Nhận khóa riêng từ quản trị viên máy chủ: ok hay không?

20

Tôi có quyền truy cập vào một máy chủ SFTP từ xa. Quản trị viên đã tạo một người dùng cho tôi và tạo một cặp khóa công khai / riêng tư cho tôi. Sau đó, anh ta gửi cho tôi tệp khóa riêng mà tôi sử dụng để xác thực. Tôi tin rằng điều này là không tốt, tôi nên là người tạo ra cặp khóa và đưa khóa công khai cho anh ta. Nhưng tôi không thể nghĩ ra bất kỳ lý do chính đáng nào tại sao điều này lại tệ, nếu tôi chỉ sử dụng khóa này để đăng nhập vào máy chủ đó, không có máy chủ nào khác. Có bất kỳ lý do như vậy?

authentication  ssh-keys  private-key 
matthiash
nguồn
17
Vệ sinh an ninh xấu, cho một. Quản trị viên máy chủ nên biết rõ hơn và không nên "đào tạo" người dùng để mong nhận được khóa riêng từ các nguồn bên ngoài.
wmorrell
1
Anh ấy còn đưa nó cho ai nữa? Luôn luôn nghĩ, điều tồi tệ nhất có thể xảy ra là gì?
mckenzm
1
Tôi thực sự không nghĩ rằng nó xấu. Một sự tương tự bên dưới (Eric Towers) với việc cung cấp cho người dùng "mật khẩu ban đầu" mà sau đó cần phải thay đổi ngay lập tức là tốt. Phát biểu từ trải nghiệm cá nhân, việc giải thích các phím nào cho lần thứ 100 cho người dùng có thể hơi tẻ nhạt - quản trị viên vẫn là con người. Đưa khóa riêng cho bạn là lười biếng - có, nhưng không có gì có thể ngăn bạn tự thay thế nó. Về bản chất, sau khi anh ấy đã gửi nó cho bạn, bạn không cần phải làm phiền sysadmin nữa (trừ khi họ chọn tắt quyền ghi trên tệp ... sau đó, chỉ làm phiền họ).
Ray
@matthiash câu hỏi này phù hợp với trang web này, nhưng cũng giống như một FYI, có một trang web Bảo mật thông tin cho các câu hỏi bảo mật khác.
topher
Tôi cũng muốn chỉ ra rằng đây là cách AWS làm điều đó. Khi bạn tạo một phiên bản bạn không tải khóa công khai của mình lên nó, một cặp khóa được tạo cho bạn và bạn tải xuống khóa riêng.
GnP

Câu trả lời:

23

Chính xác như bạn nói: Toàn bộ khái niệm xác thực khóa công khai là khóa riêng chỉ được biết đến chủ sở hữu, trong khi khóa chung tương ứng có thể được phổ biến rộng rãi. Tính bảo mật của xác thực của bạn phụ thuộc vào bảo mật của khóa riêng, không phải bảo mật của khóa chung.

Việc ai đó cung cấp cho bạn khóa riêng tự động khiến nó bị xâm phạm. (Bạn không biết rằng quản trị viên khác vẫn có một bản sao có thể được sử dụng để mạo danh bạn.)

HBruijn
nguồn
4
Chúng ta hãy giả sử điều tốt nhất từ ​​quản trị viên máy chủ và giả sử rằng anh ta tạo ra một cặp khóa mới sẽ tốt hơn, vì anh ta sẽ không tin người dùng không có khóa riêng được tổng hợp. Có thể quản trị viên máy chủ nghĩ rằng khóa riêng của người dùng đã rất cũ và có thể bị xâm phạm qua nhiều năm. Điều này cũng tương tự với U2F, nơi tập đoàn hoặc nhà cung cấp không tin tưởng người dùng tạo khóa, đây là lý do tại sao các thiết bị U2F đi kèm với các khóa được tạo trước!
cornelinux
8
Quản trị viên sẽ giúp người dùng tạo và bảo mật khóa riêng.
Alex
1
Bạn hoàn toàn đúng. Nhưng thường thì quản trị viên tốt hơn với máy tính sau đó với con người, -)
cornelinux
7
Các quản trị viên có thể mạo danh bạn anyway.
dùng253751
2
Tôi nghĩ rằng bạn đang nhầm lẫn giữa thực tiễn lý thuyết của một ví dụ hẹp với thực tế và bức tranh lớn hơn. Dù sao thì bạn cũng phải tin tưởng quản trị viên vì anh ta có quyền kiểm soát hệ thống và có thể tránh việc phải sử dụng khóa hoàn toàn. Việc đưa ra các khóa riêng tư xảy ra trong thế giới thực bởi vì người dùng cuối không hiểu cách tạo một khóa hoặc làm thế nào để tạo một khóa an toàn.
JamesRyan
10

Đối với khóa đó, tổ chức không từ chối . IE, nếu ai đó làm điều gì đó lạm dụng hoặc phá hoại hệ thống đó bằng cách sử dụng khóa 'của bạn', quản trị viên không thể đổ lỗi cho bạn vì bạn chỉ chịu trách nhiệm về nó. Vì người đưa nó cho bạn cũng có chìa khóa. Nó có thể không tệ cho bạn, vì nó mang lại cho bạn sự phòng thủ, nhưng thật kinh khủng cho tổ chức kiểm soát máy chủ, nếu có điều gì đó tồi tệ xảy ra.

Bạn có thể sử dụng các đặc quyền ghi mà bạn có từ các khóa được cung cấp, để cập nhật các khóa được ủy quyền và thêm khóa của bạn và xóa khóa được cung cấp.

Zoredache
nguồn
3
Trên thực tế, Quản trị viên có thể mong đợi người dùng thay đổi khóa của họ trong lần sử dụng đầu tiên, giống như với mật khẩu đầu tiên được tạo chính quyền.
Tháp Eric
7
Như một người đàn ông tuyệt vời đã từng nói , "mong đợi đi". Thay đổi sử dụng lần đầu thường là cần thiết cho mật khẩu, nhưng không bao giờ cần thiết đối với tiền điện tử khóa công khai - đó là điểm chính.
womble
@EricTowers Điều đó thậm chí có thể yêu cầu với SFTP hiện đại (hoặc thậm chí SSH, trừ khi bạn sẵn sàng tự mình lắp đặt một cái gì đó)?
một CVn
Câu trả lời này mang lại ấn tượng rằng các hành động trên sftp được đăng nhập vào một bản ghi ở đâu đó và kết thúc để kết thúc được bảo mật bởi khóa đó. Điều này chỉ đơn giản là không phải vậy, một quản trị viên có thể can thiệp vào các hành động hoặc nhật ký mà không cần sử dụng khóa.
JamesRyan
1
@marcelm: Có một lý do tại sao tôi nói "thường là cần thiết", không phải "luôn luôn bắt buộc tuyệt đối trong mọi trường hợp không có ngoại lệ". Trên thực tế, như một người thường xuyên yêu cầu (và chấp nhận) băm mật khẩu và khóa công khai, tôi biết đó là một rào cản cao hơn nhiều để ai đó cung cấp mật khẩu băm (với một loại muối an toàn và mọi thứ) so với khóa công khai. Nếu bạn có máy khách SSH, bạn có một công cụ tạo khóa. Điều tương tự không thể được nói cho một cái gì đó có khả năng gọi crypt(2) trong nhiều hình thức giải trí của nó.
womble
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.