Obwohl ich sie bereits nutze, bleibt es für mich schwierig mich in diese Schüssel reinzudenken. Mir ist auch klar, dass es keine klare und eindeutige Antwort zu den diversen Sicherheitskonzepten/-paradigmen (z.B. mit/ohne passphrase) gibt. Ich versuche auch nur gerade zu eruieren, ob ich hier gedanklich einigermaßen auf dem richtigen Weg bin. Ich denke immer noch zu sehr im "Passwort-Paradigma".
Ich habe auf meiner Maschine einen SSH Key, mit dem ich in Codeberg.org (eine Gitea-Instanz) passwortlos git-repos pullen und pushen kann. Unter ~/.ssh/ liegt eine id_ed25519 Datei (privater Schüssel?) und die .pub "Version" dazu. Geht alles.
Dieses Schlüsselpaar existiert nur für diese Maschine (bzw. dessen Nutzeraccount). Wenn ich mit einem anderen PC/Laptop auf Codeberg will, gibt es ein anderes Schüsselpaar. Das Paar hat keine Passphrase.
Nun will ich auf GitHub auch passwortlos mit git-repos hantieren können und benötige dafür auch einen Schlüssel.
ssh-keygen möchte dafür aber den alten Schlüssel überschreiben.
Was wäre jetzt das logische Vorgehen?
a) Brauche ich gar kein zweites Schüsselpaar? Ist es vertretbar, dass das selbe Schlüsselpaar nicht nur für Codeberg, sondern auch GitHub verwende?
b) Besser ein zweites Schlüsselpaar. Aber wie sage ich dann "git" auf der shell, welcher Schlüssel jetzt relevant ist. Oder weiß der das selber je nach dem ob GitHub oder Codeberg als "remote" in dem jeweiligen repo eingestellt ist?
Was kann bei a) passieren? Jemand kompromittiert die Maschine bzw. dessen Account und ist somit im Besitzt des Schlüsselpaars. So kann sie/er auf GitHub und Codeberg zugreifen. Bei b) hätte ich das selbe Problem.
Bin ich da auf dem richtigen Weg?
Noch mal etwas weitergesponnen: Macht es einen Unterschied, wenn ich dieses Schlüsselpaar auch für einen SSH-shell Zugang auf Servern in meinem lokalen Netzwerk nutze? IMHO nein.
SSH-Key für Codeberg und GitHub
SSH-Key für Codeberg und GitHub
Debian 11 & 12; Desktop-PC, Headless-NAS, Raspberry Pi 4
Teil des Upstream Betreuer Teams von Back In Time (backintime)
Teil des Upstream Betreuer Teams von Back In Time (backintime)
Re: SSH-Key für Codeberg und GitHub
Hi,
der sicherlich problematischste Fall - der hoffentlich nie eintritt - wäre, wenn es irgendwann möglich wäre, aus der Kenntnis des öffentlichen Schlüssels (und anderer Informationen wie z.B. ausreichend Kommunikationsmitschnitten) den privaten Schlüssel zu berechnen.
Dann wäre Dein Schlüssel kompromittiert, ohne dass jemand Zugriff auf Deine Maschine hat.
[In Deinem Fall b) wäre dann zunächst nur ein Schlüssel betroffen.]
Ich persönlich ziehe es vor, für unterschiedliche Zugänge auch mit unterschiedlichen SSH-Keys zu arbeiten.
Daher verwende ich bei ssh-keygen auch immer die Option -f.
Damit SSH dann damit klarkommt - und damit auch Git - muss man in der ~/.ssh/config entsprechende Einträge hinterlegen.
Daraus entnimmt SSH dann, für welchen Server welcher Schlüssel verwendet werden soll.
Viele Grüße
Stefan
der sicherlich problematischste Fall - der hoffentlich nie eintritt - wäre, wenn es irgendwann möglich wäre, aus der Kenntnis des öffentlichen Schlüssels (und anderer Informationen wie z.B. ausreichend Kommunikationsmitschnitten) den privaten Schlüssel zu berechnen.
Dann wäre Dein Schlüssel kompromittiert, ohne dass jemand Zugriff auf Deine Maschine hat.
[In Deinem Fall b) wäre dann zunächst nur ein Schlüssel betroffen.]
Ich persönlich ziehe es vor, für unterschiedliche Zugänge auch mit unterschiedlichen SSH-Keys zu arbeiten.
Daher verwende ich bei ssh-keygen auch immer die Option -f.
Damit SSH dann damit klarkommt - und damit auch Git - muss man in der ~/.ssh/config entsprechende Einträge hinterlegen.
Daraus entnimmt SSH dann, für welchen Server welcher Schlüssel verwendet werden soll.
Viele Grüße
Stefan
Bürokratie kann man nur durch ihre Anwendung bekämpfen.
Re: SSH-Key für Codeberg und GitHub
Und warum?shoening hat geschrieben:28.06.2022 16:36:28Ich persönlich ziehe es vor, für unterschiedliche Zugänge auch mit unterschiedlichen SSH-Keys zu arbeiten.
Debian 11 & 12; Desktop-PC, Headless-NAS, Raspberry Pi 4
Teil des Upstream Betreuer Teams von Back In Time (backintime)
Teil des Upstream Betreuer Teams von Back In Time (backintime)
- heisenberg
- Beiträge: 4123
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz