सवाल अमेज़ॅन सार्वजनिक कुंजी के बजाय निजी कुंजी क्यों जारी करता है?


मेरा दिमाग सार्वजनिक और निजी कुंजी पर धुरी के चारों ओर लपेटा गया है। जब आप अमेज़ॅन की ईसी 2 सेवा पर क्लाउड सर्वर (उदाहरण) बनाते हैं और फिर एसएसएच के माध्यम से उससे कनेक्ट करना चाहते हैं, तो अमेज़ॅन को कनेक्शन बनाने के लिए निजी कुंजी डाउनलोड करने की आवश्यकता होती है। सार्वजनिक / निजी कुंजी के पीछे विचार नहीं है कि अमेज़ॅन को आपको सार्वजनिक डाउनलोड करने की आवश्यकता होनी चाहिए?

इसके अलावा, अगर मैं किसी ग्राहक के उपयोग के लिए एक एसएफटीपी सर्वर स्थापित करता हूं, तो क्या मुझे सर्वर पर अपनी कुंजी इंस्टॉल करनी चाहिए या उन्हें सर्वर से एक कुंजी देनी चाहिए? किसी भी मामले में, क्या यह सार्वजनिक या निजी कुंजी होनी चाहिए?


19
2017-08-20 21:44


मूल


ईसी 2 से कम परिचित लोगों में से, क्या अमेज़ॅन आपको एक निजी कुंजी डाउनलोड करने की आवश्यकता है? - Zoredache
जब आप अमेज़ॅन ईसी 2 पर क्लाउड सर्वर सेट करते हैं और फिर एसएसएच के माध्यम से उससे कनेक्ट करना चाहते हैं, तो अमेज़ॅन कंसोल आपको कनेक्शन बनाने के लिए उपयोग की जाने वाली एक निजी कुंजी डाउनलोड करने की अनुमति देता है। आपको निश्चित रूप से कुंजी की रक्षा करने की आवश्यकता है। - Seth
@Zoredache निष्पक्षता में, यह एक विकल्प है। किसी ने विंडोज़ बॉक्स पर जल्दी से टूल की तलाश में शायद पहले कभी ओपनएसएसएच का उपयोग नहीं किया है, इसलिए यह एक अच्छा क्विकस्टार्ट है। - ceejayoz


जवाब:


प्रमाणीकरण प्रक्रिया के बारे में अधिक गहराई से सोचते हुए, क्या गुप्त रखा जाना चाहिए? अमेज़ॅन कुंजी के सार्वजनिक आधे हिस्से को जानता है, और कोई जनता के आधे को जान सकते हैं। कीपैयर का सार्वजनिक आधा, जब निजी आधा से मेल खाता है, यह दर्शाता है कि निजी आधा प्रमाणित करने के लिए इस्तेमाल किया गया था।

जब आप अमेज़ॅन आपके लिए एक कीपैयर उत्पन्न करते हैं तो आपको निजी कुंजी प्रदान की जाती है केवल तभी उपयोगी होती है जब आप केवल एक ही हों। यदि यह कोई रहस्य नहीं है, तो कोई भी जो इसे जानता है वह किसी भी व्यक्ति को प्रमाणित कर सकता है जो कि कीपैयर का सार्वजनिक आधा हिस्सा रखता है।

जो भी है प्रमाणीकृत किया जा रहा है पकड़ना चाहिए निजी आधा। यह ठीक है अगर दुनिया में हर कोई कुंजी के सार्वजनिक आधे हिस्से को पकड़कर आपको प्रमाणित कर सकता है, लेकिन केवल आपको निजी आधा के नियंत्रण में होना चाहिए।


35
2017-08-20 22:09





अमेज़ॅन प्रमुख पीढ़ी की सेवाएं प्रदान करता है क्योंकि कुछ ऑपरेटिंग सिस्टम (खांसी, विंडोज़, खांसी) एसएसएच कीपैयर उत्पन्न करना आसान नहीं बना सकता है।

एसएसएच (और एसएफटीपी) के साथ, उपयोगकर्ता की अधिकृत_की फाइल में सार्वजनिक कुंजी स्थापित होती है क्योंकि ईसी 2 इंस्टेंस शुरू होता है। निजी कुंजी केवल उपयोगकर्ता द्वारा आयोजित की जाती है और सर्वर के खिलाफ प्रमाणित करने के लिए प्रस्तुत की जाती है।

दस्तावेज़ीकरण से यहां:

http://docs.amazonwebservices.com/AWSEC2/latest/APIReference/ApiReference-query-CreateKeyPair.html

