Werkzeuge

SSH-Schlüsselverwaltung bezeichnet die Praxis, die kryptografischen Schlüsselpaare zu erzeugen, zu schützen, zu verteilen und außer Dienst zu stellen, mit denen du dich über SSH bei Servern anmeldest. Richtig gemacht, ersetzt sie anfällige Passwörter durch Schlüssel, die sich weitaus schwerer erraten lassen, und erlaubt es dir, Zugänge sauber zu entziehen, wenn ein Laptop abhandenkommt oder ein externer Mitarbeiter geht. Schlecht gemacht – Schlüssel ohne Passphrase, von Maschine zu Maschine kopiert, nie ausgetauscht – wird sie still und leise zu einem der weitesten Tore in deine Infrastruktur.

Sie verdient deshalb Aufmerksamkeit, weil ein SSH-Schlüssel eine dauerhafte Zugangsberechtigung ist. Anders als ein Passwort, das du eintippst, liegt ein privater Schlüssel als Datei auf der Festplatte und gewährt so lange Zugang, wie der passende öffentliche Schlüssel in der authorized_keys-Datei eines Servers steht. Ein einziger ungeschützter Schlüssel, der aus einem Backup oder von einer kompromittierten Maschine nach außen dringt, kann einem Angreifer dieselbe Reichweite verschaffen, die du hast – und genau deshalb sind Entwickler- und CI/CD-Schlüssel ein so begehrtes Ziel.

Wie SSH-Schlüssel wirklich funktionieren

Ein SSH-Schlüsselpaar besteht aus zwei Hälften. Der private Schlüssel bleibt auf deiner Maschine und darf sie niemals verlassen; der öffentliche Schlüssel wird auf jeden Server kopiert, den du erreichen willst, und liegt dort in ~/.ssh/authorized_keys. Wenn du dich verbindest, fordert der Server deinen Client auf, den Besitz des privaten Schlüssels nachzuweisen, ohne dass der Schlüssel selbst jemals das Netzwerk überquert. Der Besitz dieser privaten Datei ist deshalb alles.

Die moderne Praxis bevorzugt den Algorithmus Ed25519 – kurz, schnell und stark – gegenüber älteren RSA-Schlüsseln, wobei RSA mit 3072 Bit oder mehr akzeptabel bleibt, wo Ed25519 nicht unterstützt wird. Ein Paar erzeugst du mit ssh-keygen, und die mit Abstand wichtigste Option ist eine Passphrase: Sie verschlüsselt den privaten Schlüssel auf der Festplatte, sodass eine gestohlene Schlüsseldatei für jeden nutzlos ist, der nicht zusätzlich die Phrase kennt.

Bewährte Praktiken für SSH-Schlüssel

Eine Handvoll Gewohnheiten deckt den Großteil des Risikos ab. Setze immer eine Passphrase und lass den ssh-agent den entschlüsselten Schlüssel im Speicher halten, sodass du sie einmal pro Sitzung eingibst, statt sie ganz wegzulassen. Verwende pro Gerät einen eigenen Schlüssel, statt einen privaten Schlüssel über mehrere Laptops zu kopieren, damit du eine einzelne Maschine entziehen kannst, ohne die anderen zu stören. Und gib CI-Systemen und Servern ihre eigenen Schlüssel, niemals deinen persönlichen.

• Private Schlüssel immer mit einer Passphrase schützen
• Ed25519 bevorzugen; pro Gerät einen eigenen Schlüssel verwenden
• CI-Systemen und Servern eigene Schlüssel geben
• authorized_keys prüfen und veraltete Zugänge entfernen
• Schlüssel nach Zeitplan austauschen und wenn ein Gerät verloren geht

Der Zugang wird vollständig durch das geregelt, was in der authorized_keys-Datei jedes Servers steht – genau dort findet die eigentliche Verwaltung statt. Sieh sie regelmäßig durch, entferne Schlüssel von Personen und Maschinen, die keinen Zugang mehr brauchen, und versieh jeden Schlüssel mit einem kurzen, sprechenden Kommentar, damit du auf einen Blick erkennst, wem er gehört. Jenseits einiger weniger Server skaliert ein Konfigurationsmanagement-Werkzeug oder eine SSH-Zertifizierungsstelle das weitaus besser als das Bearbeiten von Dateien per Hand.

Die Rotation schließt den Kreis. Plane, Schlüssel nach einem festen Zeitplan zu ersetzen, und tu es sofort, sobald ein Gerät verloren geht, eine Passphrase möglicherweise gesehen wurde oder jemand mit Zugang das Team verlässt. Da das Entziehen eines Schlüssels schlicht bedeutet, seine öffentliche Hälfte aus authorized_keys zu entfernen, lassen sich benannte und inventarisierte Schlüssel dramatisch leichter außer Dienst stellen als anonyme, über die du keine Rechenschaft mehr ablegen kannst.

Wo Schlüssel und Passphrasen aufbewahrt werden

Die private Schlüsseldatei selbst sollte auf dem Gerät bleiben, das sie nutzt, geschützt durch ihre Passphrase und die Dateiberechtigungen des Betriebssystems – und nicht im Klartext über Cloud-Ordner hin und her synchronisiert werden. Aber die Passphrasen, die diese Schlüssel entsperren, dazu Wiederherstellungscodes und der eine oder andere Schlüssel, den du wirklich sichern musst, brauchen sehr wohl einen sicheren Ort – und eine Klartextdatei oder eine Notiz-App ist das nicht.

Ein Ende-zu-Ende-verschlüsselter Passwortmanager ist der richtige Ort für diese Geheimnisse: Die Passphrasen, die Wiederherstellungscodes und jegliches exportierte Schlüsselmaterial werden verschlüsselt, bevor sie dein Gerät verlassen, und sicher über die Maschinen synchronisiert, die dir gehören. So bleibt der menschlich merkbare Teil der SSH-Sicherheit vor fremden Blicken verborgen, ohne den betrieblichen Aufwand, einen eigenen Vault-Server zu betreiben.