Ubuntu-fr

gperrot

[Résolu] Nécessaire de changer de paire de clés SSH régulièrement ?

Bonjour,

Est-il nécessaire de changer de paire de clés SSH régulièrement pour plus de sécurité comme on le conseille pour les mots de passe ? Ou seulement de changer la passphrase protégeant la clé privée régulièrement ? Si oui, quelles sont les recommandations en termes de fréquence ?

Merci d'avance pour votre réponse.

Gilles

Dernière modification par gperrot (Le 13/09/2022, à 20:54)

---

____________________________________________________________________________
Ubuntu 22.04.3 LTS 64 bits sur ASUS VivoBook S14

Nuliel

Re : [Résolu] Nécessaire de changer de paire de clés SSH régulièrement ?

Bonjour,
Ce qui est important, c'est
- générer une clé par usage (en d'autres termes pas une unique clé pour tous les serveurs auquel tu accèdes, mais une clé par serveur)
- stocker uniquement la clé publique sur le serveur et non la clé privée
- garder la clé privée sur ton pc, avec la clé privée chiffrée avec un bon mot de passe
- utiliser des chiffrements qui sont réputés sûr (rsa 4096, ed25519, ... je ne parle pas des modes de chiffrement/choix du type de padding pour éviter de trop compliquer)
- désactiver l'authentification par mot de passe du serveur ssh (sinon ça sert à rien)
Le mot de passe sert à chiffrer la clé privée. Lorsque tu veux te connecter en ssh par clé, tu rentres ton mdp, il permet de déchiffrer la clé privée, ce qui permet de discuter avec le serveur, et de répondre au challenge qu'il envoie. Le mot de passe sert uniquement à protéger la clé privée en cas de vol du pc ou plus globalement du vol de la clé privée (piratage), le temps que tu puisses changer la clé en fait.
Pour en revenir à la question, cela dépend de l'importance de la clé, de la découverte d'un bug ayant entraîné la mauvaise génération de la clé... Le NIST recommande de changer les clés tous les ans, trendmicro propose tous les 45 jours...
Mon avis: pour un particulier, déjà utiliser des clés ssh avec des chiffrements sûrs et désactiver l'authentification par mot de passe, c'est déjà très bien, et suffisant pour te protéger.

---

[ poster un retour de commande ] [ poster une photo ]

gperrot

Re : [Résolu] Nécessaire de changer de paire de clés SSH régulièrement ?

Merci pour ta réponse claire et précise.

Dernière question : quand on doit se connecter très souvent à plusieurs serveurs, comment fait-on pour éviter de devoir mémoriser tous les passphrases de toutes les clés privées ? Est-ce qu'une solution de coffre-fort telle que KeepassXC peut faire l'affaire pour sauvegarder les passphrases ?

Merci d'avance.

---

____________________________________________________________________________
Ubuntu 22.04.3 LTS 64 bits sur ASUS VivoBook S14

Nuliel

Re : [Résolu] Nécessaire de changer de paire de clés SSH régulièrement ?

Oui, c'est une possibilité

---

[ poster un retour de commande ] [ poster une photo ]

gperrot

Re : [Résolu] Nécessaire de changer de paire de clés SSH régulièrement ?

Merci. Il y en d'autres (possibilités) ?

Oui, c'est une possibilité

---

____________________________________________________________________________
Ubuntu 22.04.3 LTS 64 bits sur ASUS VivoBook S14

Nuliel

Re : [Résolu] Nécessaire de changer de paire de clés SSH régulièrement ?

En fait, un conteneur keepass permet de n'avoir qu'un mot de passe à retenir tout en générant des mots de passe sûrs, ça c'est cool, donc techniquement c'est une solution (et plus globalement utiliser keepass c'est bien). Toute la sécurité repose sur la force du mot de passe du keepass, si ce mdp est cracké, c'est foutu. Après, dans le cas d'un vol de pc, c'est surtout le chiffrement du disque qui va ralentir l'attaquant, bien avant d'arriver sur le keepass. Et dans le cas du piratage, ça dépend des privilèges de l'attaquant (typiquement s'il peut dump la mémoire, les mots de passe peuvent rester dans la mémoire de ssh-agent ou du keepass s'il est ouvert). Bref renforcer la sécurité c'est bien, mais il faut aussi prévoir un plan de remise en service en cas d'incident. Et ça dépend contre qui on se protège (le modèle de menace)
Je n'avais pas forcément d'autres idées en tête, mais celle-ci me paraît tenir la route.

---

[ poster un retour de commande ] [ poster une photo ]

gperrot

Re : [Résolu] Nécessaire de changer de paire de clés SSH régulièrement ?

Merci ! Cela répond bien à mes dernières questions !

---

____________________________________________________________________________
Ubuntu 22.04.3 LTS 64 bits sur ASUS VivoBook S14