ऐसा लगता है कि अमेज़ॅन अपने सर्वर पर कीपैयर उत्पन्न करता है और आपको HTTPS के माध्यम से निजी कुंजी भेजता है। यह शायद सही से कम है (आदर्श रूप से, आप और किसी और के पास निजी कुंजी का अधिकार नहीं होगा), लेकिन संभवतः बहुत कुछ नहीं, यह देखते हुए कि यह सब आपके प्रमाणित सत्र के संदर्भ में होता है और केवल आप (और अमेज़ॅन अस्थायी रूप से) देखते हैं निजी कुंजी निजी कुंजी को कड़ाई से निजी रखते हुए, आप ईसी 2 उपयोग के लिए हमेशा अपनी सार्वजनिक कुंजी भी उत्पन्न और अपलोड कर सकते हैं।

कुंजी प्रमाणीकरण के लिए एसएफटीपी उपयोगकर्ताओं को स्थापित करने के लिए, उन्हें अपनी मशीनों पर एसएसएच कुंजी बनाना चाहिए। एक बार जब वे एक प्रमुख जोड़ी उत्पन्न करते हैं, तो उन्हें केवल प्रासंगिक अधिकृत_की फ़ाइल में स्थापित करने के लिए आपको सार्वजनिक कुंजी भेजनी चाहिए। निजी कुंजी, जैसा कि नाम का तात्पर्य है, निजी है।


17
2017-08-20 21:58



मैं नियमित रूप से विंडोज मशीनों पर प्रमुख जोड़े उत्पन्न करता हूं। यह मुश्किल नहीं है, हालांकि यह स्थापित सॉफ्टवेयर का उपयोग कर किया गया है, न कि विंडोज़ द्वारा। - Dominic Cronin
डोमिनिक से सहमत यह और तथ्य यह है कि औसत विंडोज उपयोगकर्ता एक सीएलआई की दृष्टि से भयभीत और खो गया है, और विंडोज़ में अभी भी "एसएसएच कुंजी के साथ लॉगिन" विकल्प नहीं है। - HopelessN00b
ओह, हाँ, सहमत हो गया। मैं सिग्विन, इत्यादि का उपयोग करता हूं, ओपनश के साथ, इसलिए सब कुछ साफ-सुथरा काम करता है। मुझे लगता है कि ऐसा करने वाले अधिकांश विंडोज उपयोगकर्ता पुटी का उपयोग करेंगे और कुछ महत्वपूर्ण रूपांतरण करना होगा। यह सिर्फ और कदम है। - cjc
मैंने वास्तव में अमेज़ॅन का उपयोग नहीं किया है, बल्कि विंडोज़ को दोष देने के बजाए, मुझे लगता है कि अमेज़ॅन आपको एक कुंजी भेजता है कि अगर उन्होंने आपको लॉग इन करने की कुंजी नहीं दी है, तो आप अपने सार्वजनिक इंस्टॉल करने के लिए कैसे लॉग इन करेंगे पहली जगह में कुंजी? - DerfK
@DerfK आप अपनी खुद की सार्वजनिक कुंजी जमा कर सकते हैं, और इसे एक नए ईसी 2 उदाहरण में स्थापित करने के लिए चुन सकते हैं। एक विशेष कुंजी का चयन उदाहरण निर्माण प्रक्रिया का हिस्सा है। - cjc


सार्वजनिक कुंजी प्रमाणीकरण विपरीत तरीके से काम करता है जिस तरह से आप शायद सोच रहे हैं। सार्वजनिक कुंजी संदेशों को एन्क्रिप्ट करता है और निजी कुंजी उन्हें डिक्रिप्ट करता है। सर्वर खाता धारक की सार्वजनिक कुंजी संग्रहीत करता है और संदेश को एन्क्रिप्ट करने के लिए इसका उपयोग करता है। केवल निजी कुंजी का धारक उस संदेश को डिक्रिप्ट कर सकता है।

अगर आप किसी को अपनी सार्वजनिक कुंजी से एन्क्रिप्टेड गुप्त भेजते हैं, यदि वे आपको बता सकते हैं कि वह रहस्य क्या है, तो आप जानते हैं कि वे मेल खाने वाली निजी कुंजी रखते हैं। उपयोगकर्ता को तब प्रमाणीकृत किया जाता है।

एडब्ल्यूएस के लिए आपको अपनी निजी कुंजी को डाउनलोड और सहेजने की आवश्यकता है क्योंकि वे सुरक्षा कारणों से इसे स्टोर नहीं करेंगे। चूंकि निजी कुंजी एडब्ल्यूएस पर कहीं भी संग्रहीत नहीं होती है, इसलिए आप भरोसा कर सकते हैं कि आपका ईसी 2 उदाहरण सुरक्षित है।


