SSH a externi "token" PDA? (doplneni)

[Miroslav Prymek]

Petr Vanek wrote:
> On Fri, Feb 11, 2005 at 02:01:39PM +0100, Miroslav Prymek wrote:
> 
>>Asi jsem nenapsal uplne jasne, o co mi jde:
>>vsechno by vyresila v podstate velmi jednoducha vec - aby ssh nenacetlo
>>private key z disku (~/.ssh/id_rsa), ale z PDA (treba pres TCP/IP)
>>- protoze potom by ho pripadny utocnik nemohl lehce odcizit z disku...
>>
>>Mohl by ho sice ziskat stejnym zpusobem jako ssh (z PDA, za podminky, ze 
>>ma ucet na stroji, ktery jediny by mel pristup k PDA), ale to by
>>musel prvne disasemblovat /usr/bin/ssh a zjistit, jak vubec klic nacita
>>- a to je riziko, ktere klidne podstoupim :) - stejne jako riziko,
>>ze klic ziska memory dumpem ssh :)
>>
>>Takze otazka zni, jestli je neco takoveho mozne do ssh vlozit v podobe
>>nejakeho modulu, nebo je nutne zasahnout do zdrojaku.
> 
> 
> 
> no, treba je to blbost, ale neda se to pocketpc primountit jako ~/.ssh ?

Jasne ze takhle se to da udelat - ted to tak mam: ~/.ssh/id_rsa je 
symlink do adresare, kde je primountovana SD karta (USB ctecka).
Problem tohohle reseni ale je, ze kdyz se nekdo dostane do toho
stroje, kde je ten klic primountovanej, muze si ho zkopirovat (coz
ja nepoznam) - a ma razem pristup ke vsem strojum, ktere klic pouzivaji 
:( -> chci nejake reseni, kde by byl klic ulozen POUZE na PDA a tedy
de facto nepristupny z toho stroje, resp. pristupny nejakym 
nestandardnim zpusobem (TCP/IP jednoduse sifrovane nejakym heslem?), o 
kterem by utocnik musel vedet... (odtud minula zminka o nutnosti 
disassemblovat upravene ssh pro utocnika...)