¿Es seguro usar las claves de un servidor SSH para un cliente SSH?

2

Déjame explicarte mi pregunta. Estoy trabajando en un dispositivo de dispositivo de Internet (IOT). El dispositivo actualmente ejecuta un servidor SSH bastante bien. Puede SSH y configurarlo, ver las estadísticas, etc. Ahora debo agregar una función en la que el dispositivo carga periódicamente sus registros a través de SFTP a un servidor que no permite el inicio de sesión / autenticación de contraseñas, solo una clave pública.

Por razones con las que no voy a aburrirte aquí, sería mucho más conveniente si pudiera usar el mismo par de claves pública / privada para la sesión de SFTP. Generar y almacenar una nueva clave de forma segura en este dispositivo es bastante complicado. No es un dispositivo basado en Linux, sino que ejecuta un RTOS propietario.

No puedo pensar en ningún riesgo de seguridad, pero pensé que iba a preguntar. ¿Hay algo que he pasado por alto? ¿Hay alguna razón para no hacer esto?

Solo la clave pública se revela en cualquier caso.

    
pregunta Kory 01.09.2016 - 00:47
fuente

1 respuesta

2

El uso de la misma clave privada para más de un propósito suele ser una mala idea, debido al riesgo de que se le engañe para que firme algo en la primera capacidad, que podría usarse para personificarlo en la segunda capacidad.

Más precisamente, ¿existe el riesgo de que un cliente que se conecte a su servidor pueda engañar a su servidor para que genere una firma que pueda usarse para autenticarlo en el servidor SFTP?

Sin embargo, el SSH Public Key Authentication protocol parece ser suficientemente inconsistente con el SSH Key Agreement protocol para descartar ese vector de ataque.

Las Consideraciones de seguridad de SSH no cubren explícitamente esta pregunta.

    
respondido por el Henrick Hellström 01.09.2016 - 04:01
fuente

Lea otras preguntas en las etiquetas