SSH-Key für Codeberg und GitHub

Vom einfachen Programm zum fertigen Debian-Paket, Fragen rund um Programmiersprachen, Scripting und Lizenzierung.
Antworten
buhtz
Beiträge: 1209
Registriert: 04.12.2015 17:54:49
Kontaktdaten:

SSH-Key für Codeberg und GitHub

Beitrag von buhtz » 28.06.2022 14:20:50

Obwohl ich sie bereits nutze, bleibt es für mich schwierig mich in diese Schüssel reinzudenken. ;) Mir ist auch klar, dass es keine klare und eindeutige Antwort zu den diversen Sicherheitskonzepten/-paradigmen (z.B. mit/ohne passphrase) gibt. Ich versuche auch nur gerade zu eruieren, ob ich hier gedanklich einigermaßen auf dem richtigen Weg bin. Ich denke immer noch zu sehr im "Passwort-Paradigma".

Ich habe auf meiner Maschine einen SSH Key, mit dem ich in Codeberg.org (eine Gitea-Instanz) passwortlos git-repos pullen und pushen kann. Unter ~/.ssh/ liegt eine id_ed25519 Datei (privater Schüssel?) und die .pub "Version" dazu. Geht alles.
Dieses Schlüsselpaar existiert nur für diese Maschine (bzw. dessen Nutzeraccount). Wenn ich mit einem anderen PC/Laptop auf Codeberg will, gibt es ein anderes Schüsselpaar. Das Paar hat keine Passphrase.

Nun will ich auf GitHub auch passwortlos mit git-repos hantieren können und benötige dafür auch einen Schlüssel.
ssh-keygen möchte dafür aber den alten Schlüssel überschreiben.

Was wäre jetzt das logische Vorgehen?

a) Brauche ich gar kein zweites Schüsselpaar? Ist es vertretbar, dass das selbe Schlüsselpaar nicht nur für Codeberg, sondern auch GitHub verwende?

b) Besser ein zweites Schlüsselpaar. Aber wie sage ich dann "git" auf der shell, welcher Schlüssel jetzt relevant ist. Oder weiß der das selber je nach dem ob GitHub oder Codeberg als "remote" in dem jeweiligen repo eingestellt ist?

Was kann bei a) passieren? Jemand kompromittiert die Maschine bzw. dessen Account und ist somit im Besitzt des Schlüsselpaars. So kann sie/er auf GitHub und Codeberg zugreifen. Bei b) hätte ich das selbe Problem.

Bin ich da auf dem richtigen Weg?

Noch mal etwas weitergesponnen: Macht es einen Unterschied, wenn ich dieses Schlüsselpaar auch für einen SSH-shell Zugang auf Servern in meinem lokalen Netzwerk nutze? IMHO nein.
Debian 11 & 12; Desktop-PC, Headless-NAS, Raspberry Pi 4
Teil des Upstream Betreuer Teams von Back In Time (Debianbackintime)

Benutzeravatar
shoening
Beiträge: 914
Registriert: 28.01.2005 21:05:59
Lizenz eigener Beiträge: MIT Lizenz

Re: SSH-Key für Codeberg und GitHub

Beitrag von shoening » 28.06.2022 16:36:28

Hi,

der sicherlich problematischste Fall - der hoffentlich nie eintritt - wäre, wenn es irgendwann möglich wäre, aus der Kenntnis des öffentlichen Schlüssels (und anderer Informationen wie z.B. ausreichend Kommunikationsmitschnitten) den privaten Schlüssel zu berechnen.

Dann wäre Dein Schlüssel kompromittiert, ohne dass jemand Zugriff auf Deine Maschine hat.
[In Deinem Fall b) wäre dann zunächst nur ein Schlüssel betroffen.]

Ich persönlich ziehe es vor, für unterschiedliche Zugänge auch mit unterschiedlichen SSH-Keys zu arbeiten.
Daher verwende ich bei ssh-keygen auch immer die Option -f.
Damit SSH dann damit klarkommt - und damit auch Git - muss man in der ~/.ssh/config entsprechende Einträge hinterlegen.
Daraus entnimmt SSH dann, für welchen Server welcher Schlüssel verwendet werden soll.

Viele Grüße
Stefan
Bürokratie kann man nur durch ihre Anwendung bekämpfen.

buhtz
Beiträge: 1209
Registriert: 04.12.2015 17:54:49
Kontaktdaten:

Re: SSH-Key für Codeberg und GitHub

Beitrag von buhtz » 28.06.2022 16:47:56

shoening hat geschrieben: ↑ zum Beitrag ↑
28.06.2022 16:36:28
Ich persönlich ziehe es vor, für unterschiedliche Zugänge auch mit unterschiedlichen SSH-Keys zu arbeiten.
Und warum?
Debian 11 & 12; Desktop-PC, Headless-NAS, Raspberry Pi 4
Teil des Upstream Betreuer Teams von Back In Time (Debianbackintime)

Benutzeravatar
heisenberg
Beiträge: 4123
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: SSH-Key für Codeberg und GitHub

Beitrag von heisenberg » 28.06.2022 18:17:33

buhtz hat geschrieben: ↑ zum Beitrag ↑
28.06.2022 16:47:56
shoening hat geschrieben: ↑ zum Beitrag ↑
28.06.2022 16:36:28
Ich persönlich ziehe es vor, für unterschiedliche Zugänge auch mit unterschiedlichen SSH-Keys zu arbeiten.
Und warum?
Darum:
[In Deinem Fall b) wäre dann zunächst nur ein Schlüssel betroffen.]

Antworten