Ssh-keygen tarafından üretilen randomart nedir?


352

Bir anahtar oluşturduğunuzda, OpenSSH'nin yeni sürümlerinden "randomart" alırsınız. Neden ve ne için kullanmam gerektiğine dair bir açıklama bulamıyorum.

Generating public/private rsa key pair.
The key fingerprint is:
05:1e:1e:c1:ac:b9:d1:1c:6a:60:ce:0f:77:6c:78:47 you@i
The key's randomart image is:
+--[ RSA 2048]----+
|       o=.       |
|    o  o++E      |
|   + . Ooo.      |
|    + O B..      |
|     = *S.       |
|      o          |
|                 |
|                 |
|                 |
+-----------------+

Generating public/private dsa key pair.
The key fingerprint is:
b6:dd:b7:1f:bc:25:31:d3:12:f4:92:1c:0b:93:5f:4b you@i
The key's randomart image is:
+--[ DSA 1024]----+
|            o.o  |
|            .= E.|
|             .B.o|
|              .= |
|        S     = .|
|       . o .  .= |
|        . . . oo.|
|             . o+|
|              .o.|
+-----------------+

5
Sormak istediğim bir başka soru da; görüntüyü başkalarıyla paylaşmak güvenli midir? Başka bir deyişle, yukarıdaki gibi rastgele bir resim verildiğinde, bunu tekrar anahtarına geri vermek mümkün mü?
AndyJ0076

Yanıtlar:


259

Rastgeleart, insanların anahtarları doğrulaması için daha kolay bir yol olması içindir.

Doğrulama normal olarak, insanların karşılaştırmada oldukça yavaş ve yanlış olduğu anlamsız dizgilerin (yani anahtar parmak izinin onaltılık gösterimi) karşılaştırılmasıyla yapılır. Randomart bunu, karşılaştırması daha hızlı ve daha kolay yapılandırılmış görüntülerle değiştirir.

Bu makalede "Hash Visualization: Gerçek Dünya Güvenliğini Artırmak İçin Yeni Bir Teknik", Perrig A. ve Song D., 1999, Uluslararası Şifreleme Teknikleri ve E-Ticaret Çalıştayı (CrypTEC '99) " bazı teknikleri ve avantajları açıklıyor.


66
İnsanların neden anahtarları doğruladığını açıklayabilirseniz, bu yardımcı olabilir, çünkü açık anahtarımı sadece yetkili_ anahtar dosyama koyma ve bununla bitirme eğilimindeyim.
dlamblin

43
@dlamblin: Genelde kendi anahtarlarınızı bununla doğrulamazsınız. Bununla birlikte, uzaktaki bir makinenin ana bilgisayar anahtarını doğrulamak için faydalı olacaktır. Bir fikir, belirli bir makineye çeşitli konumlardan giriş yaparsanız (ya da anahtarını bilinen_hosts dosyanıza kaydetmiyorsanız), ev sahibinin anahtarının “sanatını” tanıyabileceğinizdir. Eğer bu sanat aniden değiştiyse, şifrenizi girmekte dikkatli olmalısınız, çünkü bağlantınızdaki ortadaki bir saldırının devam etmesi anlamına gelebilir (veya konağın başka birisinin anahtarını değiştirdiği anlamına gelebilir). sebebi).
Chris Johnsen

29
Ev sahibinin sanatını ne zaman görebilirim? (Sanırım hiç yapmadım.) Sadece anahtar çiftimi oluşturduktan sonra böyle bir görüntü gördüm. Ve 'ani' değişimi tanımak için neyle karşılaştırmalıyım.
DerMike

12
Rastgeleartın, bütünlük kontrolleri için hashlerle benzer bir ilkeye bağlı kaldığına bahse girerim, yani: girdideki küçük bir fark oldukça farklı bir çıktı üretir. Bu, bir şeylerin yanlış olduğunu fark edebilmek için beklenen rastgele bölümün kaba şeklini ezberlemeniz gerektiği anlamına gelir. Elbette bu, SSH ve arkadaşları size bağlandığınız ana bilgisayarın rastgele bölümünü göstermediğinde pratik olarak çalışmaz (ana bilgisayar biliniyorsa bile yapmalıdırlar).
Alan Plum,

2
Bunların en çok, ortak anahtarların kopya tamamlandıktan sonra bir bütünlük kontrolü için şahsen alışverişinde bulunduklarında faydalı olduğunu düşünüyorum.
jordanpg

198

Eklemek

-o VisualHostKey=yes 

komut satırına veya

VisualHostKey=yes 

senin içinde ~/.ssh/config.

