Frage Was ist randomart von ssh-keygen?


Wenn Sie einen Schlüssel generieren, erhalten Sie "randomart" von neueren Versionen von OpenSSH. Ich kann keine Erklärung dafür finden, warum und wofür ich es verwenden soll.

Generating public/private rsa key pair.
The key fingerprint is:
05:1e:1e:c1:ac:b9:d1:1c:6a:60:ce:0f:77:6c:78:47 you@i
The key's randomart image is:
+--[ RSA 2048]----+
|       o=.       |
|    o  o++E      |
|   + . Ooo.      |
|    + O B..      |
|     = *S.       |
|      o          |
|                 |
|                 |
|                 |
+-----------------+

Generating public/private dsa key pair.
The key fingerprint is:
b6:dd:b7:1f:bc:25:31:d3:12:f4:92:1c:0b:93:5f:4b you@i
The key's randomart image is:
+--[ DSA 1024]----+
|            o.o  |
|            .= E.|
|             .B.o|
|              .= |
|        S     = .|
|       . o .  .= |
|        . . . oo.|
|             . o+|
|              .o.|
+-----------------+

324
2017-08-13 22:37


Ursprung




Antworten:


Der Randomart soll eine einfachere Möglichkeit für Menschen sein, Schlüssel zu validieren.

Die Validierung erfolgt normalerweise durch einen Vergleich von bedeutungslosen Zeichenfolgen (d. H. Die hexadezimale Darstellung des Schlüssel-Fingerabdrucks), die beim Vergleich ziemlich langsam und ungenau sind. Randomart ersetzt dies durch strukturierte Bilder, die schneller und einfacher zu vergleichen sind.

Dieses Papier "Hash-Visualisierung: eine neue Technik zur Verbesserung der Sicherheit in der realen Welt", Perrig A. und Song D., 1999, Internationaler Workshop über kryptographische Techniken und E-Commerce (CrypTEC '99) " erklärt einige Techniken und Vorteile.


241
2017-08-13 22:47



Wenn Sie nur erklären könnten, warum Menschen Schlüssel validieren, könnte das helfen, denn ehrlich gesagt tendiere ich dazu, einfach meinen öffentlichen Schlüssel in meine authorized_keys-Datei zu legen und damit fertig zu sein. - dlamblin
@dlamblin: Du würdest deine eigenen Schlüssel damit generell nicht verifizieren. Es wäre jedoch nützlich, den Host-Schlüssel eines entfernten Rechners zu überprüfen. Eine Idee ist, dass Sie, wenn Sie sich von verschiedenen Orten aus an einem bestimmten Rechner anmelden (oder Sie den Schlüssel nicht in Ihrer Datei "known_hosts" speichern), die "Kunst" des Host-Schlüssels erkennen können. Wenn sich diese Kunst plötzlich ändert, solltest du vorsichtig sein, dein Passwort einzugeben, da dies bedeuten kann, dass ein Man-in-the-Middle-Angriff auf deiner Verbindung stattfindet (oder dass der Host gerade seine Schlüssel für andere geändert hat) Grund). - Chris Johnsen
Uhm, wann konnte ich die Gastgeber Kunst sehen? (Ich glaube, ich habe es nie getan.) Ich habe nur ein solches Bild gesehen, nachdem ich mein Schlüsselpaar erzeugt hatte. Und zu was müsste ich es vergleichen, um "plötzliche" Veränderungen zu erkennen. - DerMike
Ich wette, der Randomart folgt einem ähnlichen Prinzip wie Hashes für Integritätsprüfungen, nämlich: Ein kleiner Unterschied in der Eingabe erzeugt eine völlig andere Ausgabe. Das würde bedeuten, dass Sie sich nur die grobe Form des erwarteten Zufalls merken müssen, um zu bemerken, dass etwas nicht stimmt. Natürlich funktioniert das in der Praxis nicht, wenn SSH et al Ihnen nicht die zufällige Art des Hosts zeigen, mit dem Sie sich verbinden (sie sollten dies auch tun, wenn der Host bekannt ist). - Alan Plum
Ich stelle mir vor, dass diese am nützlichsten sind, wenn öffentliche Schlüssel nach Abschluss der Kopie persönlich für eine Integritätsprüfung ausgetauscht werden. - jordanpg


Hinzufügen

-o VisualHostKey=yes 

zu deiner Befehlszeile oder setzen

VisualHostKey=yes 

in deinem ~/.ssh/config.

