¿Es seguro transferir una clave privada RSA a través de la red?

2

Ayer obtuve un nuevo espacio de alojamiento y al configurar el acceso SSH noté que esperan que genere un par de claves a través de una interfaz web, y luego descargue la clave privada e instálela en mi sistema local.

Mi pregunta es, ¿es seguro transferir claves privadas a través de Internet? (por supuesto, a través de una conexión cifrada con SSL). Me han dicho que nunca lo haga, ya que es técnicamente posible que un atacante lo agarre durante la transferencia.

    
pregunta kadm 16.08.2016 - 23:50
fuente

2 respuestas

5

Si bien la probabilidad de que se vea comprometida es pequeña, es mejor que la genere localmente para que la clave privada RSA nunca salga de su sistema. De esta manera, solo tiene que cargar su clave pública en el servidor.

No estaría demasiado preocupado por la capa TLS y los datos en tránsito, pero me preocuparía más si los datos de clave privada queden remanentes en el servidor o se almacenen en caché en su navegador web.

    
respondido por el Polynomial 17.08.2016 - 01:15
fuente
1

Depende de su definición de seguro. Si tiene una conexión segura TLS a la interfaz de administración del servicio de alojamiento para mantener su contraseña (para el mismo servicio) a salvo de terceros, entonces ¿por qué no confiar en que transmita una clave SSH también? Es probable que el proveedor de alojamiento pueda acceder a su servidor por otros medios, por lo que el hecho de que la clave privada se filtre hacia ellos no es un problema tan grande.

Sin embargo, usar una clave SSH generada por alguien más que usted tiene el inconveniente de que no querrá usar la misma clave para otros servicios. En cierto sentido, la clave estaría vinculada al servidor al que se está conectando to , en lugar del host al que se está conectando desde . Esto último sería más habitual, y las claves se llaman "identidades" por una razón.

Pero en cualquier caso, no importará mucho, ya que para un servidor SSH normal, puede cambiar las claves SSH autorizadas inmediatamente después de obtener acceso, por lo que la clave generada por el proveedor debe ser válida por muy poco tiempo.

Podría suponer que el proveedor de alojamiento lo implementó de esa manera, por lo que no es necesario enseñar a todos los usuarios a generar claves por sí mismos. :)

    
respondido por el ilkkachu 19.08.2016 - 11:03
fuente

Lea otras preguntas en las etiquetas