Anfang des Monats wurde dieser Blogpost [0] veröffentlicht, der die Nutzung von SSH-Zertifikaten anstelle von SSH-Keys vorschlägt.

Eine passende Diskussion auf Hacker News [1] gab es natürlich auch.

[0] https://gravitational.com/blog/how-to-ssh-properly/

[1] https://news.ycombinator.com/item?id=22750850

On Fri, 17 Apr 2020 at 16:20, Jan Niehusmann <jan@hitnet.rwth-aachen.de> wrote:

Moin,

On Fri, Apr 17, 2020 at 01:35:47PM +0000, Xhonneux, René wrote:
> unverschlüsselt unter ~/.ssh/id_rsa - eine Malware auf dem Rechner oder
> evtl. auch nur eine Sicherheitslücke im Browser, die Zugriff auf's
> Dateisystem erlaubt, und schon könnte der Schlüssel weg sein.

Was mich auf eine neue Frage bringt: Kennt jemand eine gute Lösung zum
Blacklisten von SSH-Keys? Damit man, falls der Key geklaut wurde (oder
man das vermutet), möglichst schnell auf möglichst vielen Rechnern
diesen Key sperren kann.

Ich denke an irgendeine Art von Revocation-List, die man leicht auch
über mehrere Rechner hinweg ausrollen kann.

Es gibt für die sshd_config die Konfigurationsoption RevokedKeys, die
aber einfach auf eine Datei verweist. Damit ist das Verteilungsproblem
noch nicht gelöst. Könnte man natürlich auch wieder irgendwie
automatisieren, aber wenn man dafür basteln muss, macht das keiner,
und wenn man was falsch macht, sperrt man sich aus.

Ohne jetzt lange über Details und mögliche Angriffsszenarien nachgedacht
zu haben, stelle ich mir sowas vor wie die SSHFP-Einträge im DNS für
HostKeys.

Grüße,
Jan
_______________________________________________
rwth-security mailing list -- rwth-security@lists.rwth-aachen.de
To unsubscribe send an email to rwth-security-leave@lists.rwth-aachen.de