Im Artikel SSH-Keys mit Yubikey habe ich erläutert, wie man einen Yubikey als SSH-Key nutzen kann. Doch Yubikeys sind nicht ganz billig und die meisten Geräte heutzutage bieten mit TPM1 eine kostengünstige Alternative.
So gut wie jede*r mit ein klein wenig Interesse an IT wird über Fälle gelesen haben, bei denen geheime Schlüssel versehentlich öffentlich gemacht wurden. Oft passiert dies, indem irgendwelche Git-Repositories öffentlich zugänglich gemacht werden. Es gibt z.B. zahlreiche Sammlungen sog. dotfiles
1, die das Verzeichnis .ssh
beinhalten. Dort liegen auch oft auch die geheimen Schlüssel für den Zugang zu diversen Systemen.
Dies kann man effektiv verhindern, indem diese Schlüssel nicht auf der Festplatte sondern in besonders gesicherten Bereichen abgelegt werden. Dies kann z.B. ein Yubikey2 sein. Wer keinen Yubikey hat, aber einen Rechner mit TPM Chip, kann sich auch gern den Artikel SSH-Keys mit TPM anschauen.