Comment savoir si une clé SSH publique a une phrase secrète

13

C'est probablement une question sans objet, mais comment puis-je déterminer si la clé SSH publique que quelqu'un me donne a une phrase de passe ou non?

Nous avons une situation où je ne génère pas les clés SSH pour les utilisateurs, mais je veux m'assurer que chaque clé SSH que je mets sur un serveur a une phrase de passe, mais j'ai l'impression que la phrase de passe n'est qu'une partie de la clé privée.

Merci!

Peter Sankauskas
la source

Réponses:

27

Ce n'est pas quelque chose que vous pouvez déterminer à partir de la moitié publique de la clé. Même si vous pouviez le déterminer, qu'est-ce qui empêche l'utilisateur de le supprimer ultérieurement?

Lorsque vous supprimez la phrase secrète du côté privé de la clé, le côté public ne change pas.

James F
la source
7

Vous ne pouvez pas dire si une clé privée a une phrase de passe ou non.

James
la source
3
Plus précisément, les clés publiques n'ont pas de phrases de passe. Seules les clés privées le font.
Swoogan
-2

Je pense que la phrase secrète est le cryptage synchrone de la clé privée et n'affecterait donc pas la clé publique. Techniquement, cela n'affecte aucune des deux clés, car il ne fait que chiffrer les données de la clé privée.

Si vous avez une politique concernant l'exigence de phrases de passe, vous pouvez également vouloir établir une politique concernant le transfert de l'agent ssh et de l'agent car cela stocke le socket utilisé pour accéder au processus ssh-agent dans / tmp sans beaucoup de sécurité en dehors des autorisations de fichier unix à protéger il.

James
la source
Je ne pense pas que la clé soit stockée non chiffrée dans / tmp. Je crois qu'il est stocké en mémoire sur la machine d'origine sur laquelle l'utilisateur est entré dans la phase.
James
Désolé, vous avez raison, une clé non chiffrée non stockée dans / tmp. Le socket ssh-agent est stocké dans / tmp et toute personne disposant de droits d'accès Unix pour accéder audit socket peut utiliser les clés que ssh-agent a pour vous. Encore un problème de sécurité assez important.
James