debianforum.de

die deutschsprachige Supportwebseite rund um das Debian-Projekt
https://debianforum.de/forum/

SSH: Passphrase bei ssh-agent Nutzung sinnlos?

https://debianforum.de/forum/viewtopic.php?t=173481

Seite 1 von 1

SSH: Passphrase bei ssh-agent Nutzung sinnlos?

Verfasst: 05.06.2019 06:59:18
von buhtz
Ich versuche die Funktionsweise des ssh-agent zu verstehen.

Warum erzeuge ich mir ein mit passhrase geschützes Schlüsselpaar, wenn ich am Ende die passphrase doch wieder nur einmal eingebe und im Speicher halte? Wo ist dann der Sicherheitsgewinn?

Re: SSH: Passphrase bei ssh-agent Nutzung sinnlos?

Verfasst: 05.06.2019 08:01:31
von uname
Selbst wenn du den Schlüssel am Ziel auf genau deine Quelle eingeschränkt hast, könnte ein Angreifer von deinem System sonst evtl. zugreifen. Besteht diese Einschränkung nicht könnte der Schlüssel entwendet und woanders verwendet werden. Umgekehrt ist es natürlich sehr unpraktisch immer die Passphrase eingzugeben.

Re: SSH: Passphrase bei ssh-agent Nutzung sinnlos?

Verfasst: 05.06.2019 09:06:20
von bluestar
buhtz hat geschrieben: ↑ zum Beitrag ↑
05.06.2019 06:59:18
 Warum erzeuge ich mir ein mit passhrase geschützes Schlüsselpaar, wenn ich am Ende die passphrase doch wieder nur einmal eingebe und im Speicher halte?
Wenn du dies nicht möchtest dann kannst du auch ssh-add -t 3600 nutzen um die TTL einzugrenzen.

Re: SSH: Passphrase bei ssh-agent Nutzung sinnlos?

Verfasst: 05.06.2019 09:13:05
von buhtz
uname hat geschrieben: ↑ zum Beitrag ↑
05.06.2019 08:01:31
Selbst wenn du den Schlüssel am Ziel auf genau deine Quelle eingeschränkt hast, könnte ein Angreifer von deinem System sonst evtl. zugreifen.
Aber das kann er doch auch, wenn ich eine passphrase + agent nutze, oder?

Re: SSH: Passphrase bei ssh-agent Nutzung sinnlos?

Verfasst: 05.06.2019 09:14:59
von buhtz
Wie schätzt ihr die Notwendigkeit von passphrasen-geschützen Schlüsseln für Dienste wie GitHub, GitLab, Coderberg, etc ein?

Wenn ein Schlüssel (ohne passphrase) entwendet und genutzt wird, würde ich es bei dem Dienst ja auch sofort merken, weil alle git-Aktivitäten gelogged werden. In dem Fall könnte ich den Schlüssel einfach entfernen, das repository aus meinen Backups zurücksetzen/reparieren und gut ist.

Re: SSH: Passphrase bei ssh-agent Nutzung sinnlos?

Verfasst: 05.06.2019 11:16:13
von diggerchen
buhtz hat geschrieben: ↑ zum Beitrag ↑
05.06.2019 06:59:18
 Ich versuche die Funktionsweise des ssh-agent zu verstehen.

Warum erzeuge ich mir ein mit passhrase geschützes Schlüsselpaar, wenn ich am Ende die passphrase doch wieder nur einmal eingebe und im Speicher halte? Wo ist dann der Sicherheitsgewinn?
Der Sicherheitsgewinn liegt IMHO darin, dass der private Schlüssel bei Transport und Lagerung vor unberechtigter Benutzung geschützt ist (eine ausreichend sichere Passphrase vorausgesetzt). Benutzt man den privaten Schlüssel auf einem kompromittierten System, bringt die Passphrase kaum Sicherheitsgewinn.
Alle Zeiten sind UTC+01:00
Seite 1 von 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/