ssh-keygen(sshキー)
OpenSSHのの備忘録です。
※ちなみにWin10からは標準でOpenSSHが使えるようになってます。
キーペアの作成
以下の例ではssh-keygenコマンドに
- -t rsa でRSA暗号化方式
- -b 4096 で鍵長4096ビット
- -C "Your Commen" でコメント指定
- -N "your_passphrase" でパスフレーズ指定
- -f ~/.ssh/your-sshkey でファイル名を指定
オプション指定をしています。
よくみるのは、RSA 2048bit 、コメント=自分のメアドでしょうか・・・
オプションを指定しなければインタラクティブに聞いてくるが、暗号は「 rsa 2048bit」、コメントは「user@host」になります。
<BR> # キーペア作成 $ ssh-keygen -t rsa -b 4096 -C "Your Comment" -N "your_passphrase" -f ~/.ssh/your-sshkey # 生成されたファイルを確認 # 拡張子なしが秘密鍵。拡張子.pubが公開鍵。 $ ls -l ~/.ssh -rw------- 1 user user 3326 Sep 24 08:21 your-sshkey -rw-r--r-- 1 user user 738 Sep 24 08:21 your-sshkey.pub
※ちなみに、プライベートキーの中身を見てみるとTXT形式(BASE64符号化)されているので、一般的にいう.pem
形式というやつですね。
フィンガープリントの表示(-l
オプション)
SHA256 / BASE64形式 ※デフォルト
$ ssh-keygen -l -f ~/.ssh/your-sshkey 4096 SHA256:0Lel8E/1NRdwkf4gxi7Nc1thjOprL+hbL71yRDYkA+I Your Comment (RSA)
MD5 / HEX 形式(-E
オプションで形式md5
を指定) ※昔はこれがデフォルトだった。
$ ssh-keygen -l -E md5 -f ~/.ssh/your-sshkey 4096 MD5:68:6a:3d:36:75:83:3d:5c:26:b8:f0:5c:de:5f:8a:bd Your Comment (RSA)
Visual表示は、-v
オプションを指定
$ ssh-keygen -l -v -f ~/.ssh/your-sshkey 4096 SHA256:0Lel8E/1NRdwkf4gxi7Nc1thjOprL+hbL71yRDYkA+I Your Comment (RSA) +---[RSA 4096]----+ | . .. ..+o| | ... o ....| | .Eo ..= =.o| | . + ++*.*+| | S +==.o.+| | .+=.. o| | oo+o o | | ..*.o. | | .oo.B+. | +----[SHA256]-----+
パスフレーズの確認
ssh-keygenコマンドに、
-yオプションだけでも、インタラクティブに聞いてくるのでOK.
$ ssh-keygen -y -f ~/.ssh/your-sshkey Enter passphrase:<パスフレーズ入力> ssh-rsa AAAAB3...... # 成功すると上記のように公開鍵が表示される。 # また終了ステータス(環境変数 $? でも確認できる) $ echo $? True # 失敗するとエラーメッセージがでる Load key "your-sshkey": incorrect passphrase supplied to decrypt private key $ echo $? False
パスフレーズの変更
ssh-keygenコマンドに、
- -p で、パスフレーズの変更を指定
- -P "old_passphrase" で古いパスフレーズを指定
- -N "new_passphrase" で新しいパスフレーズを指定
- -f ~/.ssh/your-sshkey でファイル名を指定
-p オプションだけでも、インタラクティブに聞いてくるのでOK。
$ ssh-keygen -p -P "old_passphrase" -N "new_passphrase" -f ~/.ssh/your-sshkey
暗号強度について
dsaは使っちゃダメとか、rsaももう古いとか、ed25519がよいなど聞きますが、暗号アルゴリズムとか苦手なのでよくわからないのが正直なところです。現VerのOpenSSHだとデフォルトでRSA 2048bitになっていて、実際に使われているのもよく見ます。少なくともこれ以下の鍵長だとまずそうですね・・・。 あと、以下のようなニュースもきになります。これ2年前ですね・・・。今もっと進んじゃってるのかな・・・ www.technologyreview.jp