我没有配置文件,并且我连接到的每一台主机,似乎 ssh 都会遍历所有密钥,直到找到正确的密钥。
将密钥发送到潜在恶意的主机是否安全?就像它可能假装 ssh 提供的密钥是正确的一样,并拦截秘密?
我想这有点回答我的问题:https://security.stackexchange.com/a/23242- 因为钥匙是安全的,我想拥有很多钥匙唯一能做的就是如果我不指定使用哪把钥匙,可能会把我锁在外面
答案1
如果您担心您的私钥被泄露,这种情况就不会发生。它没有被传送。
不过,公钥是。我认为你可以通过它来识别某人,但只有当你未经许可登录服务器时,这才真正成为一个问题。
这是一篇写得很好的文章,更详细地介绍了 SSH 连接的工作原理。相关摘录:
服务器可以使用此文件中的公钥来加密发送给客户端的质询消息。如果客户端能够证明它能够解密该消息,则表明它拥有相关的私钥。
此外,您无法从公钥获取私钥。
答案2
你应该安全地将公钥发送到不受信任的服务器;这是ssh的核心原则。
然而今年,Qualys 发现一个非常重大的漏洞这允许恶意服务器从以默认方式配置的客户端窃取私钥。这是为六年。
当然,这个具体问题现在已经得到解决,但它引起了人们的注意,即使是 OpenSSH 也存在漏洞。事实仍然是,它的设计目的是安全地连接到潜在的恶意服务器;您的具体情况是否需要比“应该”更强的保证,这是您必须自己决定的事情。