SSH 密码保护的私钥仍然可见

Question 1

加密密钥（受密码保护）和非加密密钥之间存在差异。所有密钥仍然是纯文本文件。下面我生成了一个没有密码的密钥，然后通过添加密码来保护它，您可以看到磁盘上文件的内容有何不同：

$ ssh-keygen -f ./id_example
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in ./id_example.
Your public key has been saved in ./id_example.pub.
The key fingerprint is:
SHA256:q1soNjAdOS7sEu/268wb/F0ULMB7a2tmr/n+089Ksu0 user@host
The key's randomart image is:
+---[RSA 2048]----+
|     ..          |
|     ... .       |
|    +  .. o      |
| . o o. .. .     |
|. = o  .S..      |
| + =   .oo       |
|. o * ..o.. ...  |
| o.+ = +=o  .=.. |
| ..oBo+=+=+.ooEoo|
+----[SHA256]-----+
$ cat id_example
-----BEGIN RSA PRIVATE KEY-----
MIIEogIBAAKCAQEArxyeUk2lJ+pkW2bHXJNFUfWz1z3glvOsHSUxUQjx8leKIKRu
[hash truncated fro brevity]
hGWfADUrb5nV5Do/mcjBHQDCjrfCpzPHkNrTaZLs4JDxdhX4G0s=
-----END RSA PRIVATE KEY-----
$ ssh-keygen -p -f ./id_example
Enter new passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved with the new passphrase.
$ cat id_example
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-128-CBC,764EDE56E9A89905CD447F1DEF5ED1AB

uVjfs7qu4a7RMvycvpvtJA0UUG5UtkZ+eY6ppmxL7oA/54qM/7S5bvgOT1hM0wL+
[hash truncated for brevity]
FHCAmqC29+FPHxqG19tII7ndYYU6YDpCQHjUN0TaAI7ikwSmjTiNBfXEZodaHblr
-----END RSA PRIVATE KEY-----

实际上钥匙是一样的，但是关键代理将无法使用后一个密钥，直到我用我的密码解锁它。不管怎样，我拥有该文件，并且它必须存在于磁盘上，这意味着它能显示（例如使用cat）。

您还可以看到，当我显示修改后的密钥时，它明确显示它已加密。

Answer

加密密钥（受密码保护）和非加密密钥之间存在差异。所有密钥仍然是纯文本文件。下面我生成了一个没有密码的密钥，然后通过添加密码来保护它，您可以看到磁盘上文件的内容有何不同：

$ ssh-keygen -f ./id_example
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in ./id_example.
Your public key has been saved in ./id_example.pub.
The key fingerprint is:
SHA256:q1soNjAdOS7sEu/268wb/F0ULMB7a2tmr/n+089Ksu0 user@host
The key's randomart image is:
+---[RSA 2048]----+
|     ..          |
|     ... .       |
|    +  .. o      |
| . o o. .. .     |
|. = o  .S..      |
| + =   .oo       |
|. o * ..o.. ...  |
| o.+ = +=o  .=.. |
| ..oBo+=+=+.ooEoo|
+----[SHA256]-----+
$ cat id_example
-----BEGIN RSA PRIVATE KEY-----
MIIEogIBAAKCAQEArxyeUk2lJ+pkW2bHXJNFUfWz1z3glvOsHSUxUQjx8leKIKRu
[hash truncated fro brevity]
hGWfADUrb5nV5Do/mcjBHQDCjrfCpzPHkNrTaZLs4JDxdhX4G0s=
-----END RSA PRIVATE KEY-----
$ ssh-keygen -p -f ./id_example
Enter new passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved with the new passphrase.
$ cat id_example
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-128-CBC,764EDE56E9A89905CD447F1DEF5ED1AB

uVjfs7qu4a7RMvycvpvtJA0UUG5UtkZ+eY6ppmxL7oA/54qM/7S5bvgOT1hM0wL+
[hash truncated for brevity]
FHCAmqC29+FPHxqG19tII7ndYYU6YDpCQHjUN0TaAI7ikwSmjTiNBfXEZodaHblr
-----END RSA PRIVATE KEY-----

实际上钥匙是一样的，但是关键代理将无法使用后一个密钥，直到我用我的密码解锁它。不管怎样，我拥有该文件，并且它必须存在于磁盘上，这意味着它能显示（例如使用cat）。

您还可以看到，当我显示修改后的密钥时，它明确显示它已加密。

Question 2

您始终能够（并且需要）“查看”私钥文件的内容，但它是加密的，因此它应该看起来是乱码。您需要确定的是你（即您的用户ID）可以看到它。为此，您需要：

chmod go-rwx ./id_ed25519

另外，您可能希望将私钥保存在自己的目录中，以便您也可以 chmod 该目录。

Answer

您始终能够（并且需要）“查看”私钥文件的内容，但它是加密的，因此它应该看起来是乱码。您需要确定的是你（即您的用户ID）可以看到它。为此，您需要：

chmod go-rwx ./id_ed25519

另外，您可能希望将私钥保存在自己的目录中，以便您也可以 chmod 该目录。

SSH 密码保护的私钥仍然可见

答案1

答案2

相关内容