日常業務で RSA 鍵を使い始めたばかりで、最適な使用方法についていくつか質問があります。
最大の疑問は、複数のクライアントと複数のサーバーという考えに関係しています。シナリオは次のとおりです。
2 台のクライアント コンピューターがあります。
そして、認証するサーバーが 2 つあります。
では、一般的に、この状況ではいくつの鍵ペアをお勧めしますか?
これらのどれも他のものより著しく優れているか劣っている場合は、それぞれの長所と短所を概説して、人が自分で選択できるようにできますか?
4 つのオプションのうち、私が気に入っているのは次の 2 つです。
クライアントごとに1つ:このキーは「このクライアント」であり、そのクライアントから接続する予定の各サーバーに配置します。
これにより、特定のクライアントが危険にさらされた場合に、そのクライアントのすべてのキーを簡単に取り消すことができます。つまり、すべてのサービスで 1 つのキーを削除します。また、クライアントの数に比例してのみスケーリングするため、おそらくキー管理が容易になります. これは、複数のサーバーで使用される 1 つの鍵をすべてのクライアントに与えるという OpenSSH 鍵モデルにもうまく適合します。( OpenSSH を使用して他のモデルを実行することもできますが、これは素晴らしいことです。ただし、これは、ユーザーの努力なしで実行できるため、最も簡単な方法です。)
すべての組み合わせに 1 つ: クライアントとサーバーの固有の組み合わせごとに、独自のキー ペアがあります。
これには、1 つのクライアントが危険にさらされたときに複数のキーを取り消さなければならないという欠点がありますが、とにかくサービスごとに 1 つのキーであるため、それほど悪くはありません。より良い利点は、あるサービスがあなたと別のサービスの間の仲介者として機能することが大幅に難しくなることです. ほとんどの場合、これは実際の懸念事項ではありませんが、(ラップトップ、サーバー、SMTP) キーが突然 (ラップトップ、サーバー、SSH) に使用されている場合は、奇妙な点に気付く機会があります。この能力が、管理するキーの 2 倍の増加に見合う価値があるかどうかはわかりません。
これを行う通常の方法は、「クライアントごとに 1 つ」オプションです。これにより、クライアント キーが侵害された場合に、そのキーが許可されているサーバーからそのキーだけを取り消すことができます。余分な作業が必要な場合は、「すべての組み合わせに 1 つ」を実行できます。
上記のオプションは、ホスト間で秘密鍵データをコピーすることを回避します。