我要访问远程 SFTP 服务器。管理员为我创建了一个用户,并为我生成了公钥/私钥对。然后他安全地向我发送了私钥文件,我用它来进行身份验证。我认为这不好,我应该是生成密钥对的人,并将公钥交给他。但是,如果我只使用此密钥登录该服务器,而不登录其他服务器,我想不出这样做有什么不好的理由。有这样的原因吗?
答案1
正如你所说:公钥认证的整个概念是私钥只能被拥有者知道,而对应的公钥可以广泛传播。你的认证的安全性取决于私钥的安全性,而不是公钥的安全性。
其他人向您提供私钥这一事实会自动使其受到损害。(您不知道其他管理员是否仍拥有可用于冒充您的副本。)
答案2
对于这个密钥,该组织没有不可否认性即,如果有人使用“您的”密钥对系统进行滥用或破坏,管理员不能将责任全部归咎于您。因为给您密钥的人也拥有密钥。这对您来说可能不是那么糟糕,因为它为您提供了防御,但如果发生不好的事情,对控制服务器的组织来说就很糟糕了。
您可能能够使用您从提供的密钥中获得的写权限来更新您的授权密钥,添加您的密钥并删除提供的密钥。