Kullanıcı (ana bilgisayar değil) SSH anahtarları için randomart görüntüsünün amacı nedir?


95

ssh-keygenAşağıdaki çıkış oluşturur:

The key fingerprint is:
dd:e7:25:b3:e2:5b:d9:f0:25:28:9d:50:a2:c9:44:97 user@machine
The key's randomart image is:
+--[ RSA 2048]----+
|       .o o..    |
|       o +Eo     |
|        + .      |
|         . + o   |
|        S o = * o|
|           . o @.|
|            . = o|
|           . o   |
|            o.   |
+-----------------+

Bu görüntünün amacı nedir, kullanıcı için herhangi bir değer sağlar mı? Bunun bir ana bilgisayar anahtarı değil bir istemci (kullanıcı) anahtarı olduğunu unutmayın.




2
birkaç düzenli kişi bu Q'yu beğendiklerinden ve siteye hoş bir katkı olacağını düşündükleri için yeniden açıldı.
slm

2
Bence bu iyi bir soru. Yukarıdaki linkler ilginç olsa da, ikisi de sorulan soruyu ele almıyor. Her iki bağlantı da kullanıcı tuşlarında neden gösterilmediğine değil, rastgele bölümün ana bilgisayar anahtarları için ne kadar yararlı olduğu hakkında konuşur.
Patrick,

1
Sadece bir Bilginize, bu soruyu geçen gün OpenSSH posta listesine gönderdim. Şimdiye kadar cırcır böceği. lists.mindrot.org/pipermail/openssh-unix-dev/2014-Temmuz/…
Patrick

Yanıtlar:


55

Bu, bu soruda açıklandı: https://superuser.com/questions/22535/what-is-randomart-produced-by-ssh-keygen . Gerçekten, anahtarı üreten kullanıcı için herhangi bir kullanımı yoktur, bunun yerine doğrulama kolaylığı içindir. Şahsen. şuna bakmak ister misiniz: (Bunun bir ana bilgisayar anahtarı örneği olduğunu lütfen unutmayın)

2048 1b:b8:c2:f4:7b:b5:44:be:fa:64:d6:eb:e6:2f:b8:fa 192.168.1.84 (RSA)
2048 16:27:ac:a5:76:28:2d:36:63:1b:56:4d:eb:df:a6:48 gist.github.com,207.97.227.243 (RSA)
2048 a2:95:9a:aa:0a:3e:17:f4:ac:96:5b:13:3b:c8:0a:7c 192.168.2.17 (RSA)
2048 16:27:ac:a5:76:28:2d:36:63:1b:56:4d:eb:df:a6:48 github.com,207.97.227.239 (RSA)

Ki, bir insan olarak, sizi doğrulamak daha uzun sürebilir, ya da bu:

2048 16:27:ac:a5:76:28:2d:36:63:1b:56:4d:eb:df:a6:48 gist.github.com,207.97.227.243 (RSA)
+--[ RSA 2048]----+
|        .        |
|       + .       |
|      . B .      |
|     o * +       |
|    X * S        |
|   + O o . .     |
|    .   E . o    |
|       . . o     |
|        . .      |
+-----------------+
2048 16:27:ac:a5:76:28:2d:36:63:1b:56:4d:eb:df:a6:48 github.com,207.97.227.239 (RSA)
+--[ RSA 2048]----+
|        .        |
|       + .       |
|      . B .      |
|     o * +       |
|    X * S        |
|   + O o . .     |
|    .   E . o    |
|       . . o     |
|        . .      |
+-----------------+

Http://sanscourier.com/blog/2011/08/31/what-the-what-are-ssh-fingerprint-randomarts-and-why-should-i-care/ adresinden alınan örnekler

Temel olarak, kullanıcının anahtarları tarafından oluşturulan rastgele sanat da aynı şekilde kullanılabilir. Başlangıçta oluşturulan görüntü, anahtarın geçerli görüntüsünden farklıysa, örneğin bir anahtar taşıdıysanız, anahtar büyük olasılıkla değiştirilmiş, bozulmuş veya değiştirilmiş olmalıdır.

