Názory k článku OpenSSH 7.2: SHA-2 a chytřejší ssh-agent

Podle mě klient prostě klíč používá, server nemá šanci zjistit, odkud ho přečetl.

Chci se zeptat, v cem je problem? Prazdna passphrase != prazdne heslo, k tomu klici se porad nekdo musi dostat.

Nehlede na to, ze klice s prazdnou passphrase jsou k nezaplaceni u automatizovanych SFTP prenosu...

ne, to nejde. ale udelat to, aby se uzivatel musel prokazat klicem a pak jeste i prihlasovacim heslem, hledej Authentication­Methods

...a kdokoli kdo ma passphrase bude toho cloveka proklinat od prvniho prihlaseni...

Ne nadarmo se rika, ze bezpecnost ma vest a ne omezovat...

> ..a kdokoli kdo ma passphrase bude toho cloveka proklinat od prvniho prihlaseni...

anebo dokud nezjisti ze muze pohodlne pouzivat ssh-agenta

heslo u klice resi zabecpeni privatniho klice na strane klienta

imho tazatel resi problem vicefaktorove autentizace na serveru - klient ma klic a heslo

ne to nelze, ty nic nevíš u privátním klíči, s kterým pracuje klient, což je na jednu stranu dobře. Stejně tak nevíš, jestli klient nepoužívá třeba ssh-agenta, kde klíč je v paměti otevřený.

Řešení je třeba podepisovat klientům klíče svým certifikátem s krátkou platností a tím snížit riziko úniku.

Podepisovani resi akorat to, ze klient pouziva tebou schvaleny/podepsany klic. Rozhodne tim nevynutis to, aby klic byl u klienta ulozeny zasifrovany, cti chraneny heslem.

Smir se s tim, ze neni cesta jak na serveru vynutit zachazeni s klecem na klientovi pokud nemas klienta pod kontrolou.

Pokud se bojis zneuziti nedobre chranenych klicu na klientech, ktere nemas plne pod kontrolou, nemas prakticky jinou moznost nez nasadit vicefaktorou autentizaci.

Nove featury ssh agenta ma jiz dlouhou dobu gpg agent, ktery umi ssh agenta emulovat a navic umoznuje podobnou praci s gpg klici.