Compreendendo a Autenticação por Chave SSH: Chaves Públicas vs. Privadas Explicadas

SSH (Secure Shell) é a espinha dorsal do acesso remoto seguro a servidores, permitindo que administradores e desenvolvedores gerenciem sistemas de qualquer lugar. Embora a autenticação baseada em senha seja um método comum, ela frequentemente apresenta vulnerabilidades de segurança. A alternativa preferida pela indústria e significativamente mais segura é a autenticação por chave SSH.

Este artigo visa desmistificar a autenticação por chave SSH, explicando claramente os papéis fundamentais das chaves públicas e privadas. Vamos aprofundar como esses contrapartes criptográficos trabalham juntos para proteger suas conexões remotas, fornecendo uma defesa robusta contra acesso não autorizado. Ao final, você entenderá por que este método não é apenas mais seguro do que os logins tradicionais baseados em senha, mas também mais conveniente para o uso diário.

O Problema com Senhas

A autenticação tradicional baseada em senha depende de um segredo compartilhado: a senha. Embora senhas fortes possam fornecer um nível decente de segurança, elas são suscetíveis a várias fraquezas:

• Ataques de força bruta: Atacantes podem tentar inúmeras combinações de senhas até adivinharem corretamente.
• Ataques de dicionário: Usando palavras ou frases comuns, atacantes podem rapidamente comprometer contas.
• Keyloggers: Softwares maliciosos podem capturar teclas digitadas, revelando senhas.
• Phishing: Táticas de engenharia social podem enganar usuários para que divulguem suas credenciais.
• Erro humano: Usuários frequentemente escolhem senhas fracas, fáceis de adivinhar ou reutilizadas, e podem expô-las acidentalmente.

A autenticação por chave SSH mitiga esses riscos eliminando a necessidade de transmitir um segredo pela rede, tornando-a uma escolha superior para proteger sua infraestrutura remota.

Autenticação por Chave SSH: Uma Visão Geral

A autenticação por chave SSH aproveita a criptografia assimétrica, um sistema que usa um par de chaves matematicamente ligadas: uma chave pública e uma chave privada. Ao contrário da criptografia simétrica, onde a mesma chave é usada para criptografia e descriptografia, a criptografia assimétrica usa uma chave para criptografia e uma chave diferente, mas relacionada, para descriptografia.

Quando você tenta conectar-se a um servidor SSH usando chaves, o servidor desafia seu cliente, e seu cliente prova sua identidade usando sua chave privada sem nunca enviar a chave privada em si pela rede. Este processo garante que apenas clientes que possuem a chave privada correta podem estabelecer uma conexão com servidores configurados para confiar na chave pública correspondente.

A Dupla Criptográfica: Chaves Públicas e Privadas

No coração da autenticação por chave SSH estão estes dois componentes distintos, mas interligados.

A Chave Privada

A chave privada é sua identidade secreta. É uma sequência longa e complexa de caracteres que deve ser mantida absolutamente confidencial e nunca compartilhada com ninguém. Pense nela como a chave única da sua caixa-forte digital.

• Crítica para a Segurança: Se sua chave privada for comprometida, um atacante poderá se passar por você e obter acesso não autorizado a qualquer servidor onde a chave pública correspondente tenha sido implantada.
• Localização: Tipicamente armazenada em sua máquina local (por exemplo, ~/.ssh/id_rsa, ~/.ssh/id_ed25519).
• Proteção: É frequentemente protegida por uma frase-senha, adicionando uma camada extra de segurança. Mesmo que um atacante obtenha acesso ao seu arquivo de chave privada, ele não poderá usá-la sem a frase-senha.

A Chave Pública

A chave pública é a contraparte da sua chave privada. Ela é derivada da sua chave privada, mas não pode ser usada para recriar a chave privada. Como o nome sugere, a chave pública é destinada a ser compartilhada e colocada em qualquer servidor que você deseje acessar.

• Compartilhável: Você pode distribuir sua chave pública com segurança para qualquer pessoa ou servidor sem comprometer sua segurança.
• Localização: No servidor, as chaves públicas são tipicamente armazenadas no arquivo ~/.ssh/authorized_keys para cada conta de usuário. Cada linha neste arquivo representa uma chave pública confiável.
• Função: A chave pública age como uma impressão digital digital. Quando você tenta conectar, o servidor usa sua chave pública para verificar se você possui a chave privada correspondente sem nunca ver a chave privada em si.

