - tanpa menyimpan formulir yang didekripsi pada disk / mengizinkan akses ke insinyur?
Poin penting terakhir:
Login server pelanggan (diberikan unik dengan produk) bukan tingkat administrator, karena alasan yang tidak relevan dengan pertanyaan ini. Insinyur tidak bisa hanya menggunakan nama pengguna dan kata sandi default untuk akses admin karena mereka juga akan dapat membagikan informasi ini dan membahayakan keamanan, tanpa kami melacak kebocoran kembali ke mereka.
Sejauh yang saya ketahui tidak layak, maka tetapkan masing-masing insinyur pasangan kunci mereka sendiri karena setiap produk akan memerlukan pembaruan dengan kunci publik baru setiap kali kami menyewa insinyur baru.
Saya juga sadar bahwa orang yang bertekad dapat mengekstrak kunci yang tidak terenkripsi bahkan jika itu hanya disimpan dalam memori komputer sementara - alasan lain saya ingin alternatif.
Terakhir, saya ingin menghindari otentikasi berbasis perangkat keras berdasarkan biaya yang dikeluarkan.
Terima kasih sebelumnya atas saran Anda
sumber
Jawaban:
Anda dapat mengkonfigurasi a lompat server di kantor / kantor Anda yang memiliki aplikasi yang diperlukan dan kunci pribadi diinstal. Maka semua insinyur yang direkrut ini akan memerlukan akses jarak jauh (RDP / VNC) ke server yang satu ini tempat mereka dapat mengakses server pelanggan Anda.
Bahkan jika ini berhasil, itu tidak sempurna karena Anda masih membagikan kunci pribadi itu, tetapi itu di satu tempat, bukan di semua komputer insinyur.
sumber