しばらくの間、sshキーを使用しています。私のsshキーペアをより強力な暗号化にアップグレードすることを考えています。キーが登録されているすべてのデバイスを知りません。
それはへかのうである「廃止」私は廃止SSHキーで認証場合、私は警告を受けることを、局部的にそうSSHキー?
その間は、複数のホストで同じSSHキーを使用しないことをお勧めします。それは不必要に攻撃面とそのキーの価値を増加させます。代わりに、接続するホストごとに1つのキーを使用します。理想的には、クライアントとサーバーのペアごとに1つのキーを使用します(ただし、多くのクライアントシステムが多くのサーバーに接続している場合は、スケーリングが不十分です)。また、コメントのキーまたはキー名にキーにタグを付けて、キーの古さを追跡できるようにします。次に、カレンダーに6〜24か月ごとに定期的なリマインダーを設定して更新します。
—
からCVn
@MichaelKjörling私はあなたの提案の最初の部分に同意しません。すべての秘密キーが同じ権限で同じマシンに保存されている多くのキーペアを生成しても、セキュリティは大幅に向上しません。1つが侵害された場合、ほとんどの場合それらの残りも侵害されます。その場合、多くのキーペアがあるということは、新しいキーペアを生成する理由を見つけたら、それらをローテーションするための作業が増えることを意味します。コメントに生成日を追加することに関する部分は良いアドバイスです(私
—
kasperd 2015年
ssh-keygenはデフォルトでそうしたいと思います)。
@kasperdあなたは良い点を作ります。いつものように、それはあなたの脅威モデルに大きく依存すると思います。キーが異なるパスフレーズを持っていると暗黙のうちに想定していたのではないかと思います。パスワードマネージャーをミックスに追加するつもりがない限り、多数のキーを使用しても必ずしも実用的ではない場合があることがわかります。それはないキーが他の接続に影響を与えることなく、非常に簡単に「非推奨」することができますので、しかし、非常に近いOPが記述されているものに何かを許可します。結局のところ、それは個人的な好みの問題だと思います。
—
CVn 2015年