Bu, diğer sorudan gerçekten iyi bir okuma: http://users.ece.cmu.edu/~adrian/projects/validation/validation.pdf


1
Bu soruya cevap vermiyor. Sağladığınız bilgiler ana bilgisayar anahtarları hakkındadır. Soru kullanıcı anahtarlarını soruyor.
Patrick,

8
Korkarım ki katılmıyorum, soru şuydu: Bu görüntünün amacı nedir, kullanıcı için herhangi bir değer sağlıyor mu? Ve ben esasen, bahsedilen anahtarı üreten kullanıcının değeri olmadığını söyledi. Bir şeyi özlediysem veya ek örnekler ekleyeyim, vb. Lütfen bana bildirin. Ben burada yeniyim.
Torger597,

1
Katılıyorum, bu ne istendi, kullanıcı anahtarları hakkında, ana bilgisayar anahtarları değil.
Patrick,

3
Örnek olarak ana bilgisayar anahtarlarını kullandım, çünkü temel prensip orada, bir kullanıcı anahtarı örneği oluşturup ekleyeceğim. Giriş için teşekkürler Patrick.
Torger597

13

Bir ana bilgisayar anahtarı ile bir kullanıcı anahtarı arasındaki fark konusunda çok fazla karışıklık var gibi görünüyor.

Size uzaktaki sunucunun kimliğini belirlemek için bir ana bilgisayar anahtarı kullanılır. Uzaktaki bir bilgisayara kimliğinizi belirlemek için
bir kullanıcı anahtarı kullanılır.
Bu tuşlar tipik olarak sadece bir karakter dizisi olarak gösterildiğinden, bir insanın bir bakışta değişip değişmediğini söylemek zor olabilir. Bu, randomart'ın amacıdır. Anahtardaki küçük bir sapma, belirgin şekilde farklı bir rasgele görüntüye neden olur.

Neden umursayacağınızla ilgili olarak, uzaktaki sunucunun kimliğini doğrulamak önemlidir; çünkü birileri trafiğinizi kesebilir ( MITM saldırısı ) ve gönderilen ve alınan her şeyi görüntüleyebilir / işleyebilir.

Yine de kendinizi doğrulamanız önemli değil. "Evet, ben benim" yı onaylamana gerek yok. Bir şekilde kullanıcı anahtarınız değişmiş olsa bile, uzak sunucu size izin verir veya vermez. Bağlantınız gizli konuşma riskinden daha fazla değildir.

 

Öyleyse neden ssh-keygenkullanıcı anahtarınızı oluştururken rastgele resmi gösteriyor ?
Çünkü rastgeleart kodu ssh-keygen [grunk@cvs.openbsd.org 2008/06/11 21:01:35] ile tanıştırıldığında , aynı şekilde ana bilgisayar anahtarları ve kullanıcı anahtarları da üretildi. Ekstra bilgi çıkışı, bir kullanıcı anahtarı için herhangi bir kullanım olmayabilir, ancak zarar vermez (potansiyel olarak karışıklığa yol açması dışında).

Şimdi, "randomart kodu girildiğinde" dediğimde, bunun nedeni kodun o zamandan beri değişmesiydi. Bugünlerde çoğu dağıtım ssh-keygen -A, yeni bir özellik olan ana bilgisayar anahtarlarını üretmek için kullanılıyor . Bu özellik çok sayıda farklı tipte anahtar üretir (rsa, dsa, ecdsa) ve rastgele bir resim göstermez. Eski yöntem, ana bilgisayar anahtarlarını üretmek için hala kullanılabilir, ancak genellikle değil. Bu yüzden şimdi eski yöntem sadece kullanıcı anahtarları için kullanılıyor, fakat randomart özelliği kalıyor.


"Evet, ben benim" yı onaylamana gerek yok. evet, "evet, bana benziyorum" demek biraz daha kesin olsa da. Çok sayıda anahtara sahipseniz, doğru olanı kullandığınızdan emin olmak için ek geri bildirim almak isteyebilirsiniz.
Alois Mahdal,

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.