パスワードで保護された秘密キーを会社のLANに置いても大丈夫ですか？

2

私は仕事中に自分のコンピューター以外のコンピューターを使用しなければならないことがよくあり、秘密鍵でpagentを起動すると便利です。パスワード付きの秘密鍵を半信頼のスペースに置いても大丈夫ですか？

security ssh ssh-agent

3

この秘密鍵がアクセスできるシステムに依存します。それが自宅のシステムのみであり、大したことではなく、家族の写真だけが含まれている場合。しかし、それが企業のファイアウォールや銀行の情報を保護するのであれば、私はそうしません。

SSHキーペアは、2要素認証を提供するために使用されます。知っているもの（パスワード）と持っているもの（SSH秘密鍵）があります。SSHキーの排他性がなくなった場合、またはその使用を制御しなかった場合は、実際に認証要素を削除しています。

ちょっとおかしいですが、私のSSHキーの1つは指紋で保護されたデバイスに保存されています。秘密鍵が一時ファイルなどに残されないように、これに関する他のセキュリティ対策を講じます。

私のポイントは、あなたの秘密鍵は今のところ安全かもしれないということです。しかし、SSH鍵生成アルゴリズムにバグが見つかった場合、または誰かがコピーを取得してブルートフォースを使用してパスワードを見つけた場合、ハッキングされる可能性が高くなります。繰り返しますが、SSHキーで何を保護しているかによって異なります。

— jfmessier
ソース

1

純粋な「セキュリティのパラノイア」の観点からは、大丈夫ではありません。多くの企業は、企業のPCにソフトウェアをインストールします。これらのソフトウェアは、キーストロークを含む、それらのPC上のすべてを監視する機能を備えています。（たとえば、このソフトウェアを見てください：Digital Guardian）

理論的には、秘密鍵を保護している「パスワード」をキャプチャできます。

実際には、これらの極端な機能（キーロガーや画面キャプチャなど）は、ほとんどの企業で実際に無効になっている場合があります。

申し訳ありませんが、パスワードで保護された秘密鍵を他の誰かのPCに置くべきかどうかは主観的な答えの質問です。答えはあなたの妄想のレベルに依存します。

— ジョイジット
ソース

企業が何らかの監視を行っている場合、雇用主に警告する必要があると思います。たとえば、会社がサーバールームにウェブカメラを設置している場合、新しく雇われたシステム管理者に警告することは、サーバールームで裸で踊りながら撮影されるのを防ぐ良い方法です:)パスワードについても同じです。企業がキーロギングを行っている場合、キーロガーはより弱いテクニックを使用する可能性があるため（セキュリティ上の落とし穴に足を踏み入れることを犠牲にしてスパイが行われることが多いため）、自社のセキュリティを危険にさらします。

— vtest

すみません、はっきりしているはずです。「多くの会社」と言ったとき、私は米国に拠点を置く会社を指していました。米国では、企業が従業員が勤務時間中に作業用具で何をするかを監視することは完全に合法です。さらに、多くの企業（私を含む）は、基本的にこのポリシーを認識しているという契約書に署名させます。他の国（たとえばヨーロッパの多くの国）では、そのような監視方法は実際には違法であると聞いています。

— joyjit

ヨーロッパのほとんどの国では、企業が資産のすべてを監視することは完全に合法です。彼らは使用ポリシーでこれを述べる必要がありますが、小さな活字で深く隠される可能性があります。

— ロリーアルソップ

0

本当に偏執狂に陥ってはならない-あなたの鍵はITシステム上で事実上「あなた」であるため（何かをタイプした人があなたであったことを証明する100％の保証された方法はないので、これは多くの場合あなたができる限り近いと考えられる一般的なシステムで取得します）保護しない場合、必要なレベルまで他の誰かがあなたになる可能性があります。

あなたが行為を行ったという技術的に「証明可能な」証拠から防御しなければなりませんか？

事実上機密性がないことを知って満足していますか？

秘密鍵を保護-常に！

— ロリー・オルソップ
ソース