Como Funciona a Autenticação por Chave SSH: O Handshake

Vamos detalhar o processo passo a passo de como a autenticação por chave SSH estabelece uma conexão segura:

1. Geração do Par de Chaves: Primeiro, você gera um par de chaves pública e privada em sua máquina local. A chave privada permanece secreta, e a chave pública é o que você distribuirá.
2. Implantação da Chave Pública: Você copia sua chave pública para o servidor remoto ao qual deseja acessar. Esta chave é tipicamente adicionada ao arquivo ~/.ssh/authorized_keys no diretório home do seu usuário no servidor.
3. Tentativa de Conexão: Quando você inicia uma conexão SSH de sua máquina local para o servidor remoto, seu cliente SSH indica que deseja autenticar usando uma chave.
4. Desafio do Servidor: O servidor, tendo sua chave pública, gera uma string aleatória de dados (um "desafio") e a criptografa usando sua chave pública.
5. Resposta do Cliente: O servidor envia este desafio criptografado para o seu cliente SSH. Seu cliente então usa sua chave privada para descriptografar o desafio.
6. Verificação: Seu cliente então criptografa a string aleatória original (ou um derivado dela, juntamente com dados de sessão) usando sua chave privada e a envia de volta ao servidor. O servidor usa sua chave pública para descriptografar esta resposta. Se o valor descriptografado corresponder ao desafio original, o servidor está confiante de que você possui a chave privada correta.
7. Autenticação Concedida: Se a verificação for bem-sucedida, o servidor concede acesso, e uma sessão SSH segura é estabelecida.

Crucialmente, sua chave privada nunca sai de sua máquina local durante todo este processo. Apenas provas criptográficas derivadas dela são trocadas.

Gerando um Par de Chaves SSH

Gerar um par de chaves SSH é um processo direto usando o comando ssh-keygen em sua máquina local (Linux, macOS ou WSL/Git Bash no Windows).

ssh-keygen -t ed25519 -C "[email protected]"

• -t ed25519: Especifica o tipo de chave a ser criada. ed25519 é um algoritmo moderno, altamente seguro e eficiente. rsa também é comum, mas ed25519 é geralmente preferido agora.
• -C "[email protected]": Adiciona um comentário à chave pública, o que ajuda você a identificar seu propósito ou proprietário.

Você será solicitado a informar um arquivo para salvar a chave (o padrão é ~/.ssh/id_ed25519) e uma frase-senha. Sempre use uma frase-senha forte para proteger sua chave privada.

Gerando par de chaves público/privado ed25519.
Digite o arquivo no qual salvar a chave (~/.ssh/id_ed25519):
Diretório '/home/seuusuario/.ssh' criado.
Digite a frase-senha (vazio para nenhuma frase-senha):
Digite a mesma frase-senha novamente:
Sua identificação foi salva em /home/seuusuario/.ssh/id_ed25519.
Sua chave pública foi salva em /home/seuusuario/.ssh/id_ed25519.pub.
A impressão digital da chave é: SHA256:...
A imagem randomart da chave é:
+--[ED25519 256]----+
|      .=+          |
|     . o. .        |
|    . + o.         |
|   o = B o.        |
|  . S @ + +        |
|   = + B .         |
|  o * * E          |
| . o o             |
|  . .              |
+----[SHA256]-------+

Após a geração, você terá dois arquivos em seu diretório ~/.ssh:

• id_ed25519 (sua chave privada)
• id_ed25519.pub (sua chave pública)

Aviso: Certifique-se de que seu arquivo de chave privada (id_ed25519) tenha permissões estritas (por exemplo, chmod 600 ~/.ssh/id_ed25519) para que apenas você possa lê-lo/escrevê-lo.

Implantando Sua Chave Pública

Para usar a autenticação por chave, sua chave pública deve ser colocada no servidor remoto ao qual você deseja acessar.

Usando ssh-copy-id (Recomendado)

O utilitário ssh-copy-id é a maneira mais simples e segura de implantar sua chave pública. Ele lida com a criação do diretório ~/.ssh e do arquivo authorized_keys com as permissões corretas, caso não existam.

ssh-copy-id -i ~/.ssh/id_ed25519.pub usuario@host_remoto

Substitua usuario pelo seu nome de usuário no servidor remoto e host_remoto pelo endereço IP ou nome de host do servidor. Você será solicitado a inserir sua senha para usuario@host_remoto uma última vez para fazer o upload da chave.

Implantação Manual

Se ssh-copy-id não estiver disponível, você pode copiar a chave pública manualmente:

1. Copie o conteúdo da chave pública: Exiba sua chave pública usando cat.
   bash cat ~/.ssh/id_ed25519.pub
   Copie a saída inteira, que começa com ssh-ed25519 ... e termina com seu comentário.

2. Conecte-se via SSH ao servidor remoto usando autenticação por senha:
   bash ssh usuario@host_remoto
   Insira sua senha quando solicitado.

