具有非基于文件的密钥的 SFTP

Question

我计划使用带有公钥/私钥身份验证的 SFTP 编写一些软件，以将文件上传到服务器。我想知道人们如何建议管理密钥（尤其是私钥）。

我的目标平台是使用 C# 或 C++ 的 Windows。我查看了许多库：

C#
（免费/开放）
SharpSSH
Granados

（商业）
Rebex

C++
libcurl/OpenSSH

所有这些似乎都需要将私钥存储在文件系统上，这出于安全原因我宁愿避免。我也不想自己实施身份验证，尽管我承认这是一种选择。我的问题：

有没有办法直接从内存中提供这些库（或我可能忽略的任何库/API）键值，而不是从文件加载？

如果没有，管理这些关键文件的推荐方法是什么？除了密码加密和严格的访问控制之外，还应该采取其他措施来保护密钥文件吗？

Answer 1

所有这些似乎都需要
私钥存储在
文件系统，我更喜欢
出于安全原因避免。

我认为你应该拥抱文件系统。 NTFS（作为 Windows 开发人员，您几乎肯定会使用它）等现代文件系统具有强大的安全机制，这些机制可能比您（或我）可能设计的大多数替代机制都经过深思熟虑。 NTFS 有访问控制列表、加密等等——如果您不能相信您的文件系统能够保证数据安全，那么您为什么还要费心去关心网络流量呢？

我会注意到，有一些特定的情况可能会妨碍我上面所说的操作，但我没有看到原始帖子中提到的任何情况。

Answer 2

我从未使用过 Granados，但该库的 SSH2UserAuthKey 类 有一个 FromSECSHStyleStream 方法，可以从任意 Stream（可以是 MemoryStream，如果您想直接从内存加载密钥）。看起来这可以让你绕过文件系统进行密钥存储。

Rebex.Net 有一个 SshPrivateKey 类构造函数，可以从 字节加载[]；这也应该让你避免文件系统。

虽然我没有检查其他库，但似乎所有库都会提供从 byte[]、MemoryStream 或 加载密钥的方法unsigned char*，具有直接从文件加载的便捷方法。

不过，这些 API 并没有解决私钥实际存储方式的问题。您可以对其进行密码保护（这似乎是 SSH 私钥的一种相当常见的方法）或使用 ProtectedData 类，使用当前 Windows 用户的凭据对其进行加密。

Answer 3

SecureBlackbox（我们的产品）的 SFTP 类 可让您从任何流或字节数组。此外，它们还允许您生成和转换各种格式的 SSH 密钥。

如果您有疑问，我们可以通过论坛和服务台

Answer 4

以下代码显示了如何使用 Rebex SFTP 使用私钥进行身份验证。

代码取自以下 论坛帖子。有关详细信息，请查看 SFTP 教程。

// create client and connect 
Sftp client = new Sftp();
client.Connect(hostname);

// instead of loading it from disk file load the private key from a byte array
//SshPrivateKey privateKey = new SshPrivateKey("key_rsa.pem", "password");

byte[] privateKeyData = YourMethodForObtainingPrivateKey();    
SshPrivateKey privateKey = new SshPrivateKey(privateKeyData, "password");

// authenticate 
client.Login(username, privateKey);

// ...