Skulle ni importera er privata gpg key till en mobilapp?

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Okt 2010

Skulle ni importera er privata gpg key till en mobilapp?

Tjena, låg i soffan och slöade och fick för mig att jag ville kolla smart-värdena på serverns diskar samt lite loggar. Hade bara telefonen tillgänglig. Hittade olika ssh appar, varav vissa verkade mer etablerade än andra. Men eftersom jag loggar in på servern med rsa-nycklar, tvekade jag. För att det ska funka måste jag ju importera min privata nyckel till appen, och det kändes inte säkert. Hur vet jag att appen inte vidarebefordrar min privata nyckel tillsammans med mina interna ipadresser samt den externa? Visst vill nån hacka mig måste de ju genom brandväggen först men det känns ändå som a big no-no att ladda sin privata nyckel i en app.

Hur skulle ni ha gjort?

Trädvy Permalänk
Hedersmedlem
Registrerad
Jul 2001

Jag hade spottat ut värdena jag vill se till en websida. ssh:a från mobilen är bara drygt.

Om appmakaren är illmarig kan han ju låta appen göra saker mot din server när du inte tittar. Hur du än gör kommer du inte ifrån att du måste lita på den som gjort programmet.

Skickades från m.sweclockers.com

es en zp rz lw ho wc az em sc

Trädvy Permalänk
Medlem
Plats
Vancouver, BC
Registrerad
Jun 2002

Som Aphex säger så måste du lita på den som har gjort programmet. Jag kör termux + openssh, samt en egen nyckel. Så i värsta fall kan jag bara svartlista nyckel om den skulle bli kapad.

Sen öppenkällkod hjälper mot att någon skulle få för sig att göra något dumt.

Men som sagt SSH på mobilen är rätt klumpigt, jag använder det endast till för att komma åt ncmpcpp på min filserver för att lyssna på musik.

Skickades från m.sweclockers.com

Dagens ordspråk:
Den som väntar på något gått väntar alltid för länge.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Okt 2010
Skrivet av Aphex:

Jag hade spottat ut värdena jag vill se till en websida. ssh:a från mobilen är bara drygt.

Om appmakaren är illmarig kan han ju låta appen göra saker mot din server när du inte tittar. Hur du än gör kommer du inte ifrån att du måste lita på den som gjort programmet.

Skickades från m.sweclockers.com

Ja, det var det där med tilliten som jag ville få verifierat. Då hade jag rätt som var skeptisk.
Lustigt, utan att ha sett ditt svar var det precis sin föreslagna lösning att spotta ut smart-rapporter till en webbsida som jag implementerade igår.