1
2017-11-16 03:36





एक मायने में, इससे कोई फर्क नहीं पड़ता। एक निजी / सार्वजनिक कुंजी जोड़ी में दो भाग होते हैं, और उनमें से कौन सा सार्वजनिक आप पर निर्भर करता है। अगर किसी कुंजी के साथ कुछ एन्क्रिप्ट किया गया है, तो आपको इसे किसी अन्य को डिक्रिप्ट करने की आवश्यकता है। यदि आपने सार्वजनिक रूप से एक कुंजी प्रकाशित की है, न कि दूसरी, निजी कुंजी वह है जिसे आपने प्रकाशित नहीं किया था।

अपने वास्तविक प्रश्न को प्राप्त करना: संभावित रूप से महत्वपूर्ण अमेज़ॅन आपको अपने संसाधनों को नियंत्रित करने की अनुमति देता है, इसलिए इसे अन्य लोगों को नहीं दिया जाना चाहिए। इस संदर्भ में, आपको कम से कम लंबे समय तक सेट अप करने के लिए पर्याप्त रूप से अपनी निजी कुंजी रखने के लिए अमेज़ॅन पर भरोसा करना होगा।

यदि आप अपने ग्राहक को इस तरह से लॉग इन करना चाहते हैं, तो आपको उन्हें एक कुंजी देने की आवश्यकता है जो वे आपके साथ साझा करने के लिए तैयार हैं, इसलिए उनकी सार्वजनिक कुंजी। आप इसे सर्वर पर अधिकृत_की में स्थापित करते हैं, जो प्रभावी रूप से कह रहा है "कोई भी जो इस सार्वजनिक से मेल खाने वाली निजी कुंजी को प्रस्तुत करता है, वह इस संसाधन तक पहुंच सकता है"।


0
2017-08-20 22:02



उहम, नहीं, यह सच नहीं है। कम से कम आरएसए / डीएच के साथ आप सार्वजनिक कुंजी के साथ एन्क्रिप्ट करते हैं और निजी के साथ डिक्रिप्ट करते हैं, यह दूसरी तरफ काम नहीं करता है। साइनिंग एन्क्रिप्शन / डिक्रिप्शन के समान नहीं है। - Zoredache
@ErikA नहीं, सार्वजनिक कुंजी निजी कुंजी से नहीं ली जा सकती है। निजी चाबी फ़ाइलें अक्सर दोनों चाबियाँ शामिल हैं। यदि आप वास्तव में एक चर्चा में शामिल होना चाहते हैं, तो मैं सुझाव दूंगा crypto.stackexchange.com। वे लोग आपको वास्तव में गहरे आंतरिक विवरण दे सकते हैं जिसमें आरएसए कुंजी के वास्तविक मतभेद शामिल हैं और क्यों सार्वजनिक कुंजी बनाम निजी माना जाता है, यह केवल एक सिक्का का मनमाना फ्लिप नहीं है। - Jeff Ferland
@Zoredache - मुझे यह नहीं पता था: धन्यवाद। क्या आपके पास एक अच्छे संदर्भ का लिंक है? - Dominic Cronin
en.wikipedia.org/wiki/Asymmetric_key_algorithm - एक कुंजी ताले या सादे पाठ को एन्क्रिप्ट करता है, और दूसरा सिफरटेक्स्ट को अनलॉक या डिक्रिप्ट करता है। न तो कुंजी दोनों कार्यों को कर सकते हैं। - en.wikipedia.org/wiki/RSA_(algorithm) - आरएसए में एक सार्वजनिक कुंजी और एक निजी कुंजी शामिल है। सार्वजनिक कुंजी सभी के लिए जानी जा सकती है और संदेशों को एन्क्रिप्ट करने के लिए उपयोग की जाती है। सार्वजनिक कुंजी से एन्क्रिप्ट किए गए संदेश केवल निजी कुंजी का उपयोग करके डिक्रिप्ट किए जा सकते हैं। - Zoredache
उन दो संदर्भों में से कोई भी सुझाव नहीं देता कि आप @Zoredache क्या कह रहे हैं। बेशक, एक बार जब आप यह तय कर लें कि कौन सी कुंजी निजी है और कौन सा सार्वजनिक है, तो यह तय करता है कि आप इसका उपयोग कैसे करते हैं। मुख्य पीढ़ी के बिंदु पर, यह निर्णय अभी तक नहीं बनाया गया है। इसके लायक होने के लिए, हस्ताक्षर के आसपास तर्क हस्ताक्षर के रूप में पूरी तरह से एन्क्रिप्शन के आसपास तर्क पर निर्भर करता है की आवश्यकता है एन्क्रिप्शन। - Dominic Cronin