Giriş yaptığınız kutunun rastgele bölümünü göreceksiniz. Bir gün oturum açarsanız ve rastgele sanat farklıysa (beyniniz gitmeli Hey! Bunu tanımıyorum!), O zaman belki birisi hack ediyordur, ya da başka bir şey.

Fikir şu ki, bilinçli olarak yapmanız gerekmez. Makinelerimizden birinin anahtarlarından biri kelebeğe benziyor. Başka bir dick gibi görünüyor (evet, beyinlerimiz ilkeldir). Her gün oturum açarsanız, denemeden görüntülere alışırsınız.


9
Harika değil. Daha önce giriş yaptıysanız, kaydedilmiş bir parmak izini kullanarak bilgisayarın sizin için tanımasını yapması çok daha iyidir. Özelliğin yalnızca yeni makinelere giriş yapmak için kullanılması amaçlanmıştır.
Nicholas Wilson

57
Bu cevaba çok geç kaldı, ancak bilinen tüm ev sahiplerinize sahip olmayan farklı bir makineden giriş yapıyorsanız, bunun son derece yararlı olacağına dikkat çekmeye değer. Bu durumda, bilgisayar bilinen olduğunu doğrulayamazdı, ancak kullanıcı "Bu normalden çok farklı görünüyor!" ve iptal edin.
Xkeeper

9
Bilgisayarınızın tanıma işlemini yapmasına izin vermek, kendi bilgisayarınızın bilinen ana bilgisayarlarının saldırıya uğramasına karşı savunmasızdır. Bilgisayarınızın sizin için parola girmesine izin vermemeniz gibi, ana bilgisayarın anahtarını kendiniz doğrulamaktan daha iyi olurdu.
Marko Topolnik

37

Resmi duyuru: OpenSSH 5.1 yayınlandı

Deneysel SSH Parmak İzi ASCII Görselleştirmesini ssh (1) ve ssh-keygen'e (1) tanıtın. Görsel parmak izi ekranı yeni bir ssh_config (5) seçeneği "VisualHostKey" ile kontrol edilir. Amaç, SSH ana bilgisayar anahtarlarını, değiştirilen ana bilgisayar anahtarlarının kolay hatırlanması ve reddedilmesi için uygun olan görsel bir formda hale getirmektir. Bu teknik, "rastgele sanat [*]" olarak bilinen grafiksel karma görselleştirme şemalarından ve Dan Kaminsky'nin Berlin'deki 23C3'teki musinglerinden esinlenmiştir.

Rasgele sanatı üretmek için kullanılan algoritma hala değişime tabi olduğu için, parmak izi görselleştirme şu anda varsayılan olarak devre dışı bırakılmıştır.


8
Bu son cümle, gerçekten, bilmeye değer. OpenBSD Journal @ Undeadly.org, OpenSSH 6.8 sürümüyle ilgili bilgileri , "Lütfen görsel ana bilgisayar anahtarlarının da farklı olacağını unutmayın." Daha yeni yazılım, eski yazılım tarafından gösterilen görüntülerden farklı görüntüler gösterir.
TOOGAM


11

Ssh-keygen oluşturulmasından sonra görüntülenen Randomart, az önce oluşturduğunuz anahtarın grafiksel bir gösterimidir. Sonra:

  • Randomart, ssh anahtarını oluşturan kullanıcı için pek kullanışlı değil

  • Randomart, genellikle aynı sunucuya bağlanmak için SSH üzerinden bağlantı kullanan bir kullanıcı için çok faydalı olabilir : SSH komutuna "-o VisualHostKey = yes" seçeneğini eklediyse:

    ssh kullanici@etkialani.com.tr.com -o VisualHostKey = evet

Sunucunun genel anahtarına karşılık gelen Randomart görüntülenecektir.

Bir örnek görmek için deneyebilirsiniz:

ssh git@github.com -o VisualHostKey = evet

Kullanıcının sıklıkla aynı sunucuya bağlanması durumunda , bu sunucunun ortak anahtarına karşılık gelen Randomart'ı tanıyıp tanımadığını hızlı ve kolay bir şekilde kontrol edebilir . Açık anahtarın karakter dizgisini kontrol etmekten daha kolay ve daha hızlı!

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.