Copia de seguridad de mi clave privada SSL

Question

Copia de seguridad de mi clave privada SSL

#1 de Peter (1 votos)

0

En mi servidor remoto, tengo SSH configurado para permitir solo los inicios de sesión a través de la clave pública. Actualmente, solo la Clave de mi computadora de escritorio tiene permiso para conectarse.

Ahora, si de algún modo pierdo la clave privada correspondiente, quedaría bloqueado de mi servidor. Por lo tanto, pensé que debería hacer una copia de seguridad de esa clave privada, preferiblemente en otra máquina.

Al ver que la clave privada está encriptada (simétricamente) con una frase de contraseña, ¿puedo ponerla en Dropbox o Google Drive? ¿O necesito un cifrado adicional como PKCS # 12?

Leí preguntas similares por aquí y el consenso general parece ser que la clave privada nunca debe dejar la máquina en la que se creó. Si es así, ¿cuál es el procedimiento habitual para una situación como la mía? ¿Debo permitir inicios de sesión de solo contraseña como un mecanismo de reserva?

key-management ssh openssl

pregunta Lukas Knuth 04.02.2017 - 21:44

fuente

1 respuesta

Lea otras preguntas en las etiquetas key-management ssh openssl

Confirmación de existencia de cuenta de usuario [duplicado] ¿DNSSec y DANE serían más seguros si la misma clave se publicara en diferentes TLD?

score 1 · Answer 1

Le recomendaría encarecidamente que no lo ponga en algún almacenamiento en la nube como Dropbox porque no tiene control sobre la seguridad de su lado. Pero si es necesario, le sugiero que utilice KDF al cifrar su clave privada. (se -a y -o en el manual de ssh-keygen)

También algunos sugieren memorias USB, pero estas se rompen. Pero claro que podrías hacer dos. Las memorias USB son extremadamente baratas en estos días. Si luego los almacena en un lugar seguro, preferiblemente en algún sello a prueba de manipulación indebida, como sobres o bolsas reales a prueba de manipulación indebida, puede estar bastante seguro de que nadie los ha usado, excepto usted. Pero, por supuesto, la clave aún debe estar cifrada y usar KDF.

Mi opción favorita es realmente una copia impresa. Básicamente solo imprime la clave encriptada. Si lo desea, puede hacer primero un código QR para mejorar la legibilidad de la máquina, pero eso depende de usted.

Un tipo de solución fuera de tema podría ser el uso de tarjetas inteligentes para almacenar las claves y tener la misma clave en varios tokens físicos. (Bastante similar a la solución de memoria USB, pero más segura. Aquí hay una breve guía sobre cómo usar un yubikey con tarjeta inteligente para almacenar claves ssh:

enlace