SSH-Verbindungen ohne Schlüsseldateien – also ausschließlich über die Kombination „Benutzername“ & „Passwort“ – sollten aus Sicherheitsgründen dringend vermieden werden. Wir empfehlen daher für die sichere Kommunikation ein Schlüsselpaar, bestehend aus privatem und öffentlichem Schlüssel. Dieses kann für alle Verbindungen mit SSH, winSCP, git, rsync, scp und ähnliche Programme verwendet werden. Die folgende Anleitung stellt die Schritte mit der aktuellen Version von PuttyGen unter Windows anschaulich dar. Der öffentliche Schlüssel kann nach der Erstellung risikolos per Mail versendet werden. Er muss nicht geheimgehalten werden.
- Zunächst benötigen Sie das Programm PuttyGen. Es ist Bestandteil des Programmpaketes Putty, kann aber auch einzeln heruntergeladen werden. Das Tool PuttyGen muss nicht installiert werden sondern ist nach dem Download eigenständig lauffähig. Sollten Sie das Putty-Gesamtpaket verwenden wollen, ist eine Installation notwendig.
- Starten Sie das Programm PuttyGen. Es öffnet sich das Hauptfenster, in dem sämtliche relevanten Einstellungen vorgenommen werden. Zunächst wählen Sie im unteren Bereich den „Type of key to generate“ aus: ED25519 ist ein sehr sicheres und zugleich performantes Verschlüsselungsverfahren. Daher verwenden wir es an dieser Stelle.
- Klicken Sie auf Generate und bewegen Sie die Maus um ein zufälliges Muster zu erzeugen. Dies ist notwendig, damit Ihr Schlüssel wirklich einmalig ist.
- Sie können dem nun erstellten Schlüsselpaar nun zum einen ein sinnvolles Kommentar anfügen (z.B. das Datum der Erstellung und Ihren Nutzernamen) und den privaten Schlüssel mit einem Kennwort versehen. Sollte der Schlüssel verloren gehen, geklaut werden oder auf ihr System „gehackt“ werden, kann der Angreifer ohne das Passwort nichts mit dem Schlüssel anfangen. Der Zugriff ist also nur mit Schlüssel + Passwort möglich. In dem Passwort sind sämtliche Zeichen, auch Leerzeichen und Sonderzeichen, zulässig.
- Speichern Sie den privaten und den öffentlichen Schlüssel ab. Sie sollten beides an einem sicheren Ort auf ihrem PC speichern. Den privaten Schlüssel (private key) dürfen Sie niemals weitergeben. Mit diesem Schlüssel (und ggf. dem gewählten Passwort) kann sich eine Person in Ihrem Namen am System anmelden. Eine missbräuchliche Nutzung ist dann nicht nachweisbar.
Den öffentlichen Schlüssel (public key) können Sie nun per Mail ohne Sicherheitsbedenken verschicken. Alternativ können Sie den Inhalt des Textfensters markieren und direkt per Copy & Paste in eine Mail an den Systemadministrator senden. Auch hier ist aus Sicherheitsgründen nichts zu befürchten, wenn Sie diese Mail unverschlüsselt versenden oder versehentlich einer falschen Person senden. Sollte er abgefangen werden oder eine Person diesen Schlüssel lesen, ist keine Gefahr zu befürchten. Das ist einer der größten Vorteile des Public-Private-Key-Verfahrens.