用户(而非主机)SSH 密钥的 randomart 映像的用途是什么?

用户(而非主机)SSH 密钥的 randomart 映像的用途是什么?

生成ssh-keygen以下输出:

The key fingerprint is:
dd:e7:25:b3:e2:5b:d9:f0:25:28:9d:50:a2:c9:44:97 user@machine
The key's randomart image is:
+--[ RSA 2048]----+
|       .o o..    |
|       o +Eo     |
|        + .      |
|         . + o   |
|        S o = * o|
|           . o @.|
|            . = o|
|           . o   |
|            o.   |
+-----------------+

该图像的目的是什么?它为用户提供任何价值吗?请注意,这是客户端(用户)密钥,而不是主机密钥。

答案1

这在这个问题中得到了解释:https://superuser.com/questions/22535/what-is-randomart-producted-by-ssh-keygen。它对于用户生成密钥实际上没有任何用处,而是为了便于验证。亲自。您愿意看看这个吗:(请注意这是一个主机密钥示例)

2048 1b:b8:c2:f4:7b:b5:44:be:fa:64:d6:eb:e6:2f:b8:fa 192.168.1.84 (RSA)
2048 16:27:ac:a5:76:28:2d:36:63:1b:56:4d:eb:df:a6:48 gist.github.com,207.97.227.243 (RSA)
2048 a2:95:9a:aa:0a:3e:17:f4:ac:96:5b:13:3b:c8:0a:7c 192.168.2.17 (RSA)
2048 16:27:ac:a5:76:28:2d:36:63:1b:56:4d:eb:df:a6:48 github.com,207.97.227.239 (RSA)

作为一个人,你需要花更长的时间来验证,或者这样:

2048 16:27:ac:a5:76:28:2d:36:63:1b:56:4d:eb:df:a6:48 gist.github.com,207.97.227.243 (RSA)
+--[ RSA 2048]----+
|        .        |
|       + .       |
|      . B .      |
|     o * +       |
|    X * S        |
|   + O o . .     |
|    .   E . o    |
|       . . o     |
|        . .      |
+-----------------+
2048 16:27:ac:a5:76:28:2d:36:63:1b:56:4d:eb:df:a6:48 github.com,207.97.227.239 (RSA)
+--[ RSA 2048]----+
|        .        |
|       + .       |
|      . B .      |
|     o * +       |
|    X * S        |
|   + O o . .     |
|    .   E . o    |
|       . . o     |
|        . .      |
+-----------------+

示例来自http://sanscourier.com/blog/2011/08/31/what-the-what-are-ssh-fingerprint-randomarts-and-why-should-i-care/

本质上,由用户密钥生成的随机艺术也可以以相同的方式使用。如果最初生成的图像与密钥的当前图像不同,例如,如果您移动了密钥,则该密钥可能已被篡改、损坏或替换。

从另一个问题来看,这是一本非常好的读物: http://users.ece.cmu.edu/~adrian/projects/validation/validation.pdf

答案2

对于主机密钥和用户密钥之间的区别似乎有很多混淆。

主机密钥用于向您建立远程主机的身份。
用户密钥用于向远程主机建立您自己的身份。
由于这些键通常仅显示为字符序列,因此人们很难一眼看出它们是否已更改。这就是随机艺术的目的。密钥中的微小偏差将导致随机艺术图像显着不同。

至于您为什么会关心,验证远程主机的身份很重要,因为有人可能会拦截您的流量(中间人攻击),并查看/操作发送和接收的所有内容。

不过,验证自己并不重要。你不需要确认“是的,我就是我”。即使您的用户密钥以某种方式发生了更改,远程服务器也会让您进入,或者不会。您的连接不会面临更高的窃听风险。

 

所以为什么ssh-keygen当您生成用户密钥时会显示 randomart 图像
因为当randomart代码被引入到ssh-keygen [[电子邮件受保护]2008/06/11 21:01:35],主机密钥和用户密钥的生成方式完全相同。额外的信息输出可能对用户密钥没有任何用处,但它不会造成伤害(除了可能导致混乱)。

现在,当我说“引入 randomart 代码时”,这是因为代码已经发生了变化。如今,大多数发行版都使用ssh-keygen -A生成主机密钥,这是一项新功能。此功能生成多种不同类型的密钥(rsa、dsa、ecdsa),并且不显示随机艺术图像。旧方法仍然可以用于生成主机密钥,但通常不是这样。所以现在旧的方法仅用于用户密钥,但 randomart 功能仍然存在。

答案3

https://medium.freecodecamp.com/the-geekiest-ugly-sweater-ever-34a2e591483f#.y1glvah8k

事实证明这些随机艺术非常有用。尽管它们看起来很混乱,但人类更容易区分它们,而不是长串的十六进制代码。

相关内容