ssh-keygen klucze prywatne publiczne
Moderatorzy: Moderatorzy, Administratorzy
ssh-keygen klucze prywatne publiczne
zastanawiam sie jak to jest. czy jak ktos mi podpieprzy z dysku plik id_rsa z kluczem prywatnym i walnie u siebie to bedzie mial dostep do wszystkich moich serwerow na ktorych jest authorized_keys z moim kluczem publicznym ?
bo wlasnie to sprawdzam i wychodz na to ze niestety dziala. a moze ja cos zle robie.
bo wlasnie to sprawdzam i wychodz na to ze niestety dziala. a moze ja cos zle robie.
[b][url=http://rootnode.net]rootnode.net[/url] :: Konta shellowe z piekła[/b]
- Sad Mephisto
- Administrator
- Posty: 2824
- Rejestracja: 2004-05-22, 13:24
- Lokalizacja: Zabrze
- Kontakt:
Re: ssh-keygen klucze prywatne publiczne
No na tym właśnie polega idea szyfrowania za pomocą par kluczy.
Przypominam jak to działa:
Mamy dwóch panów: FOOkera i BARabasza. Każdy z nich ma swój klucz prywatny i publiczny. Następnie wymieniają się kluczami publicznymi.
Jeśli FOOker chce wysłać BARabaszowi wiadomość, to szyfruje ją za pomocą swojego klucza prywatnego i klucza publicznego BARabasza. BARabasz dekoduje wiadomość za pomocą swojego klucza prywatnego oraz klucza publicznego FOOkera.
Pewien złośliwy hacker, pan BAZuś, musi posiadać klucz prywatny BARabasza, żeby mógł złamać wiadomość. Prywatny klucz FOOkera jest mu niepotrzebny.
Przypominam jak to działa:
Mamy dwóch panów: FOOkera i BARabasza. Każdy z nich ma swój klucz prywatny i publiczny. Następnie wymieniają się kluczami publicznymi.
Jeśli FOOker chce wysłać BARabaszowi wiadomość, to szyfruje ją za pomocą swojego klucza prywatnego i klucza publicznego BARabasza. BARabasz dekoduje wiadomość za pomocą swojego klucza prywatnego oraz klucza publicznego FOOkera.
Pewien złośliwy hacker, pan BAZuś, musi posiadać klucz prywatny BARabasza, żeby mógł złamać wiadomość. Prywatny klucz FOOkera jest mu niepotrzebny.
[i]Thank you for noticing this notice. Now that you've noticed this notice, you may have noticed that this notice is noticably unnoticable.
$ python -c "print int(''.join(map(lambda x: str(len(x)),'Kto z woli i myśli zapragnie Pi spisać cyfry ten zdoła.'.split())))/1e+10"[/i]
$ python -c "print int(''.join(map(lambda x: str(len(x)),'Kto z woli i myśli zapragnie Pi spisać cyfry ten zdoła.'.split())))/1e+10"[/i]
Re: ssh-keygen klucze prywatne publiczne
no to teraz zakreciles. czyli jak ktos mi gwizdnie moj klucz prywatny to ma wjazd na wszystkie serwery na ktorych umiescilem klucz publiczny. tak/nie ?
[b][url=http://rootnode.net]rootnode.net[/url] :: Konta shellowe z piekła[/b]
Re: ssh-keygen klucze prywatne publiczne
przy tym typie autoryzacji tak ma wjazd, hmm o ile nie zdefiniowałeś hasła do swojego klucza prywatnego a powienieś.ahes pisze:no to teraz zakreciles. czyli jak ktos mi gwizdnie moj klucz prywatny to ma wjazd na wszystkie serwery na ktorych umiescilem klucz publiczny. tak/nie ?
"Spróbuj zapalić maleńką świeczkę zamiast przeklinać ciemność."
Konfucjusz
Konfucjusz
Re: ssh-keygen klucze prywatne publiczne
a proponujesz DSA? nie dalem bo robie skrypt do automatyzacji pewnego procesu i nie moze byc hasla.
[b][url=http://rootnode.net]rootnode.net[/url] :: Konta shellowe z piekła[/b]
Re: ssh-keygen klucze prywatne publiczne
no tak to co się pytasz ?ahes pisze:a proponujesz DSA? nie dalem bo robie skrypt do automatyzacji pewnego procesu i nie moze byc hasla.
"Spróbuj zapalić maleńką świeczkę zamiast przeklinać ciemność."
