Яке призначення випадкового зображення для користувачів (не хостів) SSH-ключів?


95

ssh-keygenГенерує наступний висновок:

The key fingerprint is:
dd:e7:25:b3:e2:5b:d9:f0:25:28:9d:50:a2:c9:44:97 user@machine
The key's randomart image is:
+--[ RSA 2048]----+
|       .o o..    |
|       o +Eo     |
|        + .      |
|         . + o   |
|        S o = * o|
|           . o @.|
|            . = o|
|           . o   |
|            o.   |
+-----------------+

Яке призначення цього зображення, чи надає воно якесь значення для користувача? Зверніть увагу, що це ключ клієнта (користувача), а не ключ хоста.



Google є вашим другом: sanscourier.com/blog/2011/08/31/…
Networker

2
відкрив свою роботу, оскільки декілька постійних відвідувачів сподобалися цьому Q і думали, що це буде приємним доповненням до сайту.
slm

2
Я думаю, це хороше питання. Хоча посилання вище є цікавими, жодне з них не стосується заданого питання. Обидва ці посилання говорять про корисність випадкового діапазону для ключів хоста, а не чому він відображається для ключів користувача.
Патрік

1
Щойно FYI, я надіслав це питання на розсилку OpenSSH днями. Поки що цвіркуни. list.mindrot.org/pipermail/openssh-unix-dev/2014-July/…
Патрік

Відповіді:


55

Це було пояснено в цьому запитанні: https://superuser.com/questions/22535/what-is-randomart-produced-by-ssh-keygen . Користувач, який генерує ключ, насправді не має користі, скоріше для зручності перевірки. Особисто. Ви б краще це подивилися: (Зверніть увагу, це приклад ключового ключа)

2048 1b:b8:c2:f4:7b:b5:44:be:fa:64:d6:eb:e6:2f:b8:fa 192.168.1.84 (RSA)
2048 16:27:ac:a5:76:28:2d:36:63:1b:56:4d:eb:df:a6:48 gist.github.com,207.97.227.243 (RSA)
2048 a2:95:9a:aa:0a:3e:17:f4:ac:96:5b:13:3b:c8:0a:7c 192.168.2.17 (RSA)
2048 16:27:ac:a5:76:28:2d:36:63:1b:56:4d:eb:df:a6:48 github.com,207.97.227.239 (RSA)

Що, будучи людиною, знадобиться вам довше, аби це перевірити:

2048 16:27:ac:a5:76:28:2d:36:63:1b:56:4d:eb:df:a6:48 gist.github.com,207.97.227.243 (RSA)
+--[ RSA 2048]----+
|        .        |
|       + .       |
|      . B .      |
|     o * +       |
|    X * S        |
|   + O o . .     |
|    .   E . o    |
|       . . o     |
|        . .      |
+-----------------+
2048 16:27:ac:a5:76:28:2d:36:63:1b:56:4d:eb:df:a6:48 github.com,207.97.227.239 (RSA)
+--[ RSA 2048]----+
|        .        |
|       + .       |
|      . B .      |
|     o * +       |
|    X * S        |
|   + O o . .     |
|    .   E . o    |
|       . . o     |
|        . .      |
+-----------------+

Приклади витягнуті з http://sanscourier.com/blog/2011/08/31/what-the-what-are-ssh-fingerprint-randomarts-and-why-should-i-care/

По суті, випадкове мистецтво, створене ключами користувача, також може використовуватися таким же чином. Якщо спочатку створене зображення відрізняється від поточного зображення ключа, наприклад, якщо ви перемістили ключ, то ключ, ймовірно, був підроблений, зіпсований або замінений.

Це, з іншого питання, справді добре читається: http://users.ece.cmu.edu/~adrian/projects/validation/validation.pdf


1
Це не дає відповіді на запитання. Інформація, яку ви надаєте, стосується ключів хоста. Питання - це питання про ключі користувачів.
Патрік

8
Боюся, що я не погоджуюся, питання було таке: яка мета цього зображення, чи надає користувачеві якесь значення? І я відповів, що по суті це не має значення для користувача, який генерує згаданий ключ. Якщо я щось пропустив або ви хочете, щоб я додав додаткові приклади тощо, будь ласка, повідомте мене про це. Я тут новий.
Torger597

1
Я погоджуюсь, саме в цьому запитували про користувацькі ключі, а не ключі хоста.
Патрік

3
Я використовував хост-ключі в якості прикладу, оскільки основний принцип є, хоча я складу і додаю приклад ключа користувача. Дякую за внесок, Патріку.
Torger597

13

Здається, існує велика плутанина щодо різниці між хост-ключем та ключем користувача.

Ключ хоста використовується для встановлення ідентичності віддаленого хоста до вас.
Ключ користувача використовується для встановлення ідентичності себе віддаленому хосту.
Оскільки ці клавіші зазвичай відображаються як лише послідовність символів, людині може бути важко сказати з першого погляду, чи змінилися вони. Це мета випадкового. Невелике відхилення в ключі спричинить істотно відмінне випадковечастотне зображення.

Щодо того, чому б вам було байдуже, важливо перевірити особу віддаленого хоста, оскільки можливо, хтось міг перехопити ваш трафік ( атака MITM ) та переглянути / маніпулювати всім надісланим та отриманим.

Хоча перевірити себе не важливо. Вам не потрібно підтверджувати "так, я". Навіть якщо якимось чином ваш користувальницький ключ змінився, віддалений сервер вас або пустить, або він не буде. Ваш зв’язок не є вищим ризиком підслуховування.

 

То чому ж тоді ssh-keygenвідображається випадкове зображення, коли ви генеруєте свій ключ користувача ?
Тому що, коли випадковий код був введений до ssh-keygen [grunk@cvs.openbsd.org 2008/06/11 21:01:35] , хост-ключі та користувацькі ключі були створені точно так само. Виведення додаткової інформації для користувача користувача може не принести користі, але це не зашкодить (крім потенційного спричинення плутанини).

Тепер, коли я сказав "коли був введений випадковий код", це було тому, що код з тих пір змінився. У наші дні більшість дистрибутивів використовують ssh-keygen -Aдля генерації ключів хоста, що є новою функцією. Ця функція генерує численні клавіші різних типів (rsa, dsa, ecdsa), і вона не показує випадковечастотне зображення. Старий метод все ще може використовуватися для генерації ключів хоста, але це, як правило, не так. Тож тепер старий метод використовується лише для ключів користувача, але функція randomart залишається.


Вам не потрібно підтверджувати "так, я". так, хоча було б трохи точніше сказати "так, я схожий на мене". Якщо у вас багато клавіш, ви можете мати додатковий відгук, щоб переконатися, що ви використовуєте правильний.
Алоїз Магдал

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.