Je vais me connecter à l'un de mes serveurs depuis l'ordinateur de mon patron (Win 10) en utilisant PuTTY. Pour ce faire, je vais utiliser ma clé privée. Y a-t-il quelque chose que je devrais faire avant/après pour empêcher le vol de ma clé?
Mon plan était:
Une alternative plus sûre consiste à créer une nouvelle paire de clés que vous utilisez à cet effet.
Maintenant, l'ordinateur de votre patron peut se connecter au serveur. Lorsque cela est fait, vous pouvez retirer la clé sur le serveur. De cette façon, votre propre clé ne quitte pas votre ordinateur et la clé de votre patron n'est valide que peu de temps.
Une bonne solution consiste à avoir la clé sur un périphérique matériel dédié qui effectuera toutes vos opérations de chiffrement sans même révéler le matériel de la clé à l'ordinateur hôte. Vous pouvez utiliser n'importe quelle carte PKI prise en charge par OpenSC , une carte à puce OpenPGP (prise en charge à la fois par GnuPG et OpenSC) ou une Yubikey (qui dans ce cas se comportera comme une carte OpenPGP).
Pour les cartes prises en charge par OpenSC, installez OpenSC et dites à OpenSSH de l'utiliser:
ssh -I /usr/lib/opensc-pkcs11.so [email protected]
Pour GnuPG, vous pouvez tiliser l'agent GPG comme agent SSH qui exposera les clés de la carte à travers cela. Notez que sauf si vous avez besoin de la mise en cache des mots de passe/PIN, je recommande d'utiliser OpenSC sur GPG.
Sous Windows, vous devez utiliser le minidriver de votre carte (comment Microsoft appelle un logiciel comme OpenSC) - la plupart d'entre eux peuvent être téléchargés automatiquement à condition que vous autorisiez votre système à rechercher des pilotes en ligne. Si aucun minidriver officiel n'est trouvé, vous pouvez utiliser la version Windows d'OpenSC qui comprend un minidriver générique. Notez que pour les cartes OpenPGP, il y a un minidriver tiers qui fonctionne mieux que celui d'OpenSC (en fait, je n'ai pas eu de chance pour que le minidriver d'OpenSC fonctionne avec la carte OpenPGP, même si la bibliothèque PKCS11 fonctionnait bien. qu'OpenSC parlait à la carte).
Une fois le minidriver installé, le logiciel pourra parler à la carte à l'aide de l'API Crypto standard du système (la carte apparaît comme tout autre certificat dans le magasin de certificats de l'utilisateur). PuTTY-CAC est un tel programme qui peut tirer parti de ces certificats (et cartes), il comprend PuTTY lui-même ainsi que Pageant, l'équivalent de PuTTY d'un agent SSH. Si sous Cygwin/MSYS vous pouvez utiliser ssh-pageant
pour convertir un concours en cours d'exécution en un agent SSH qui peut être utilisé par le standard ssh
(un pont direct entre CAPI et SSH aurait été plus agréable, mais rien de tel n'existe encore).