কাজের জন্য আমার এসএসএইচ পাবলিক কী দেওয়া নিরাপদ?

আমি বর্তমানে বেশ কয়েকটি সংস্থার জন্য দূরবর্তীভাবে কাজ করি যা রক্ষণাবেক্ষণ এবং আপগ্রেডের জন্য নিয়মিত তাদের সার্ভারগুলি অ্যাক্সেস করা দরকার। .ssh/authorized_keysপাসওয়ার্ড অনুসন্ধান না করে আমাকে আরও দ্রুত / লগইন করার অনুমতি দেওয়ার জন্য ফাইলটিতে আমার আরএসএ পাবলিক এসএসএইচ কীটি যুক্ত করা কি নিরাপদ ? আমি এই ধারণার অধীনে কাজ করি যে জনসাধারণের কাছ থেকে প্রাইভেট কী তৈরি করা অসম্ভব, তবে আমি কি আমার ধারণায় ঠিক আছি?

এটিকে আরও একধাপ এগিয়ে নিয়ে যাওয়া, আমার আরএসএর সার্বজনীন কী সামগ্রীতে ইন্টারনেটে পোস্ট করার ক্ষেত্রে কি কোনও সুরক্ষা ঝুঁকি রয়েছে? আমি জানি যে আমার প্রাইভেট কীটি পাওয়া গেলে, আমি অনেক সমস্যায় পড়েছি, তবে তার বাইরেও কি কোনও সম্ভাব্য সম্ভাব্য সুরক্ষা হুমকি রয়েছে?

হ্যাঁ, সর্বজনীন কী থেকে ব্যক্তিগত কীটি পুনরুদ্ধার করা অসম্ভব। যদি এটি সম্ভব হয়, আরএসএ মৌলিকভাবে ভেঙে যাবে এবং এটি বড় সংবাদ হবে (আরএসএ ভঙ্গ করা কেবলমাত্র ইন্টারনেট যোগাযোগ সুরক্ষাকেই ভেঙে দেবে না, অন্যদের মধ্যে সকল ধরণের ব্যাংকিং জালিয়াতিও মঞ্জুর করবে)।

পাসওয়ার্ডের পরিবর্তে সর্বজনীন কী দিয়ে লগ ইন করা সুরক্ষা বাড়ায়। যদি আপনার পাসওয়ার্ডটি যথেষ্ট শক্তিশালী না হয় তবে আক্রমণকারী দ্বারা পর্যাপ্ত ব্যান্ডউইদথ সহ এটি জোর করে চাপিয়ে দেওয়া যেতে পারে। যদি আক্রমণকারীটির আপনার ব্যক্তিগত কী ফাইলটির একটি অনুলিপি না থাকে, তবে আরএসএ কী কার্যকরভাবে জোর করে চাপিয়ে দেওয়া যাবে না (1024-বিট কীটি এলোমেলো ক্ষেত্রে-সংবেদনশীল অক্ষর এবং অঙ্কগুলি দিয়ে তৈরি 160-অক্ষরের পাসওয়ার্ডের মতো) । আপনার কাঁধে নজর রাখেন এমন কেউ আপনার পাসওয়ার্ড এবং আপনার কী পাসফ্রেজ দেখতে সক্ষম হতে পারে তবে একটি কী দিয়ে তাদের কীটিও নেওয়া দরকার।

ব্যক্তিগত কীগুলি সর্বদা পাসওয়ার্ডের চেয়ে বেশি সুরক্ষিত থাকে না। আক্রমণকারী যদি আপনার ব্যক্তিগত কী ফাইলগুলির একটি অনুলিপি গ্রহণ করে (উদাহরণস্বরূপ আপনার ল্যাপটপ বা আপনার ব্যাকআপ মিডিয়া চুরি করে), তিনি পাসফ্রেজটিকে জোর করে চাপিয়ে দেওয়ার চেষ্টা করতে পারেন এবং আপনার কাছে সীমিত করার কোনও উপায় না থাকায় তিনি উচ্চ গতিতে এটি করতে পারবেন can রেট (পাসওয়ার্ড অনুমানের বিপরীতে যা অনলাইনে করা দরকার) যদি আপনার পাসফ্রেজটি যথেষ্ট ভাল থাকে এবং আপনি তত্ক্ষণাত্ চুরিটি লক্ষ্য করেন তবে আপনার কীটি প্রত্যাহারের সময় এখনও থাকবে time

একটি সর্বজনীন কী গোপনীয়তা প্রকাশের একটি উপাদানটির সাথে পরিচয় করিয়ে দেয়: যদি কেউ জানেন যে আপনি A তে লগ ইন করতে এবং বি তে লগ ইন করতে একই পাবলিক কীটি ব্যবহার করেছেন, তারা জানেন যে একই ব্যক্তি এ এবং বিতে লগ ইন করেছেন কেবলমাত্র পাবলিক কীটি আপনাকে অধিকারী করে তোলে সন্দেহ আছে যে আপনার কাছে ব্যক্তিগত কীও রয়েছে তাই আপনি কিছুটা অস্বাভাবিকতা হারাবেন। তবে এটি সাধারণত গৌণ, বিশেষত যদি আপনি কেবল কী ~/.sshসিস্টেমে সংরক্ষণ করেন যেখানে কেবল সিস্টেম প্রশাসকরা (যারা আপনি লগইন করেছেন কোন আইপি ঠিকানাটিও জানেন) এটি দেখতে পারে।

এই সুরক্ষা বিবেচনাগুলি বাদ দিলে, একটি ব্যক্তিগত কী এর অনেক ব্যবহারিক সুবিধা রয়েছে। আপনার এত ঘন ঘন আপনার পাসওয়ার্ড টাইপ করার দরকার নেই এবং বিশেষত স্বয়ংক্রিয় স্ক্রিপ্টগুলি চালনা করতে পারেন যা আপনি এসএস-এজেন্ট বা এর মতো আপনার কী প্রবেশ করানোর পরে প্রম্পট করবেন না। আপনার এতক্ষণ আপনার পাসওয়ার্ড টাইপ করার দরকার নেই, তাই আপনি এটিকে উচ্চ-এনট্রপি (দীর্ঘতর, টাইপ করা শক্ত) করতে সক্ষম হতে পারেন। আপনার এত ঘন ঘন আপনার পাসওয়ার্ড টাইপ করার দরকার নেই, সুতরাং এটি কোনও মানব পর্যবেক্ষক বা ক্যামেরা দ্বারা স্নোপ হবে এমন ঝুঁকি কম থাকে।

গিলসের উত্তর সাধারণত ভাল, ব্যতীত

... বিশেষত যদি আপনি কেবল ~ / .ssh কীটি সঞ্চয় করে থাকেন যেখানে কেবল সিস্টেম প্রশাসকরা (আপনি যে আইপি ঠিকানাটি থেকে লগ ইন করেছেন তাও জানেন) এটি দেখতে পাবে।

আপনার ssh কীগুলি ~/.sshআপনার নিজের অ্যাকাউন্টের অধীনে চলমান যে কোনও সফ্টওয়্যার দ্বারা পড়তে পারে। যা সম্ভবত আপনি চালিত বেশিরভাগ সফ্টওয়্যার। সুতরাং আপনাকে অবশ্যই সেই সফ্টওয়্যার এবং যারা এটি লিখেছেন তাদের বিশ্বাস করতে হবে।