SFTP/SSHのパスフレーズでより安全運用しましょう ↑

　さて、「 暗号化SFTPサーバーを利用しよう 」の手順の通り、SFTP通信が可能となったでしょうか？
　パスフレーズ無しの秘密鍵の運用は確かに便利なのですが、非常に危険だと言う事です。 それではパスフレーズを秘密鍵に埋め込んで安全な運用に移行しましょう。*1
　さて、このページで実現させるのは、

1. 複雑なパスフレーズをMS-Windowsにログインする時に１度だけ入力する
   または、常駐ソフトの起動時に１度だけ入力するだけ。
2. SFTP接続も、SSHコンソール接続も、MS-Windowsからログアウトする*2までパスフレーズの再入力が無用となる。
3. SFTPやSSHコンソール通信のタイムアウト後の再セッション接続時にもパスフレーズ問い合わせを無くせる。
4. MS-Windowsからログアウトする*3と、同じ秘密鍵を利用した接続には必ずパスフレーズ認証が必要となる。

　パスフレーズ運用を行うわけですから、よりセキュアだと言えます。
しかしながら以下の運用ミスによって、非セキュアな環境へと落下しますのでご注意願います。

• キーストロークを記録し漏洩させるウィルスに感染している場合
• MS-Windowsにログインしたまま離席する人

【ページ内／目次】

1. パスフレーズ付きの秘密鍵に置き換えます ↑

01-1		秘密鍵にパスフレーズを設定しましょう。「 PuTTYgen 」を起動します。
01-2		PuTTYgen を起動して「 Load 」ボタンを押して、作成済みの秘密鍵を読み込みます。 　もちろん秘密鍵にパスフレーズが登録されているのなら、パスフレーズの問い合わせ画面が表示されます。 ここでは順路に従った方ならパスフレーズ無しの秘密鍵を作成したはずです。パスフレーズ無しの秘密鍵を厳重に管理保管しますか。パスフレーズ無しの秘密鍵なら、いつでも PuTTYgen で読み込み、新たなパスフレーズ付きの秘密鍵を生成できます。もちろんパスフレーズ無しの秘密鍵は危険極まりない点を十分にご理解願います。筆者はパスフレーズ無しの秘密鍵をPGPで暗号化してインターネットサイトに分散して保管しています。
01-3		まずは 「ＳＳＨ２　ＤＳＡ」にセットします。 必要なら「 Ｋｅｙ Ｃｏｍｍｅｎｔ 」(コメントを変更します) 筆者は「異なる公開鍵」を区別するために、ユニークなコメントを指定しています。 Ｋｅｙ ｐａｓｓｐｈｒａｓｅ(パスフレーズ)を登録しましょう。 長い長いデーターほど安全と言われています。しかしながら思い出せないからメモしてしまう位なら覚え易い方が安全です。パスフレーズをメモ書きしてモニターに貼るのだけは止めましょう！意味ないです。 パスフレーズは半角大小英文字と半角数字の組み合わせで、頭の中だけで思い起こせる可能な限り長い文字列にしましょう。おいおい円周率にしている人、バレバレですよ。 Ｃｏｎｆｉｒｍ ｐａｓｓｐｈｒａｓｅ(パスフレーズの確認)欄にも同じパスフレーズを入力します。 「 Ｓａｖｅ ｐｒｉｖａｔｅ ｋｅｙ 」ボタンを押して、パスフレーズ付きの秘密鍵を保存しましょう*4。安全なパスフレーズを設定されるのですから、保存先など少し安心ですか。パスフレーズ無しの秘密鍵は安全な保管がされるとして、上書きしますか。別名でも良しとしますか。いずれにしても今後は、どんどんパスフレーズを変更させて、同じ場所、同じファイル名で秘密鍵を上書きしていくのだと理解してください。 どのディレクトリーに、どのファイル名で、パスフレーズ付きの秘密鍵を保存したかを把握してください。 【筆者の場合は】*5： D:\Program Files\WinSCP3\自分専用の秘密鍵

