1. дома
  2. Вопрос и ответ
  3. Рекомендации по личным ключам

Рекомендации по личным ключам

2012-06-04 10 views
5

Я только начинаю использовать ключи RSA в своей повседневной работе, и у меня есть несколько вопросов относительно наилучших способов их использования.Рекомендации по личным ключам

Самый большой вопрос связан с идеей нескольких клиентов и нескольких серверов. Вот сценарий:

У меня есть два клиентских компьютеров:

  1. Desktop
  2. Laptop

И есть два сервера, которые я буду с проверкой подлинности:

  1. свой локальный сервер
  2. Удаленный сервис (например, Git ступица)

Итак, как правило, сколько пар ключей вы бы порекомендовали в этой ситуации?

  • Одна ключевая пара: этот ключ является «Я», и я использую его везде.
  • Один клиент: этот ключ является «Этот клиент», и я помещаю его на каждый сервер, на который я хочу подключиться от этого клиента.
  • Одна пара ключей на сервер: это ключ «для этой службы», и я привожу закрытый ключ каждому клиенту, с которого я хочу подключиться.
  • Один для каждой комбинации: каждое уникальное соединение с сервером-клиентом имеет свою собственную пару ключей.

Если ни один из них не значительно выше или хуже на любой другой, вы можете выделить плюсы и минусы каждого из них так, чтобы человек мог выбрать для себя?

источник

2012-06-04 Ipsquiggle

ответ

2

из ваших четырех вариантов, два я люблю являются:

  • Один за клиента: Этот ключ «Этот клиент», и я положил его на каждом сервере, я имею в виду, чтобы подключиться к от этого клиента.

    Это дает вам возможность отменить все ключи для конкретного клиента в случае его взлома - удалить один ключ для каждой службы. Он также линейно масштабируется по количеству клиентов, что, вероятно, упростит управление ключами. Он даже отлично сочетается с ключевой моделью OpenSSH, которая дает каждому клиенту один ключ, который используется на нескольких серверах. (Вы может делать другие модели с OpenSSH, что хорошо, но это проще всего сделать, как это происходит без каких-либо усилий с вашей стороны.).

  • Один для каждой комбинации: Каждое уникальное спаривание клиента-сервер имеет свою собственную пару ключей.

    Это имеет недостаток в том, что вы вынуждаете вас отменить несколько ключей, когда один клиент взломан, но в любом случае это будет один ключ для службы, поэтому это не намного хуже. Лучший потенциал роста заключается в том, что для одной службы будет значительно сложнее служить посредником между вами и другой службой. Это не является большой проблемой в большинстве случаев, но если ваш (Laptop, Server, SMTP) ключ внезапно используется для (Laptop, Server, SSH), у вас будет некоторая возможность заметить странность. Я не уверен, что эта способность стоит квадратного увеличения ключей для управления.

источник

2012-06-04 23:00:01 sarnold

2

Обычный способ сделать это - это вариант «Один на одного клиента». Таким образом, в случае взломанного клиентского ключа вы можете отменить именно этот ключ с серверов, на которых это разрешено. Если вам нужна дополнительная работа, вы можете сделать «Один для каждой комбинации».

Указанные выше варианты избегают копирования данных секретного ключа между хостами.

источник

2012-06-04 22:58:05

Смежные вопросы

 Смежные вопросы