• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Wie sicher/unsicher sind SSH-Keys ohne Passphrase?

Artisan72

Newbie
Hallo!

Ich verwende SSH-Keys noch nicht lange.

Man muss ja zu Beginn einen Schlüssel mittels ssh-keygen erstellen, dann gibt's einen Public-Key und einen Private-Key.
Man kann wahlweise eine "Passphrase" eingeben, ist wohl so 'ne Art Verschlüsselungskennwort.

Den Public-Key muss man ja übertragen an die anderen Rechner, auf denen man sich einloggen können möchte.

Wenn ich eine Phassphrase gewählt habe, werde ich hin und wieder danach gefragt.


Wie ist es, wenn jemand keine Passphrase angegeben hat, und ein Fremder erhält meinen Public-Key?
Er braucht wohl trotzdem noch den privaten Schlüssel erst?

Und ist die Verschlüsselung selber dann auch noch sicher oder könnten die Daten allein mit dem Public Key entschlüsselt werden?
 

marce

Guru
Ohne private Key ist der Public nutzos (zumindest für die Gegenseite)

Ich würde Dir empfehlen, mal die Grundlagenartikel zu dem Thema durchzulesen, z.B. auf Wikipedia.
 

gehrke

Administrator
Teammitglied
Artisan72 schrieb:
Wie ist es, wenn jemand keine Passphrase angegeben hat, und ein Fremder erhält meinen Public-Key?
Er braucht wohl trotzdem noch den privaten Schlüssel erst?

Und ist die Verschlüsselung selber dann auch noch sicher oder könnten die Daten allein mit dem Public Key entschlüsselt werden?
Relevant ist der private Schlüssel. Wenn der Angreifer den auf irgendeinem Wege erlangt und keine Passphrase gesetzt ist, dann hat er auch Zugriff auf alle Systeme, deren Authentifizierung über den PubKey abgesichert wurden. Und genau hiergegen kann und sollte man sich mit der Vergabe einer sehr guten Passphrase wehren.

Die Benutzung von PubKey-Authentifzierung wird durch die Verwendung von sh-agent übrigens extrem vereinfacht, ohne allzu große Sicherheitseinbußen hinnehmen zu müssen. Hiermit kann man erreichen, dass die Passphrase nur einmal eingegeben werden muss und nachfolgende Zugriffe dann quasi password-los erscheinen (aber nicht sind).

http://wiki.linux-club.de/opensuse/Ssh-agent
 
Und als kleine Ergänzung meinerseits: Das Ding heißt nicht umsonst passphrase und nicht password. Hier gilt "size matters", sprich ein simpler Satz ist besser gegen bruteforce Attacken geschützt als ein kompliziertes kurzes Passwort.
 
Oben