Konfucjusz
Konfucjusz
Re: ssh-keygen klucze prywatne publiczne
poczekaj jeszcze raz to napisze: nie dalem hasla poniewaz skrypt nie moze byc interaktywny, czyli nie moze pytac o haslo. przy kluczach proponujesz dsa czy rsa? czym sie roznia w zastosowaniu ?
[b][url=http://rootnode.net]rootnode.net[/url] :: Konta shellowe z piekła[/b]
Re: ssh-keygen klucze prywatne publiczne
AFAIR DSA jest nowsze dotyczy ssh 2.0 i przez to bardziej bezpieczne ... Gneneralnie zaleca się metody takie DSA, ze względu na to, że hasło nie jest przesyłane przez sieć, podajesz lokalnie hasło do klucza priv i DSA zajmuje się autoryzacją, ale skoro nie możesz podać hasła to hmm to troszkę traci na bezpieczeństwie, zwłaszcza skoro obawaisz się kradierzy klucza prywatnego. Szerzej wypowiem się wieczoremahes pisze:poczekaj jeszcze raz to napisze: nie dalem hasla poniewaz skrypt nie moze byc interaktywny, czyli nie moze pytac o haslo. przy kluczach proponujesz dsa czy rsa? czym sie roznia w zastosowaniu ?
"Spróbuj zapalić maleńką świeczkę zamiast przeklinać ciemność."
Konfucjusz
Konfucjusz
- Sad Mephisto
- Administrator
- Posty: 2824
- Rejestracja: 2004-05-22, 13:24
- Lokalizacja: Zabrze
- Kontakt:
Re: ssh-keygen klucze prywatne publiczne
(x) takahes pisze:no to teraz zakreciles. czyli jak ktos mi gwizdnie moj klucz prywatny to ma wjazd na wszystkie serwery na ktorych umiescilem klucz publiczny. tak/nie ?
( ) nie
Na tym właśnie polega prywatność klucza, żeby go trzymać w ukryciu.
[i]Thank you for noticing this notice. Now that you've noticed this notice, you may have noticed that this notice is noticably unnoticable.
$ python -c "print int(''.join(map(lambda x: str(len(x)),'Kto z woli i myśli zapragnie Pi spisać cyfry ten zdoła.'.split())))/1e+10"[/i]
$ python -c "print int(''.join(map(lambda x: str(len(x)),'Kto z woli i myśli zapragnie Pi spisać cyfry ten zdoła.'.split())))/1e+10"[/i]
Re: ssh-keygen klucze prywatne publiczne
W DSA jest błąd umożliwiający odgadnienie klucza prywatnego dzieki przechwyceniu danych nim szyfrowanych. Jednak, mimo wszystko, jest to ciężkie obliczeniowo. Oprócz tego DSA jest algorytmem silniejszym, niż RSA. (http://www.tartarus.org/~simon/puttydoc ... tml#S8.2.2)
A co do kluczy, to bardzo dobrze jest zabezpieczać je hasłem. Nawet, jeśli jakiś nie-interaktywny skrypt/program ma z takiego klucza korzystać, to można pobawić się agentem, który obsłuży żądania hasła.
A co do kluczy, to bardzo dobrze jest zabezpieczać je hasłem. Nawet, jeśli jakiś nie-interaktywny skrypt/program ma z takiego klucza korzystać, to można pobawić się agentem, który obsłuży żądania hasła.
Re: ssh-keygen klucze prywatne publiczne
Ja bym sie klocil z ta sila. DSA i RSA jest podobnie trudno zlamac, z tym, ze DSA jest oparte o trudniejszy problem logarytmu dyskretnego. Nawiasem mowiac, jesli przy szyfrowaniu RSA pojawi sie blad, to istnieje atak na RSA zdobywajacy klucz prywatny.
jARRodx: skrypt odpalany z crontaba chyba srednio moze poprosic o haslo, a nie wiem, czy agent moze przechowywac hasla przez XXX miesiecy bez unloadu. Znaczy, pewnie moze, ale na pewno to nie jest dobry pomysl ustawiac na wszystkie hasla kluczy kilkumiesieczny czas przed usunieciem z pamieci.
jARRodx: skrypt odpalany z crontaba chyba srednio moze poprosic o haslo, a nie wiem, czy agent moze przechowywac hasla przez XXX miesiecy bez unloadu. Znaczy, pewnie moze, ale na pewno to nie jest dobry pomysl ustawiac na wszystkie hasla kluczy kilkumiesieczny czas przed usunieciem z pamieci.
-zsh
#!/bin/bash
#!/usr/bin/perl -w
#!/bin/bash
#!/usr/bin/perl -w