我正在尝试使用SSH身份验证,而无需在纯文本中存储私钥。我正在使用一个api,允许对存储在内存中的密钥进行私钥签名,我想知道将它合并到SSH中的最佳方法是什么。因为我真正需要做的就是在SSH代理进行身份验证时为SSH代理提供有效的私钥签名,这是最好的方法。我可以稍微修改一下ssh-agent来接受我给它的签名,还是我必须编写自己的代理来处理这个请求?
答案 0 :(得分:1)
有很多方法可以做到这一点。最简单的方法是使用PK {11接口,它可以在ssh-agent中使用,并且可以用于这个用例(提供存储密钥的安全位置的签名 - 通常是智能卡或HSM模块)。
使用密码短语的加密密钥也可以解决您对明文"存储私钥的要求。