SSH-Keys

13/12/2015 - 09:10 von Markus Müller | Report spam
Hallo Liste,

Ẃelcher Algorythmus ist der sicherste (DSA, ECDSA or RSA ) ?

Benutzt man/ihr für jeden Server einen seperaten key oder einer für alles ?

Was kann ein Finder eines USB-Sticks mit dem passphrase gesicherten Key
anfangen ?
(Ich gehe hier davon aus, das der Verlust zeitnah bemerkt wird und
Schlüssel zeitnah auf den Servern ausgetauscht werden)

Grüsse,
Markus
 

Lesen sie die antworten

#1 Marc Haber
13/12/2015 - 13:50 | Warnen spam
On Sun, 13 Dec 2015 09:07:20 +0100, Markus Müller
wrote:
?elcher Algorythmus ist der sicherste (DSA, ECDSA or RSA ) ?



DSA ist nur für heute nicht mehr zeitgemàße Schlüssellàngen
kryptografisch untersucht. ECDSA ist umstritten, da die Parameter
kompromittiert sein könnte. RSA (mit einer Schlüssellànge von > 2048
bit) ist wohl aktuell immer noch die beste Wahl.

Disclaimer: Ich bin kein Kryptologe.

Benutzt man/ihr für jeden Server einen seperaten key oder einer für alles ?



Wenn Du von Host Keys sprichst, da hat jeder Server natürlich seinen
eigenen.

Meine persönlichen Keys, die ich zum Einloggen auf Server verwende,
oganisiere ich nach Kunden: Einen Key pro Kunden und einen eigenen für
meine "eigenen" Server. Auf diese Weise brauche ich nur den Key im
ssh-Agent geladen zu haben, den ich aktuell gerade für meine Arbeit
benötige, und ich kann mich nach dem Ende eines Engagements
wirkungsvoll selbst beim Kunden aussperren.

Was kann ein Finder eines USB-Sticks mit dem passphrase gesicherten Key
anfangen ?



Er kann in aller Ruhe und mit voller Geschwindigkeit seiner (notfalls
massiv parallelen) Hardware Deine Passphrase bruteforcen, weil es
keine Beschrànkung der Zugriffsversuche geben kann.

In dieser Beziehung ist ein ssh-Key mit schlechter Passphrase sogar
unsicherer als klassische Passwort-Authentifizierung, weil der Server
brute-force-Ansàtze ausbemsen kann bzw nach einer bestimmten Zahl von
Versuchen einfach ganz zumachen kann.

(Ich gehe hier davon aus, das der Verlust zeitnah bemerkt wird und
Schlüssel zeitnah auf den Servern ausgetauscht werden)



Dann ist's wurschd ;-)

Grüße
Marc
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Ähnliche fragen