Wie sicher ist die Key-Passphrase?

    Moin Leute,


    ich habe eine elementare Frage zu den Passphrases der private Keys:
    Wie sicher ist die "eingebaute" Verschlüsselung?


    Hintergrund: Um mich gegen das Aussperren zu schützen möchte ich einen "Masterkey" mit einem mehr als 30-stelligem Passwort versehen und auf einem Webserver ablegen, damit ich immer einen "Reserveschlüssel" parat habe.
    Außerdem unterstützt Unslung des Linksys NSLU2 nur bis zu 8-stellige Passwörter für SSH, weshalb ich PasswordAuthentication deaktivieren möchte, aber, da der NSLU2 mein "Gateway" nach Hause darstellt, schnell und einfach einen SSH-Tunnel erstellen können. Deshalb liegt auch der Key öffentlich auf einem Webserver.


    Daher im Prinzip auch die Frage: Ist ein verschlüsselter private Key sicher genug, dass ihn ruhig jeder in die Finger kriegen könnte (der nun zufällig die URL kennt, also praktisch doch wieder keiner), oder muss ich ihn nochmal extern verschlüsseln?


    Vielen Dank im Voraus!





    EDIT:
    Noch eine Frage:
    Mir fällt gerade auf, dass der PuTTY-Keygen-verschlüsselte Key nicht mit dem Linux-ssh-client benutzbar ist.
    Wie kommt das? Ist das eine generelle inkompatibilität? Oder muss ich den Key anders erstellen, mit Linux-Mitteln vielleicht?

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

    Zu dem Verschlüsselungsalgorythmus: http://de.wikipedia.org/wiki/RSA-Kryptosystem (Gehe mal vom RSA-Typ aus)
    Ich würde schon sagen das die recht sicher ist. Ist halt eine Frage der Zeit bis man so ein Passwort erraten hat. Knacken lässt sich RSA *noch* nicht.


    Zitat

    Noch eine Frage:

    Wieso das so ist weiß ich auch nicht.


    Willst du den Schlüssel mit Linux nutzen, musst Du den verwenden, den Du auf dem vServer generiert hast. Ich habe den Key auf dem Server mit »ssh-keygen -t rsa« erstellt und dann auf der Windows Maschine mit PuttyGen konvertiert.


    Bin mir grad nicht sicher ob PuttyGen in beide Richtungen konvertieren kann. Aus dem Grund habe ich für jeden Server zwei Keys auf meinem Stick. Für Windows und Linux halt. Merkwürdige Geschichte.

    Ich hätte auch mal früher auf die Idee kommen können, den ppk (PuTTY) einfach mal zu öffnen *patsch*:

    Code
    Encryption: aes256-cbc

    Das klingt für mich recht sicher. Gut, ein 1024er hätte es auch getan, aber was solls ;)


    Das mit der "Load"-Funktion beim Puttygen ist ja super!
    Ich hatte bisher nicht nur jeweils zwei private Keys, sondern auch auf den Servern zwei public Keys, einen für PuTTY, einen für den Linux-ssh.
    Cool, danke!


    EDIT:
    Ich wunderte mich die ganze Zeit über die Antwort von wegen RSA:
    Jo, klar, der Key selbst ist bei mir ein RSA mit 4096bit (leide unter Paranoia).
    Aber mir ging es um die Passphrase, mit der man den private Key verschlüsselt, damit der nicht einfach benutzbar ist ;)

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

    Sagt mal, bin ich blöde oder gibt es nicht ein GUI-SFTP/SCP-Tool, das Zertifikate zur Anmeldung nimmt?
    Linux wie Windows...

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

    Zitat von sim4000;13016


    Willst du den Schlüssel mit Linux nutzen, musst Du den verwenden, den Du auf dem vServer generiert hast.


    Wieso denn? das geht doch viel komfortabler:


    Code
    ssh-keygen -t rsa

    und dann einfach den key kopieren lassen.


    Code
    ssh-copy-id -i .ssh/deinschlüsselname user@server

    ich habe für jeden meiner Rechner und mein Handy einen key für einen unprivilegierten Benutzer.



