SSH Agent

Eigentlich Schade, dass die Schlüssel-Verwaltung von ssh und die KeyChain-Anwendung von MacOSX fast das gleiche wollen und doch getrennt sind: Schlüssel sollen zentral und sicher verwahrt werden, und der Benutzer soll selbst wählen können, wie oft er das Passwort eintippen muss (also Bequemlichkeit oder Sicherheit).


SSHPassKey geht das ganze direkt an, indem es bei Aufruf den gewünschten Schlüssel aus der KeyChain holt und ausgibt. Mittels SSH_ASKPASS wird ssh davon überzeugt, das Programm aufzurufen. Effekt: Bequemlichkeit. Allerdings kann sich nun auch jedes andere Programm das Klartextpasswort meines SSH-Schlüssels holen – das will man eigentlich nicht!


SSH Agent setzt daher auf einer anderen Schnittstelle auf. Die ssh-Architektur sieht den “agent” vor, um Unterschriften zu leisten, ohne dass das Passwort oder der Schlüssel unnötig im Klartext umherwandern müssten. Dadurch wird in einigen Szenarien nur eine Unterschrift ergaunert, statt gleich den ganzen Schlüssel zu kompromittieren. SSH Agent bietet ein nettes MacOSX-GUI, und dürfte etwas sicherer sein als SSHPassKey, ist aber leider (noch?) nicht so gut mit der KeyChain integriert.

Da geht noch was.