3. Crie o diretório ~/.ssh e o arquivo authorized_keys se não existirem:
   bash mkdir -p ~/.ssh chmod 700 ~/.ssh touch ~/.ssh/authorized_keys chmod 600 ~/.ssh/authorized_keys

4. Adicione sua chave pública ao authorized_keys: Cole o conteúdo da chave pública que você copiou anteriormente no arquivo authorized_keys.
   bash echo "ssh-ed25519 AAAA..." >> ~/.ssh/authorized_keys
   (Substitua ssh-ed25519 AAAA... pelo conteúdo real da sua chave pública)

Conectando com Chaves SSH

Uma vez que sua chave pública esteja no servidor, você pode se conectar simplesmente especificando o usuário e o host:

ssh usuario@host_remoto

Se você tiver vários pares de chaves ou sua chave privada não estiver no local padrão (~/.ssh/id_rsa ou ~/.ssh/id_ed25519), talvez precise especificá-la usando a opção -i:

ssh -i ~/.ssh/minha_chave_personalizada usuario@host_remoto

Se sua chave privada for protegida por uma frase-senha, você será solicitado a inseri-la. Para evitar digitar a frase-senha repetidamente durante uma sessão, você pode usar ssh-agent.

Benefícios de Segurança da Autenticação por Chave SSH

1. Elimina a Adivinhação de Senhas: Como senhas não são usadas para autenticação, ataques de força bruta contra sua senha tornam-se impossíveis.
2. Credenciais Mais Fortes: As chaves SSH são tipicamente valores criptográficos de 2048 bits (RSA) ou 256 bits (Ed25519), tornando-as vastamente mais complexas e difíceis de quebrar do que até mesmo as senhas mais fortes geradas por humanos.
3. Nenhuma Transmissão de Segredo: Sua chave privada nunca sai da sua máquina local, reduzindo significativamente o risco de ser interceptada ou roubada durante a autenticação.
4. Amigável à Automação: As chaves permitem logins sem senha por script, o que é essencial para ferramentas de automação e pipelines de CI/CD.
5. Proteção por Frase-Senha: Adicionar uma frase-senha à sua chave privada fornece uma camada extra de segurança. Mesmo que seu arquivo de chave privada seja roubado, ele permanece inutilizável sem a frase-senha.

Gerenciando Suas Chaves SSH

ssh-agent

ssh-agent é um programa que executa em segundo plano e mantém suas chaves privadas descriptografadas na memória. Quando você tenta conectar a um servidor SSH, seu cliente SSH pode consultar o ssh-agent para a chave privada necessária, eliminando a necessidade de digitar sua frase-senha repetidamente.

Para iniciar o ssh-agent e adicionar sua chave:

eval "$(ssh-agent -s)"
ssh-add ~/.ssh/id_ed25519

Você digitará sua frase-senha uma vez ao adicionar a chave ao agente.

Nomenclatura e Organização de Chaves

Para gerenciar múltiplas chaves (por exemplo, para diferentes organizações, projetos ou uso pessoal), considere usar nomes significativos:

ssh-keygen -t ed25519 -f ~/.ssh/id_projeto_trabalho -C "chave_projeto_trabalho"
ssh-keygen -t ed25519 -f ~/.ssh/id_github_pessoal -C "chave_github_pessoal"

Você pode então especificar qual chave usar com a opção -i, ou configurar seu arquivo ~/.ssh/config para selecionar automaticamente a chave correta com base no host.

Exemplo de ~/.ssh/config:

Host github.com
    IdentityFile ~/.ssh/id_github_pessoal
    User git

Host servidor-trabalho
    Hostname 192.168.1.100
    IdentityFile ~/.ssh/id_projeto_trabalho
    User devuser

Melhores Práticas e Dicas

• Nunca compartilhe sua chave privada: Esta é a regra de ouro. Sua chave privada é sua identidade digital.
• Use uma frase-senha forte: Proteja sua chave privada com uma frase-senha robusta, semelhante a uma senha forte. Isso torna sua chave inútil mesmo que caia em mãos erradas.
• Gire as chaves regularmente: Periodicamente, gere novas chaves e revogue as antigas, especialmente se você suspeitar que uma chave possa ter sido comprometida.
• Restrinja as permissões de arquivo: Certifique-se de que seu arquivo de chave privada tenha permissões 600 (rw-------) e seu diretório ~/.ssh tenha 700 (rwx------).
• Desative a autenticação por senha em servidores: Depois de configurar a autenticação por chave, considere desativar a autenticação por senha para SSH em seus servidores para melhorar drasticamente a segurança. Isso é frequentemente feito definindo PasswordAuthentication no em /etc/ssh/sshd_config.
• Use ssh-agent: Para conveniência e segurança, use ssh-agent para gerenciar suas chaves, especialmente aquelas com frase-senhas.

Conclusão

A autenticação por chave SSH oferece um método robusto, seguro e conveniente para acessar servidores remotos. Ao compreender os papéis distintos das chaves públicas e privadas e como elas interagem no handshake criptográfico, você pode aprimorar significativamente sua segurança operacional. Afastar-se dos logins baseados em senha para as chaves SSH é um passo fundamental em direção a uma melhor gestão de servidores e proteção contra vetores de ataque comuns. Adote este poderoso mecanismo de segurança para salvaguardar sua infraestrutura digital.