    Das Passwort das du vergibst ist natürlich nur so sicher, wie jedes andere PW auch... nur wird lokal bei mir seltener jemand versuchen die Schlüssel zu knacken als beim "normalen" ssh-login per pw..



    Zitat von Artimis;13022

    Sagt mal, bin ich blöde oder gibt es nicht ein GUI-SFTP/SCP-Tool, das Zertifikate zur Anmeldung nimmt?
    Linux wie Windows...


    winscp kann afaik keyfiles nutzen...
    Filezilla kann auch für eine sftp Verbindung keyfiles nutzen

    Achso.... ok, stimmt :P


    @TE:
    Ich würde dennoch keinen Key auf einem Webserver ablegen, das wiederspricht ja auch irgendwie dem Sinn des Schlüsels..


    Wenn du dich wirklcih einmal aussperren solltest hast du immer noch die Möglichkeit den Rettungs-Modus zu nutzen um dir wieder Zugang zu verschaffen.



    Zudem kann man bei entsprechender Datensicherung (die immer vorhanden sein sollte meiner Meinung anch) seinen Key nicht verlieren

    Zitat von Artimis;13022

    Sagt mal, bin ich blöde oder gibt es nicht ein GUI-SFTP/SCP-Tool, das Zertifikate zur Anmeldung nimmt?


    Ich sage nur SmartFTP, gibt es aber nur für Windows und kostet etwas ;)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Zitat

    Ich würde dennoch keinen Key auf einem Webserver ablegen, das wiederspricht ja auch irgendwie dem Sinn des Schlüsels..

    Naja, nicht unbedingt. Ich habe z.B. mal Praktikum bei einer Firma gamacht, die hatten ein paar Türen mit Schlüssel und dan der Wand davor einen High-Tec-Tresor, wo der Schlüssel drin war. Der Witz ist: Meine NSLU2 mit Unslung kann aus unerfindlichem Grund nur 8-stellige PWs, was mit deutlich zu wenig ist. Daher möchte ich mit Keys arbeiten, die ich mit mehr als 30 Stellen verschlüsselt habe. Da ich aber von überall schnell rankommen möchte, muss das Ding auf 'nen Webserver, das ist der Hintergrund.


    Naja, die Dinger sind jedenfalls mit dem AES-256 verschlüsselt. Das war es, was ich im prinzip wissen wollte. Ich halte es also für unnötig, das Kind noch zusätzlich zu sichern (mcrypt oder so).


    Zitat

    Mir war so, dass der TE Windows hat. Und da ist es einfacher die Keys auf dem Server zu generieren.

    Jo, zu Hause und vor allem unterwegs nutze ich Wind00f.
    Am einfachsten ist es, die Keys mit dem openSSH-Tool auf dem Server zu generieren und den private Key in den PuTTYgen zu importieren. Dann hat man zwar den private Key in zwei unterschiedlichen Formate, aber wenigstens nur einen public Key.


    Zitat

    Ich sage nur SmartFTP, gibt es aber nur für Windows und kostet etwas

    Wichtiger ist eher Linux. Und der Kostenfaktor gefällt mir iwie nicht xD


    Zitat

    Filezilla kann auch für eine sftp Verbindung keyfiles nutzen

    Das wäre mein Favorit. Aber ich habe verzweifelt danach gesucht. Wichtiger ist mir ein Client unter Linux. Mit gFTP habe ich schon einen SSH-Parameter versucht, aber selbst ohne Passphrase klappts nicht.
    Kannst du mir verraten, wie das mit Filezilla klappt? Welche Version?

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

    Zitat

    aber unter debian nutzt filezilla die schlüssel automatisch wenn ich sftp wähle.


    Echt? Aber welches nimmt der? So ein paar Keys habe ich ja schon auf der Kiste...

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

    Es geht schon eine ganze Weile mit FileZilla, aber auf jeden Fall mit Version 3.3.1. In den Einstellungen kann man die Keyfiles angeben. FileZilla selbst unterstützt nur Keys ohne Keyphrase, allerdings wird auch Pageant von Putty automatisch erkannt. Wenn der Key eingerichtet ist, einfach "Interaktiv" als Verbindungsart auswählen und den Benutzernamen eingeben.