Problèmes de sécurité liés à l'affichage de la clé privée ssh

14

J'ai fait une énorme erreur, ou du moins je pense que j'ai fait: j'ai "attrapé" ma clé SSH privée

cat ~/.ssh/id_rsa

J'ai maintenant peur d'avoir créé une faille de sécurité, permettant aux autres utilisateurs de voir ma clé privée en consultant l'historique bash / scrollback ou en utilisant d'autres méthodes. Alors, mes questions:

  1. Ai-je vraiment compromis la sécurité de ma paire de clés SSH?
  2. Existe-t-il des moyens «suffisamment sécurisés» de le patcher, à l'exclusion du moyen évident (et le plus sûr) de créer une nouvelle paire de clés?

(REMARQUE: je suis le seul utilisateur de la machine, donc je ne suis pas vraiment concerné dans mon cas spécifique, mais j'ai pensé que ce serait une question intéressante.)

LeartS
la source

Réponses:

20

Si vous l'avez fait en privé, il n'y a aucun problème. Pensez-y - vous n'avez affiché à l'écran que les mêmes données qui sont déjà stockées sur votre disque dur de toute façon. Et si quelqu'un pouvait accéder à votre défilement ou à votre historique, il pourrait tout aussi bien lire le id_rsafichier directement.

  • En outre, l'historique de votre shell - même s'il était lisible par d'autres utilisateurs (ce qu'il n'est pas) - ne contient que des commandes, pas leur sortie. Donc, tout ce qu'il aura, c'est une ligne avec cat ~/.ssh/id_rsa.

  • L'historique de défilement, pour la plupart des terminaux, est entièrement stocké en mémoire. (les terminaux basés sur libvte utilisent parfois un fichier de sauvegarde dans / tmp, mais c'est soit un tmpfs, soit il se trouve dans le même disque que votre ~ / .ssh, de toute façon ...) Donc, cela devient inutile une fois que vous fermez le terminal. Et de toute façon, cela ne vous est accessible que, bien sûr.

  • Et très souvent, la clé privée elle-même est chiffrée avec une phrase secrète et est inutilisable, sauf si vous la déchiffrez lorsque vous le demandez ssh.

À moins, bien sûr, que vous n'ayez fait cela en présence de caméras de sécurité haute résolution, ou même que vous n'ayez autorisé une personne à prendre une photo de la fenêtre de votre terminal. Dans ce cas, quelqu'un pourrait retaper la clé des photos, et la seule chose qui la protégerait serait la phrase de passe de cryptage.

user1686
la source