Sie sehen den Zufallsgenerator der Box, an der Sie sich anmelden. Wenn du dich eines Tages anmeldest und die zufällige Kunst anders ist (dein Gehirn sollte gehen, Hey! Ich erkenne das nicht!), Dann hackt vielleicht jemand oder so etwas.

Die Idee ist, dass Sie es nicht bewusst tun müssen. Einer der Schlüssel für eine unserer Maschinen sieht irgendwie wie ein Schmetterling aus. Ein anderer sieht irgendwie wie ein Schwanz aus (ja, unser Gehirn ist primitiv). Wenn Sie sich jeden Tag anmelden, gewöhnen Sie sich an die Bilder, ohne es zu versuchen.


173
2018-01-05 00:49



Nicht gut. Wenn Sie sich vorher angemeldet haben, ist es für den Computer viel besser, die Erkennung für Sie mit einem gespeicherten Fingerabdruck durchzuführen. Die Funktion soll nur für die Anmeldung bei neuen Maschinen verwendet werden. - Nicholas Wilson
Viel zu spät zu dieser Antwort, aber es lohnt sich, darauf hinzuweisen, dass dies immens nützlich wäre, wenn Sie sich von einer anderen Maschine aus einloggen würden, die nicht alle Ihre bekannten_Hosts hat. In diesem Fall wäre der Computer nicht in der Lage zu überprüfen, ob er bekannt ist, aber der Benutzer sollte sehen können "Das sieht anders aus als normal!" und abbrechen. - Xkeeper
Wenn Ihr Computer die Erkennung erkennt, ist er anfällig dafür, dass die Hosts Ihres eigenen Computers gehackt werden. Ähnlich wie Sie sollten nicht Ihren Computer Passwörter für Sie eingeben, wäre es besser, den Host-Schlüssel selbst zu validieren. - Marko Topolnik


Offizielle Ankündigung: OpenSSH 5.1 veröffentlicht

Einführung eines experimentellen SSH-Fingerabdrucks   ASCII Visualisierung zu ssh (1) und   ssh-keygen (1). Visuelle Fingerabdrücke   Display wird von einem neuen gesteuert   ssh_config (5) Option "VisualHostKey".   Die Absicht besteht darin, SSH-Hostschlüssel zu rendern   in einer visuellen Form, die zugänglich ist   leichte Erinnerung und Ablehnung von Veränderungen   Hostschlüssel. Diese Technik inspiriert von   die grafische Hash-Visualisierung   Schemata bekannt als "zufällige Kunst [*]", und   von Dan Kaminskys Gedanken an 23C3 in   Berlin.

Fingerabdruck-Visualisierung in ist   Derzeit standardmäßig deaktiviert, wie der   Algorithmus zum Erzeugen des Zufalls   Kunst unterliegt noch Änderungen.


33
2017-08-13 22:48



Dieser letzte Satz ist in der Tat wissenswert. OpenBSD Journal @ Undeadly.org Informationen über die Veröffentlichung von OpenSSH 6.8 "Bitte beachten Sie, dass die visuellen Host-Schlüssel auch anders sein werden." Neuere Software zeigt andere Bilder als die Bilder der älteren Software. - TOOGAM


Eine detaillierte Analyse des VisualHostKey randomart finden Sie in dem kurzen Paper Der betrunkene Bischof.


24
2017-09-04 11:35





Der Randomart, der nach der ssh-keygen-Generierung angezeigt wird, ist eine grafische Darstellung des soeben generierten Schlüssels. Dann:

  • die Randomart ist nicht Ja wirklich sinnvoll für die Benutzer, der den SSH-Schlüssel generiert hat 

  • die Randomart kann sehr sein sinnvoll für einen Benutzer, der eine Verbindung über SSH zu oft verbinden zum gleicher Server: wenn er seinem SSH-Befehl die Option "-o VisualHostKey = yes" hinzugefügt hat:

    ssh benutzer@domainname.com -o VisualHostKey = Ja

Der Randomart, der dem öffentlichen Schlüssel des Servers entspricht, wird angezeigt.

Um ein Beispiel zu sehen, können Sie versuchen:

ssh git@github.com -o VisualHostKey = Ja

In dem Fall, in dem der Benutzer häufig eine Verbindung zu demselben Server herstellt, kann er dies tun schnell und einfach überprüfen, ob er den Randomart erkennt entspricht dem öffentlichen Schlüssel von diesem Server oder nicht. Was ist einfacher und schneller als die Zeichenkette des öffentlichen Schlüssels selbst zu überprüfen!


8
2018-05-04 13:30