Q&A
秘密鍵を保存しているクライアントマシンごと盗難や紛失しても、パスフレーズの設定があるから直ちに不正アクセスはないだろうとのこと、なるほどです。そのペアを無効にして、あらたにペアを作り直し、使用している全てのウェブサービスに登録し直すこととするのか、1つのウェブサービスに限定しておくかですね。なるほどです。
あるウェブサービスにアクセスするためにSSH暗号鍵を使用します。
アクセスするクライアントデバイスは、デスクトップのMac1台と、Macbook1台です。
自己所有で他人物のシェアではありません。
デスクトップMacで暗号鍵を作成し使用しています。
もう1台のMacbookからもアクセスしたいとき、MacbookでデスクトップMacと異なる暗号鍵ペアを作成し、使い分けたほうが良いのでしょうか。
それともデスクトップMacの秘密鍵をMacbookへコピーし同一の秘密鍵を利用したほうが良いでしょうか。
この質問は、複数デバイスをある程度柔軟に使用するようなとき、暗号鍵というものはそれぞれデバイスごとに作成し使用したほうが良いのか、端末に関わらずユーザーごとに暗号鍵があれば良いので統一したほうが良いのかということを、定石としてお聞きできれば嬉しいです。
もちろんウェブサービス側で、1つのユーザーにつき複数の公開鍵を登録できないときは、選択の余地がありません。
SSH暗号鍵が必要なウェブサービスがいくつもある場合も想定でお願いします。
定石について、また本質的な考え方について、ご教示お願いいたします。
回答3件
0
伝統的には、「秘密鍵は作成したデバイスから持ち出さない」ですが、これはコピー時の漏洩リスクを防ぐためだと思うので、手元にある2台のデバイス間のコピーであればリスクの無い方法でのコピーも可能でしょうから、コピーするメリットがあるなら、コピーしても良いのではと思います。
特に、デバイス自体の紛失リスクが、コピー時の漏洩リスクを上回るのであれば、「秘密鍵は作成したデバイスから持ち出さない」にメリットないですね。
投稿2022/06/04 16:18
総合スコア84499
0
ベストアンサー
その秘密鍵の紛失(あるいは盗難)の可能性しだいじゃないでしょうか?
秘密鍵自体にはパスフレーズが設定されているでしょうから、盗難にあったとしても直ちに不正アクセスを受けるということはないかも知れません。
幾ばくかの時間の間に対応する公開鍵を登録しているサービスで公開鍵の削除などで無効化することで被害を避けられるかも知れません。
と、なると公開鍵を削除する可能性も考慮すると持ち運ぶ端末に入れる公開鍵は別にしておいた方が無難かも知れません。
投稿2022/06/04 12:30
総合スコア292
0
どちらでもない選択肢ですが、自分は「ハードウェアトークンに秘密鍵を格納して、どのデバイスでも同じハードウェアトークンを接続する(もちろん同じ秘密鍵)」というように運用しています。
投稿2022/06/04 12:14
総合スコア145183
ハードウェアトークンについて詳しくないのでざっと検索してみましたが、複数クライアントデバイスで使う、さらに異なる単一のハードウェアに秘密鍵を保管し使うということですね。セキュリティの観点でクライアントデバイスとは別のハードウェアトークンを使うが、主旨は共通の秘密鍵を使うということですね。なるほどです。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2022/06/05 00:12