gpg ключи для SSH

0

1

Выдали мне тут в подарок на день рождение yubikey, стал думать как сделать ssh аутентификацию есть 3 пути:

резидентный fido2
минусы: Хостеры не понимают такой тип ключей
gpg
pkcs11

И вот у меня не лёгкий выбор между 2 вариантами

с pkcs11 понятно потерял yubikey всё, прощай доступ, а вот с gpg я не понял, если потеряли yubikey, но мы имеем бекап мастер ключа и сертификата, то можем ли мы сгенерировать новый auth ключ, чтобы пройти аутентификация на сервере где прописан утерянный публичный ключ?

←	Resilio Sync не хватает прав записи

Plasma 5.27 авто изменение размеров разделения экрана

→

можем ли мы сгенерировать новый auth ключ, чтобы пройти аутентификация на сервере где прописан утерянный публичный ключ?

Нет, потому что на сервере прописан утерянный публичный ключ. Авторизации, не мастер. // К.О.

t184256 ★★★★★
(05.03.23 18:35:40 MSK)

с pkcs11 понятно потерял yubikey всё, прощай доступ

Почему? Разве нельзя сделать экспортируемый ключ?

vvn_black ★★★★★
(05.03.23 18:45:12 MSK)

Если у тебя все равно где-то в безопасности есть бэкап мастер-ключа, может и бэкап auth-ключа рядом положишь?

t184256 ★★★★★
(05.03.23 18:54:25 MSK)

yubikey в подарок

Хорошая игрушка … на поиграться. Мой где-то в углу валяется, практического применения я ему так и не нашёл.

beastie ★★★★★
(05.03.23 19:13:05 MSK)

Ответ на: комментарий от beastie 05.03.23 19:13:05 MSK

Даже если до этого pgp не юзал и в будущем не планируешь, то все равно можешь воткнуть в ПК и использовать как хранилище SSH-ключа.

t184256 ★★★★★
(05.03.23 19:18:29 MSK)

Ответ на: комментарий от t184256 05.03.23 19:18:29 MSK

pgp я забролил лет 20 назад … мертворождённая фигня с как минимум 2-мя врождёнными пороками: абсолютно нерабочая идея web-of-trust и long-living-keys.

beastie ★★★★★
(05.03.23 19:40:17 MSK)

Ответ на: комментарий от t184256 05.03.23 19:18:29 MSK

хранилище SSH-ключа

с ybikey без танца с бубном и посредников как тот-же gpg невозможная. И идея сама по себе бессмысленная. Вместо одного ключа под всё, тебе скорее нужны много ключей под каждую отдельную user/host комбинацию. Что делает их throw-away ключами и специальное хранение бессмысленным.

beastie ★★★★★
(05.03.23 19:43:43 MSK)

Ответ на: комментарий от beastie 05.03.23 19:43:43 MSK

отвечу тут всем и сразу, я слепой и не вижу кнопки просто ответить

с ybikey без танца с бубном и посредников как тот-же gpg невозможная. И идея сама по себе бессмысленная. Вместо одного ключа под всё, тебе скорее нужны много ключей под каждую отдельную user/host комбинацию. Что делает их throw-away ключами и специальное хранение бессмысленным.

yubikey МОЖЕТ хранить до 50 ключей в sk формате

Почему? Разве нельзя сделать экспортируемый ключ?

тут два момента

тут оно явно парой ключей и в RSA если потерял приватный ключ, то всё, а с gpg пишут «мастер ключ спрятать куда подальше, а оперировать операции через суб ключи»
кратко нет, если ключ и серт создан внутри ключа, то приватный ключ ты не достанешь

Хорошая игрушка … на поиграться. Мой где-то в углу валяется, практического применения я ему так и не нашёл.

Я каждый день пользуюсь именно как аутентификалкой Мне дико удобно мои ключи всегда со мной

У меня дуалбут и когда ты раз в 2 месяца хочешь поиграть в винде тебя обязательно кто-то дернет и скажет «делай обз…» «делай сервер»

kinoher
(05.03.23 22:06:25 MSK) автор топика

Ответ на: комментарий от kinoher 05.03.23 22:06:25 MSK

отвечу тут всем и сразу, я слепой и не вижу кнопки просто ответить

так не отвечай всем сразу.

t184256 ★★★★★
(05.03.23 22:49:52 MSK)

←	Resilio Sync не хватает прав записи

General

Plasma 5.27 авто изменение размеров разделения экрана

→

Похожие темы