Preocupações de segurança da exibição da chave privada ssh

14

Cometi um grande erro, ou pelo menos acho que cometi: "catted" minha chave SSH privada

cat ~/.ssh/id_rsa

Agora, tenho medo de ter criado uma brecha na segurança, permitindo que outros usuários vejam minha chave privada observando o histórico do bash / scrollback ou usando outros métodos. Então, minhas perguntas:

  1. Eu realmente comprometi a segurança do meu par de chaves SSH?
  2. Existem maneiras 'suficientemente seguras' de corrigi-lo, excluindo a maneira óbvia (e mais segura) de criar um novo par de chaves?

(NOTA: eu sou o único usuário da máquina, por isso não estou tão preocupado com o meu caso específico, mas achei que seria uma pergunta interessante.)

LeartS
fonte

Respostas:

20

Se você fez isso em particular, não há problema. Pense nisso: você só exibiu na tela exatamente os mesmos dados que já estão armazenados no seu disco rígido. E se alguém pudesse acessar seu scrollback ou seu histórico, também poderia ler o id_rsaarquivo diretamente.

  • Além disso, o histórico do seu shell - mesmo que seja legível para outros usuários (o que não é) - contém apenas comandos, não os resultados. Então, tudo o que terá é uma linha cat ~/.ssh/id_rsanela.

  • O histórico de rolagem, para a maioria dos terminais, é armazenado inteiramente na memória. (Os terminais baseados em libvte às vezes usam um arquivo de backup em / tmp, mas isso é um tmpfs ou está localizado no mesmo disco que seu ~ / .ssh, de qualquer maneira ...) Portanto, torna-se irrelevante quando você fecha o terminal. E de qualquer forma, é acessível apenas para você, é claro.

  • E muitas vezes, a chave privada em si é criptografada com uma senha e é inutilizável, a menos que você a decodifique quando sshsolicitada.

A menos, é claro, que você faça isso na presença de câmeras de segurança de alta resolução, ou mesmo permita que alguém tire uma foto da janela do seu terminal. Nesse caso, alguém poderia redigitar a chave a partir de fotos, e a única coisa que a protegeria seria a senha de criptografia.

user1686
fonte