Чтобы упростить настройку SSH без пароля на новых машинах и средах, есть ли причина, по которой id_rsa.pub файл (только публичную половину пары ключей) не может быть опубликован где-нибудь в сети? Например, в репозитории GitHub dotfiles.
Я знаю, что:
id_rsa файл (закрытая половина пары ключей) должен тщательно охраняться иНо мои поиски не дали никаких явных советов, что это разрешено или поощряется.
Из любопытства, подойдет ли тот же совет для пары ключей без ключевой фразы?
Уже есть. :) Просто поставьте ".keys" в конец URL вашего профиля Github, например:
RSA специально разработан, чтобы позволить вам делиться этим открытым ключом, так что да, вы можете опубликовать его. Это очень похоже на то, как работает x.509 (и SSL) с сертификатами RSA.
Перед публикацией файла посмотрите на него; единственное, что должно быть там, - это ключевое слово "ssh-rsa" и ключ в кодировке base64. Возможно, вы захотите сохранить это (я считаю, что сейчас это значение по умолчанию).
Это верно независимо от того, имеет ли ключ кодовую фразу или нет. Парольная фраза шифрует закрытый ключ и не влияет на открытый ключ.
Как всегда, убедитесь, что ваш ключ достаточно большой и энтропийный. Если он генерируется сломанным ГПСЧ, это может быть предсказуемо. Однако публикация этого не представляет особого дополнительного риска, поскольку, если пространство ключей такое маленькое, злоумышленник может просто попробовать со всеми ключами в пронумерованном пространстве ключей, пока не получит нужный.
Предлагаю использовать 4096-битный ключ (укажите -b 4096), так что кому-то будет труднее, чем обычно (по умолчанию 2048), преобразовать ваш открытый ключ в частный. Это единственный значительный риск при этом, и он не очень большой, поскольку алгоритм специально разработан, чтобы сделать его непрактичным.
Хотя, как правило, я не рекомендую размещать вашу собственную конфигурацию в общедоступных репозиториях проектов (при условии, что репозиторий предназначен для все и ваша конфигурация предназначена для ты один, это просто немного грубо), последствия для безопасности минимальны.
Единственный разумный вектор атаки - это каким-то образом использовать этот открытый ключ для идентифицировать вы в каком-то вредоносном контексте. Что это могло быть, я не понимаю, но открытый ключ однозначно идентифицирует закрытый ключ, хотя и не дает никаких намеков на его происхождение.
Есть вектор атаки углового случая, который, вероятно, неприменим, но если вы помните фиаско с Debian случайно сломал ГПСЧ opensslлюбой ssh-ключ, сгенерированный в уязвимой системе, легко предсказуем и может быть идентифицирован по его открытому ключу. Так что в который В этом случае публикация открытого ключа может привести к неприятностям. Или, что более уместно, использовать этот ключ для чего угодно может привести к неприятностям.
Да, вы можете опубликовать свой открытый ключ SSH. И вы можете опубликовать отпечаток сервера, используя Запись SSHFP в DNS! Это может быть очень удобно, например, если вам нужно обновить / изменить SSH-ключ сервера.