Masalah keamanan menampilkan kunci privat ssh

14

Saya telah membuat kesalahan besar, atau setidaknya saya pikir saya lakukan: Saya telah "catted" kunci SSH pribadi saya

cat ~/.ssh/id_rsa

Saya sekarang takut bahwa saya telah membuat lubang keamanan, memungkinkan pengguna lain untuk melihat kunci pribadi saya dengan melihat bash / scrollback history atau menggunakan metode lain. Jadi, pertanyaan saya:

  1. Apakah saya benar-benar membahayakan keamanan keypair SSH saya?
  2. Apakah ada cara yang cukup aman untuk menambalnya, tidak termasuk cara yang jelas (dan paling aman) untuk membuat keypair baru?

(CATATAN: saya satu-satunya pengguna mesin jadi saya sebenarnya tidak begitu peduli dengan kasus spesifik saya, tapi saya pikir ini akan menjadi pertanyaan yang menarik.)

LeartS
sumber

Jawaban:

20

Jika Anda melakukan ini secara pribadi, tidak ada masalah. Pikirkan tentang hal ini - Anda hanya menampilkan data yang sama persis yang sudah tersimpan di harddisk Anda pada layar. Dan jika ada yang bisa mengakses scrollback atau riwayat Anda, mereka bisa membaca id_rsafile secara langsung.

  • Selain itu, riwayat shell Anda - bahkan jika itu dapat dibaca oleh pengguna lain (yang bukan) - hanya berisi perintah, bukan outputnya. Jadi yang ada hanyalah sebuah garis cat ~/.ssh/id_rsadi dalamnya.

  • Sejarah scrollback, untuk sebagian besar terminal, disimpan sepenuhnya dalam memori. (terminal berbasis libvte kadang-kadang menggunakan file backing di / tmp, tapi entah itu tmpfs atau terletak di disk yang sama dengan ~ / .ssh Anda, bagaimanapun ...) Jadi menjadi tidak relevan setelah Anda menutup terminal. Dan bagaimanapun itu hanya dapat diakses oleh Anda, tentu saja.

  • Dan sangat sering, kunci pribadi itu sendiri dienkripsi dengan frasa sandi dan tidak dapat digunakan kecuali Anda mendekripsi ketika sshdiminta.

Kecuali, tentu saja, Anda melakukan ini di hadapan kamera keamanan resolusi tinggi, atau bahkan secara langsung mengizinkan seseorang untuk mengambil foto dari jendela terminal Anda. Jika demikian, seseorang dapat mengetik ulang kunci dari foto, dan satu-satunya hal yang melindunginya adalah frasa sandi enkripsi.

pengguna1686
sumber