Nous savons donc tous comment utiliser une clé publique / privée en utilisant SSH, etc. Mais quel est le meilleur moyen de les utiliser / de les réutiliser? Devrais-je les garder dans un endroit sûr pour toujours? Je veux dire, il me fallait une paire de clés pour accéder à GitHub. J'ai créé une paire à partir de rien et je l'ai utilisée pendant un certain temps pour accéder à GitHub. Ensuite, j'ai formaté mon disque dur et perdu cette paire. Gros problème, j'ai créé une nouvelle paire et configuré GitHub pour utiliser ma nouvelle paire. Ou est-ce quelque chose que je ne veux pas perdre?
J'avais également besoin d'une paire de clés publique / privée pour accéder aux systèmes de notre entreprise. Notre administrateur m'a demandé ma clé publique et j'ai généré une nouvelle paire et la lui ai donnée. Est-il généralement préférable de créer une nouvelle paire pour accéder à différents systèmes ou est-il préférable d’avoir une paire et de la réutiliser pour accéder à différents systèmes? De même, est-il préférable de créer deux paires différentes et d’en utiliser une pour accéder aux systèmes de notre société depuis chez vous et l’autre pour accéder aux systèmes depuis le travail, ou est-il préférable d’avoir une seule paire et de l’utiliser des deux côtés?
la source
Réponses:
Vous devez absolument avoir des clés privées séparées par origine . En gros, cela signifie qu’il devrait généralement y avoir une seule copie de chaque clé privée (sans compter les sauvegardes). Il est correct d'utiliser la même clé privée provenant d'une machine étroitement liée, dans les cas où une intrusion dans l'une vous donne essentiellement accès à l'autre (par exemple, si elles sont l'une dans l'autre
shosts.equiv
). N'utilisez pas la même clé privée sur des machines de domaines différents (par exemple, à la maison ou au travail), ne partagez jamais une clé privée entre deux utilisateurs et ne partagez jamais une clé privée entre un ordinateur portable et une autre machine.Pour la plupart, je ne vois pas l'intérêt d'avoir différentes clés privées pour différentes destinations. Si une clé privée est compromise, toutes les autres clés privées stockées dans le même répertoire le seront sûrement également, ce qui entraînera une complication supplémentaire sans aucun avantage pour la sécurité.
Si vous suivez ces principes, chaque paire de clés identifie une paire (machine, utilisateur), ce qui facilite la gestion des autorisations.
Je peux penser à deux exceptions à la règle générale d'une seule clé privée par origine:
la source
Je ne sais pas quelle est la meilleure façon mais je peux dire quelle est ma façon de faire.
En tant qu'administrateur système, j'utilise une clé différente pour accéder à chaque serveur / service en tant que root. De cette façon, si une clé est perdue ou compromise, je limite les risques à un seul serveur et je n'ai pas besoin de mettre à jour tous mes services avec de nouvelles clés.
En parlant d’utilisateurs, j’utilise une clé différente pour chacun d’eux. Avec cette clé, l'utilisateur peut accéder au service dont il a besoin en tant qu'utilisateur non privilégié. De cette façon, je peux facilement accorder ou révoquer l'accès à des services uniques à chaque utilisateur. Si l'utilisateur perd sa clé, je peux la supprimer de tous les services et limiter le risque d'accès non autorisé.
la source
Je pense que vous pouvez utiliser la clé privée n’importe où, à condition de mettre une phrase secrète dessus, ce qui signifie que si vous souhaitez partager votre clé privée avec quelques machines, par exemple, les ordinateurs portables 1, 2 et 1, le bureau 2 devraient très bien fonctionner.
D'après mon expérience, mon ordinateur principal est mon ordinateur de bureau. Je fais la plupart de mon travail avec son processeur puissant, mais j'ai parfois besoin d'utiliser mon ordinateur portable sur un portable, de dépanner des centres de données et autres, de sorte que je puisse toujours me connecter à des hôtes. que ma clé publique réside dans.
la source
Dans mon entreprise, nous utilisons ces clés spécifiques à l'utilisateur. Cela signifie cas deux. L'utilisateur a sa propre clé qui est utilisée pour chaque machine qu'il utilise pour se connecter au système de l'entreprise. Mon avis est d'utiliser une clé pour un système. Cela signifie que vous utilisez cette clé sur chaque machine dont vous avez besoin pour vous connecter à des réseaux spécifiques. Dans votre cas, il s'agirait d'une clé pour GitHub et d'une clé pour le système de l'entreprise. Donc, si votre administrateur vous le redemande, je lui donnerais la même clé que la dernière fois. pas une nouvelle. Mais, je ne sais pas s’il existe une politique d’utilisation commune pour ces clés et je me trompe depuis. C'est sûr possible ;-)
la source
La clé publique que vous avez générée est pour tout le monde. Cela leur permettra de a) vérifier l'authenticité b) de crypter pour vous
La clé privée est bien privée. C'est seulement pour toi. Et c'est la clé que vous devriez sauvegarder quelque part, dans un endroit sécurisé. Vous pouvez également le chiffrer avec un mot de passe sécurisé si vous l’enregistrez sur une clé USB par exemple.
La clé publique est votre identité aux autres. Donc, il n'y a pas de problème / il est préférable d'utiliser une paire de clés pour tout, du moins lorsque vous ne souhaitez pas utiliser une nouvelle identité explicite, afin que les autres ne sachent pas que c'est vous.
la source