Portál AbcLinuxu, 1. května 2025 04:05
Teď už stačí celý řádek s privátním klíčem zkopírovat do ~/.ssh/authorized_keys
s/privátním/veřejným/
Jedině vygenerovat v PC a na klíčenku nahrát.
Lidi si kupujou i HSMka za děsný peníze, mimojiný aby ty klíče se neválely někde na disku.
Ono pak je nejbezpečnější si to napsat na počítači bez netu a zašifrované vytisknout, akorát to uživatelské pohodlí je pak někde úplně jinde... takže buď se na to šifrování/podepisování pak kašle úplně nebo se používá běžně za cenu, že privátní klíč je na ráně (nebo uložen v proprietárním HW).
Ono nakonec kdyby to generovalo jenom nějakou malou množinu párů klíčů, tak by na to časem taky někdo přišel (stejně jak u openssl na debianu se to taky zjistilo až při praktické kolizi klíčů).<tinfoil hat>Pokud se to neudělá tak debilně jako u Debianu (neříkám, že tvůrce 32Ki backdooru v Debianu byl debil - je to open source, kvalitní generátor backdoornutých klíčů se tam těžko ukryje),</tinfoil hat> tak ne. Stačí generovat deterministické RSA z hardware_serial_number || key_serial_number. Kolik entropie může spapat takový generátor deterministických RSA klíčů? Určitě alespoň 128b. Tak to rozdělíme 64:64. No a pak když chceš něco cracknout, tak musíš zkusit (kolik HW tokenů se vyrobilo)*(kolik klíčů token vygeneroval). Nejspíš to bude něco jako milión*1. A kolizi ti to nevyrobí, dokud na tom někdo nespočítá 2**64 klíčů, což asi nespočítá.
Nicméně každopádně pokud bych dělal s něčím tak explozivním jako třeba Snowdenovy dokumentyTak zrovna těm by zveřejnění prospělo. A že si NSA bude moct po cracknutí té komunikace přečíst své vlastní dokumenty? Yo dawg.
Tiskni
Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.
12.4.2014 05:16