vzな尺のblog

〜まだ 1 epoch 目〜

ssh-keygen(sshキー)

OpenSSHのの備忘録です。 ※ちなみにWin10からは標準でOpenSSHが使えるようになってます。

キーペアの作成

以下の例ではssh-keygenコマンドに

  • -t rsaRSA暗号化方式
  • -b 4096 で鍵長4096ビット
  • -C "Your Commen" でコメント指定
  • -N "your_passphrase" でパスフレーズ指定
  • -f ~/.ssh/your-sshkey でファイル名を指定

オプション指定をしています。
よくみるのは、RSA 2048bit 、コメント=自分のメアドでしょうか・・・
オプションを指定しなければインタラクティブに聞いてくるが、暗号は「 rsa 2048bit」、コメントは「user@host」になります。

<BR>
# キーペア作成
$ ssh-keygen -t rsa -b 4096 -C "Your Comment" -N "your_passphrase" -f ~/.ssh/your-sshkey

# 生成されたファイルを確認
# 拡張子なしが秘密鍵。拡張子.pubが公開鍵。
$ ls -l ~/.ssh
-rw------- 1 user user 3326 Sep 24 08:21 your-sshkey
-rw-r--r-- 1 user user  738 Sep 24 08:21 your-sshkey.pub

※ちなみに、プライベートキーの中身を見てみるとTXT形式(BASE64符号化)されているので、一般的にいう.pem形式というやつですね。

フィンガープリントの表示(-lオプション)


SHA256 / BASE64形式 ※デフォルト
$ ssh-keygen -l -f ~/.ssh/your-sshkey
4096 SHA256:0Lel8E/1NRdwkf4gxi7Nc1thjOprL+hbL71yRDYkA+I Your Comment (RSA)


MD5 / HEX 形式(-Eオプションで形式md5を指定) ※昔はこれがデフォルトだった。
$ ssh-keygen -l -E md5 -f ~/.ssh/your-sshkey
4096 MD5:68:6a:3d:36:75:83:3d:5c:26:b8:f0:5c:de:5f:8a:bd Your Comment (RSA)


Visual表示は、-vオプションを指定
$ ssh-keygen -l -v -f ~/.ssh/your-sshkey
4096 SHA256:0Lel8E/1NRdwkf4gxi7Nc1thjOprL+hbL71yRDYkA+I Your Comment (RSA)
+---[RSA 4096]----+
|       . ..  ..+o|
|      ...  o ....|
|      .Eo ..= =.o|
|       . + ++*.*+|
|        S +==.o.+|
|          .+=.. o|
|          oo+o o |
|         ..*.o.  |
|        .oo.B+.  |
+----[SHA256]-----+


パスフレーズの確認

ssh-keygenコマンドに、

-yオプションだけでも、インタラクティブに聞いてくるのでOK.

$ ssh-keygen -y  -f ~/.ssh/your-sshkey
Enter passphrase:<パスフレーズ入力>
ssh-rsa AAAAB3...... 
# 成功すると上記のように公開鍵が表示される。
# また終了ステータス(環境変数 $? でも確認できる)
$ echo $?
True

# 失敗するとエラーメッセージがでる
Load key "your-sshkey": incorrect passphrase supplied to decrypt private key
$ echo $?
False

パスフレーズの変更

ssh-keygenコマンドに、

-p オプションだけでも、インタラクティブに聞いてくるのでOK。

$ ssh-keygen -p -P "old_passphrase" -N "new_passphrase" -f ~/.ssh/your-sshkey


暗号強度について

dsaは使っちゃダメとか、rsaももう古いとか、ed25519がよいなど聞きますが、暗号アルゴリズムとか苦手なのでよくわからないのが正直なところです。現VerのOpenSSHだとデフォルトでRSA 2048bitになっていて、実際に使われているのもよく見ます。少なくともこれ以下の鍵長だとまずそうですね・・・。 あと、以下のようなニュースもきになります。これ2年前ですね・・・。今もっと進んじゃってるのかな・・・ www.technologyreview.jp