Schlüssel statt Passwort

Das symmetrische Schlüssselverfahren ist sicher und komfortabel.
Das symmetrische Schlüssselverfahren ist sicher und komfortabel.

In diesem Artikel geht es darum, wie man sicher und gleichzeitig komfortabel durch den Einsatz von „Schlüsseln“ statt Passworten

  • Daten auf einen Internet-Server/Web-Server überträgt,
  • solche Server pflegt.

Datenübertragung per FTP oder SCP

Im ersten Fall wird häufig das FTP-Verfahren angewendet. Es eignet sich zum einfachen Kopieren von Dateien und Verzeichnissen. Dabei werden die Anmelde-Informationen, also Passwort und Benutzername unverschlüsselt über das Netz übertragen. Ein weiterer Nachteil ist, dass Firewalls und FTP „Verständigungs-Probleme“ haben, auf die hier nicht näher eingegangen werden soll. Fakt ist: der Sicherheits-Faktor „verbietet“ den Einsatz von FTP.

Eine bessere Alternative für das Übertragen von Daten ist SCP. Die Vorgehensweise für den Anwender ist identisch zum FTP-Verfahren. Auch hier werden Anmelde-Informationen wie Passwort und Benutzername, allerdings verschlüsselt über das Netz übertragen. Probleme mit Firewalls gibt es hierbei nicht. SCP ist also zunächst DAS Mittel der Wahl zum Übertragen von Daten auf oder von einem Internet-Server.

Server-Pflege

Hierbei wurde früher Telnet angewendet, heute wird ausschliesslich SSH benutzt. Auch hierbei werden die Anmelde-Daten verschlüsselt übertragen (im Gegensatz zu Telnet). Das Verfahren ist etabliert und stellt den Standard dar.

Probleme treten auf im Umgang mit Passwörtern. Entweder sind sie unsicher, gehen verloren oder gelten als unkomfortabel. Dabei gibt es eine sehr gute Alternative, die sämtliche Nachteile ausschaltet und zusätzliche Vorteile mit sich bringt: die Anmeldung per Schlüssel.

Wie funktioniert das?

Es wird ein Schlüsselpaar erzeugt, das zusammen gehört bzw. sich gegenseitig ergänzt. Ein anderes „Bild“ nennt einen Schüssel und ein zugehöriges Schloss. Ein Teil davon wird geheim gehalten (der Schlüssel bzw. der private key), der andere Teil kann öffentlich zugänglich sein (das Schloss bzw. der public key). Nur beide zusammen funktionieren.

Der public key wird an einem bestimmten Ort auf dem Server hinterlegt. Will sich nun ein Nutzer (oder ein Anwendungsprogramm) an dem Server anmelden, muss der passende private key vorgezeigt werden. Passt der vorgezeigte Schlüssel nicht, findet auch keine Anmeldung statt. Was nun auf dem ersten Blick kompliziert klingt, ist in der Praxis höchst einfach und komfortabel.

Die Schlüssel sind kleine Text-Dateien im ASCI-Format. Der eine liegt auf Linux-Server im Verzeichnis /root/.ssh, dort in der Datei authorized_keys (der Name ist Programm und sagt, dass mehrere public keys enthalten sein können), der andere wird vom SSH-Programm (sehr beliebt ist Putty) automatisch vorgezeigt, wenn es für den Schlüssel-Verkehr eingerichtet wurde.