¿Una buena práctica para usar el mismo par de claves SSH en varias máquinas?

Recientemente obtuve una nueva computadora portátil para el trabajo, y me preguntaba si sería una buena práctica seguir usando el mismo par de claves RSA que estoy usando en mi vieja computadora portátil de trabajo. Realmente me gustaría no tener que crear otro par de claves para realizar un seguimiento.

¿Es esto, en general, una práctica aceptable? Dado que el par de claves tiene una frase de contraseña, debería ser bastante seguro, siempre y cuando mis máquinas físicas estén seguras, ¿verdad?

Sí, es seguro siempre que esté en buenas manos, es decir, las máquinas físicas son seguras. Por supuesto, si un atacante obtiene acceso y puede ingresar a una máquina, puede obtener la clave de esa máquina y usar la clave para otras computadoras también. Vea esto para más información.

Para ser un poco más claro a partir de las otras respuestas aquí y en otros lugares: la "seguridad" es tan segura como la seguridad de la clave privada. Si alguien puede acceder a su (s) clave (s) privada (s), posiblemente podría enviarse por correo electrónico o copiarse a un dispositivo USB. Luego, la clave privada copiada podría ser utilizada por otra persona.

Mientras la clave privada se encuentre en un sistema seguro, no hay problema para que vaya a varias máquinas.

Pero una cosa diré: no copie una clave privada en un sistema remoto. Intente confiar en el agente SSH (ssh-agent o pageant) y el reenvío de agentes. Si tiene una clave privada en un sistema remoto, asegúrese de que no sea la misma clave utilizada para acceder al sistema.

Una sola clave en varias máquinas sin duda reduce la cantidad de claves que un administrador de sistemas necesita manejar. Tengo cinco máquinas desde las cuales podría trabajar (generalmente unas tres muy activas, pero una podría estar en reparación y otra muy ocasional). Si una empresa tuviera ocho personas como yo, eso hace 40 claves para administrar en lugar de 8.

Sin embargo, el problema que Arcege ha señalado hábilmente, aunque indirectamente, es que si una sola máquina se ve comprometida o incluso desaparece por un corto período de tiempo, eso significaría que ya no tendría acceso desde ninguna máquina (como mi clave para todas mis máquinas tendrían que ser derribadas). Seguramente la conveniencia de poder quitar una sola tecla de una computadora portátil comprometida o robada y poder seguir trabajando desde otra máquina vale la molestia de lidiar con múltiples teclas.

En un ejemplo aún más extremo, imagina que soy el administrador del sistema y que me robaron o piratearon una computadora portátil. Mi clave tiene que ser eliminada pero necesito acceso a todos los sistemas para hacerlo. Si bien es técnicamente posible reemplazar y eliminar dentro de una sola sesión, cuando se trata de moverse rápidamente y cubrir todas las bases, complica considerablemente el escenario de emergencia.

Por otro lado, si tengo claves únicas para cada estación de trabajo, si puedo llegar a una estación de trabajo alternativa, puedo excluir rápida y eficientemente la clave comprometida, sin arriesgarme a bloquearme.

A medida que profundizo en el enfoque de seguridad de las claves SSH, está claro que, para una seguridad real, todos deberíamos usar ambos:

• lo que tenemos (claves SSH)
• lo que sabemos (contraseña para el servidor)

El requisito de contraseña cubre tanto el acceso al servidor como una contraseña para la clave. El factor de molestia aumenta, pero en el punto tenemos los tres en su lugar (claves SSH, contraseña de acceso de clave SSH, contraseña del servidor) en ese punto ya no hay un solo punto de falla . Una contraseña de servidor compartida también protege a su equipo contra una contraseña de clave SSH muy débil (normalmente no tenemos control sobre el nivel de contraseña que generan nuestros colegas, y un administrador de contraseña en una situación empresarial donde tengo acceso a herramientas de auditoría de contraseña que puedo incluso aquellos que deberían saber mejor a veces crean contraseñas sorprendentemente débiles).

Un atacante tendría que ser determinado y un ataque exitoso podría llevar meses o incluso años. Al cambiar la contraseña del servidor ocasionalmente (cada seis meses más o menos, la contraseña del servidor se comparte con un sistema de nivel empresarial como LastPass, recuerde que también hay claves SSH), en este punto sus servidores disfrutan de una seguridad razonable (ya que nadie podría combinar un SSH caliente clave con una contraseña antigua para entrar).

Uno tiene que pensar en el acceso ilegal a información privilegiada (Edward Snowden viene a la mente, Ashley Madison hack es el segundo) como un riesgo principal. Solo mediante el uso de claves y contraseñas sería posible frenar realmente a una persona con información privilegiada.

Aparte del método chino antiguo: enterrarlos vivos cuando termine su trabajo.

Después del entierro, se sugirió que sería una grave violación si los artesanos que construían los dispositivos mecánicos y sabían de sus tesoros iban a divulgar esos secretos. Por lo tanto, después de que las ceremonias fúnebres se hubieran completado y los tesoros escondidos, el pasadizo interior fue bloqueado y la puerta exterior bajó, atrapando de inmediato a todos los trabajadores y artesanos dentro. Ninguno pudo escapar.

Para las claves de usuario: sí, si usa una frase de contraseña segura y creó la clave en un sistema sin fallas de seguridad ssh.

Para claves de servidor: no.

Diría que es un buen hábito tener diferentes claves para diferentes grupos, por ejemplo: trabajo, hogar, proyecto de fuente abierta.

Cuantas más claves agregue, más complejo será administrarlas.