2. 特別なショートカットファイルを新規に作成します ↑

02-1		ショートカット・ファイルの新規生成を行います。新規生成ですよ！ 筆者の場合は、スタートメニュー ＞＞ プログラム ＞＞ ＷｉｎＳＣＰ３ ＞＞ そして「 鍵関連ツール 」上で右クリックし、「 開く 」を選択し、エキスプローラー窓を表示させます。
02-2		新規作成ですから、空白欄で右クリックして、新規作成 ＞＞ ショートカット を選択します。
02-3		筆者の場合は、目的のソフトの起動用のショートカットを右クリックして「ショートカット」タブを選択します。 この場合ならオリジナルの「 Pageant 」ショートカットを選択して右クリックですね。 そのフル・パスをコピー＆ペースト*6しますか。 続いて、自分専用のパスフレーズ付きの秘密鍵をフル・パスで指定します。 ここでは例として、 「 Pageant 」までのフル・パスが「 D:\Program Files\WinSCP3\PuTTY\pageant.exe 」だと仮定します。 そして「自分専用の秘密鍵」*7のフル・パスが「 D:\Program Files\WinSCP3\自分専用の秘密鍵.ppk 」と仮定します。 ショートカットに定義する内容は以下の通りとなります。半角空白が含まれますから必ずダブルクオーテーション文字で、それぞれをくくります！ "D:\Program Files\WinSCP3\PuTTY\pageant.exe" "D:\Program Files\WinSCP3\自分専用の秘密鍵.ppk"
02-4		ショートカットファイル名は適当に銘名してください。
02-5		さて、新規に作成したショートカットを早速ダブルクリックして実行させて見ましょう。もちろん初めての起動ならパスフレーズの問い合わせがあります。問い合わせが無い場合は、パスフレーズの無い秘密鍵と間違えたのでしょう。 　起動を完了しますと、本ソフトは常駐します。スタートメニューに左の絵柄のアイコンが出現します。出現しない場合はショートカットのフルパス指定のミスでしょう。 ※ 離席する場合は、必ず常駐しているアイコンをスタートメニューより終了させましょう。 もちろんMS-Windowsのログインパスワードの漏洩が無く、「パスワード付きのウィンドーロック」にしても結構ですが・・・
02-6		アイコンをダブルクリックするか、右クリックして「 Ｖｉｅｗ Ｋｅｙｓ 」を選択すると左の画面となります。指定した秘密鍵が１行だけ表示されているはずです。表示されない場合は、秘密鍵のフルパス指定ミスでしょう。

3. ＷｉｎＳＣＰの管理セッションにパスフレーズ付きの秘密鍵を参照させます！ ↑

03-1

ＷｉｎＳＣＰを起動したら、保存されている当該セッション情報に記憶させている「秘密鍵のフルパス」を変更し、セッション情報を上書きすることを忘れないように致しましょう。

4. 自分専用のスタートアップ・フォルダーに登録します ↑

04-1

スタートアップ領域に、新規に作成したショートカット・ファイルをコピーしましょう。 無用になりましたら削除します。 左の画像は、スタートメニューより、「 スタートアップ 」上で右クリックした場面です。

5. MS-Windowsよりログアウトし、再ログインで確認します ↑

自分専用のスタートアップ・フォルダーに登録した場合は、ログインする度にパスフレーズの問い合わせ画面が表示されます。ＳＦＴＰなりＳＳＨコンソールを利用しない場合は無視できます。

6. 最終確認 ↑

ログイン時にパスフレーズを故意に間違ってみる ↑

　そうしてＳＦＴＰ通信してみてください。パスフレーズの問い合わせがあります。パスフレーズに間違うと、ＳＦＴＰ通信が確立しません。セキュアですね。

　全てのWinSCPセッションの通信をスタートしてみてください。仮にパスフレーズの問い合わせなく接続される場合は、「パスフレーズ無しの秘密鍵」を参照してしまっています。

1. 「パスフレーズ無しの秘密鍵」は直ちに削除する！*8
2. 「パスフレーズ有りの秘密鍵」と入れ替える！

ログイン時にパスフレーズを正確に登録する ↑

　こうしてＳＦＴＰ通信すれば、パスフレーズ無しで即時利用開始できます。もちろん途中でセッション・タイムアウトしても、再度、接続を継続させる時もパスフレーズは無用です。便利ですね。

SFTP/SSHのパスフレーズでより安全運用しましょう ↑

includes/vote2007 を参照