我认为在不实际输入密码的情况下不可能查看受密码保护的私钥文件的内容。
但令人惊讶的是,即使我的私钥文件受到良好的密码保护,我仍然可以看到它的内容。脚步:
$ ssh-keygen -t ed25519 -o -a 100
然后我输入我的密码。我等一下。过程完成,然后我执行cat
如下操作:
$ cat id_ed25519
令我惊讶的是,我可以清楚地看到我的私钥。
我想知道它是否受到良好的密码保护。所以,我做了以下事情:
$ ssh-keygen -p -f ./id_ed25519
事实上,我必须输入我的“旧”密码。不然的话,它不认识它!
我错过了什么吗?如果我的理解是正确的,如果我的私钥文件被加密,我不应该在文本编辑器中看到它的内容,对吗?我完全困惑了。
系统:MacOS Le Capitan,自制软件
答案1
加密密钥(受密码保护)和非加密密钥之间存在差异。所有密钥仍然是纯文本文件。下面我生成了一个没有密码的密钥,然后通过添加密码来保护它,您可以看到磁盘上文件的内容有何不同:
$ ssh-keygen -f ./id_example
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in ./id_example.
Your public key has been saved in ./id_example.pub.
The key fingerprint is:
SHA256:q1soNjAdOS7sEu/268wb/F0ULMB7a2tmr/n+089Ksu0 user@host
The key's randomart image is:
+---[RSA 2048]----+
| .. |
| ... . |
| + .. o |
| . o o. .. . |
|. = o .S.. |
| + = .oo |
|. o * ..o.. ... |
| o.+ = +=o .=.. |
| ..oBo+=+=+.ooEoo|
+----[SHA256]-----+
$ cat id_example
-----BEGIN RSA PRIVATE KEY-----
MIIEogIBAAKCAQEArxyeUk2lJ+pkW2bHXJNFUfWz1z3glvOsHSUxUQjx8leKIKRu
[hash truncated fro brevity]
hGWfADUrb5nV5Do/mcjBHQDCjrfCpzPHkNrTaZLs4JDxdhX4G0s=
-----END RSA PRIVATE KEY-----
$ ssh-keygen -p -f ./id_example
Enter new passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved with the new passphrase.
$ cat id_example
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-128-CBC,764EDE56E9A89905CD447F1DEF5ED1AB
uVjfs7qu4a7RMvycvpvtJA0UUG5UtkZ+eY6ppmxL7oA/54qM/7S5bvgOT1hM0wL+
[hash truncated for brevity]
FHCAmqC29+FPHxqG19tII7ndYYU6YDpCQHjUN0TaAI7ikwSmjTiNBfXEZodaHblr
-----END RSA PRIVATE KEY-----
实际上钥匙是一样的,但是关键代理将无法使用后一个密钥,直到我用我的密码解锁它。不管怎样,我拥有该文件,并且它必须存在于磁盘上,这意味着它能显示(例如使用cat
)。
您还可以看到,当我显示修改后的密钥时,它明确显示它已加密。
答案2
您始终能够(并且需要)“查看”私钥文件的内容,但它是加密的,因此它应该看起来是乱码。您需要确定的是你(即您的用户ID)可以看到它。为此,您需要:
chmod go-rwx ./id_ed25519
另外,您可能希望将私钥保存在自己的目录中,以便您也可以 chmod 该目录。