Skip to content

security/ssh: SOTA-Analyse SSH-Schlüssel & Rotation (für Frank, Michael, Christina)#7

Merged
Klangschalen merged 2 commits into
mainfrom
claude/cisa-kev-inventory-check-OvPKT
May 31, 2026
Merged

security/ssh: SOTA-Analyse SSH-Schlüssel & Rotation (für Frank, Michael, Christina)#7
Klangschalen merged 2 commits into
mainfrom
claude/cisa-kev-inventory-check-OvPKT

Conversation

@Klangschalen
Copy link
Copy Markdown
Owner

@Klangschalen Klangschalen commented May 31, 2026

Worum geht's

Eine verständliche SOTA-Analyse zu SSH-Schlüsseln und Schlüssel-Rotation, ausgelöst durch zwei Fragen aus dem Team:

  1. Was bedeutet „SSH rotieren" eigentlich, und worin unterscheidet sich das von dem, was wir jetzt machen?
  2. Michael nutzt SSH für viele Systeme (Schnittstellen u. a.) — welche Techniken gibt es und was ist der Unterschied?

Hintergrund: PR #64 in security-scanner-laravel gibt dem CISA-KEV-Scanner einen SSH-Lesezugang. Das ist ein guter Anlass, das Thema einmal sauber für alle aufzuschreiben.

Inhalt

security/ssh/2026-05-31-ssh-schluessel-sota.md (+ HTML-Version, gleicher Inhalt, schön gestaltet):

  • Teil 1: Was ist SSH? — für absolute Einsteiger (privater vs. öffentlicher Schlüssel, mit Analogie Schloss/Schlüssel)
  • Teil 2: Ist-Zustand — Scanner-Schlüssel + Michaels Generalschlüssel, inkl. dem versteckten Risiko („nur-lesend" ist aktuell nur Code-Vereinbarung, nicht vom Server erzwungen)
  • Teil 3: Was „rotieren" bedeutet (Hotel-Türcode-Analogie) und warum
  • Teil 4: Techniken im Vergleich — ein Schlüssel für alles → Schlüssel pro Zweck → eingeschränkter Schlüssel (forced command) → Rotation → SSH-Zertifikate
  • Teil 5: Bezug zum neuen Scanner
  • Teil 6: Empfehlung mit ICE-Bewertung + konkreter nächster Schritt für Michael
  • Glossar

Empfehlung in einem Satz: ein eigener, per forced command auf ein Lese-Skript eingeschränkter Scanner-Schlüssel (Least Privilege) — getrennt vom Generalschlüssel; Rotation quartalsweise; SSH-Zertifikate später, wenn wir wachsen.

Hinweis

Die Doku enthält bewusst keine echten Schlüssel oder Geheimnisse — nur Konzepte, Beispiel-Platzhalter (AAAA...) und Abläufe. Adressaten: Frank, Michael, Christina.

Draft zum Gegenlesen.

Generated by Claude Code

claude added 2 commits May 31, 2026 11:23
@claude
security/ssh: SOTA-Analyse SSH-Schluessel + Rotation (MD + HTML)
dacda66 
Verstaendliche Erklaerung fuer Frank/Michael/Christina:
- Was ist SSH (Einsteiger), privater vs. oeffentlicher Schluessel
- Was 'rotieren' bedeutet und warum
- Techniken im Vergleich (ein Schluessel fuer alles -> pro Zweck ->
  eingeschraenkt/forced command -> Rotation -> SSH-Zertifikate)
- Empfehlung mit ICE: dedizierter read-only Scanner-Schluessel (B+C)
- HTML-Ausgabe + README-Index

Kontext: PR #64 security-scanner-laravel (CISA-KEV SSH-Versions-Erkennung)

https://claude.ai/code/session_01QSztQCVfae3TSMSycDDvTT
@claude
docs: README-Index auf SSH-SOTA verlinken
6d453ae 
https://claude.ai/code/session_01QSztQCVfae3TSMSycDDvTT
@Klangschalen Klangschalen marked this pull request as ready for review May 31, 2026 11:32
@Klangschalen Klangschalen merged commit 5eaf1b6 into main May 31, 2026
2 checks passed
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

No reviews

Assignees

No one assigned

Labels

None yet

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

2 participants

@Klangschalen @claude