Recientemente hubo un acuerdo de "dos por el precio de uno" en el Yubikey 4 y ahora tengo demasiados.
Esto me hizo pensar en cosas que hacer con ellos, más o menos útiles. Por supuesto, ya uso las funciones de la tarjeta inteligente para proteger mi SSH CA y mis claves SSH personales. Pero, ¿podría usarse también para proteger las claves de host?
Esto ciertamente requeriría el uso de un agente ssh, ya que parece extremadamente poco práctico ingresar el código PIN cada vez que un cliente se conecta al servidor. Después de un vistazo rápido en el manual sshd_config, es posible apuntarlo a un SSH_AUTH_SOCK en lugar de archivos en el disco para las claves de host usando HostKeyAgent.
¿Podrías elaborar tus pensamientos sobre la ganancia de seguridad real en una configuración como esta? Para mí, lo más obvio es una clave física, siempre puedes estar seguro de que la clave no se copia en alguna parte y, si no has terminado el yubikey, puedes notar esto fácilmente.