it-swarm-fr.com

Qu'est-ce que randomart produit par ssh-keygen?

Lorsque vous générez une clé, vous obtenez "randomart" à partir de versions plus récentes d'OpenSSH. Je suis incapable de trouver une explication de pourquoi, et pourquoi je suis censé l'utiliser.

Generating public/private rsa key pair.
The key fingerprint is:
05:1e:1e:c1:ac:b9:d1:1c:6a:60:ce:0f:77:6c:78:47 [email protected]
The key's randomart image is:
+--[ RSA 2048]----+
|       o=.       |
|    o  o++E      |
|   + . Ooo.      |
|    + O B..      |
|     = *S.       |
|      o          |
|                 |
|                 |
|                 |
+-----------------+

Generating public/private dsa key pair.
The key fingerprint is:
b6:dd:b7:1f:bc:25:31:d3:12:f4:92:1c:0b:93:5f:4b [email protected]
The key's randomart image is:
+--[ DSA 1024]----+
|            o.o  |
|            .= E.|
|             .B.o|
|              .= |
|        S     = .|
|       . o .  .= |
|        . . . oo.|
|             . o+|
|              .o.|
+-----------------+
340
dlamblin

Le randomart se veut un moyen plus simple pour les humains de valider les clés.

La validation se fait normalement en comparant des chaînes sans signification (c’est-à-dire la représentation hexadécimale de l’empreinte digitale de la clé), que les humains comparent plutôt lentement et de manière imprécise. Randomart remplace ceci par des images structurées plus rapides et plus faciles à comparer.

Cet article "Visualisation de hachage: une nouvelle technique pour améliorer la sécurité dans le monde réel", Perrig A. et Song D., 1999, Atelier international sur les techniques cryptographiques et le commerce électronique (CrypTEC '99) " explique certaines techniques et avantages.

253
mark

Ajouter

-o VisualHostKey=yes 

à votre ligne de commande, ou mettez

VisualHostKey=yes 

dans votre ~/.ssh/config.

Vous verrez le randomart de la boîte que vous vous connectez. Si vous vous connectez un jour et que l'art aléatoire est différent (votre cerveau devrait aller Hé! Je ne le reconnais pas!), Alors peut-être que quelqu'un pirate, ou quelque chose du genre.

L'idée est que vous n'avez pas consciemment besoin de le faire. L'une des clés de l'une de nos machines ressemble un peu à un papillon. Un autre ressemble un peu à une bite (oui, notre cerveau est primitif). Si vous vous connectez tous les jours, vous vous habituerez aux images sans même essayer.

189
Paul Murray

Annonce officielle: OpenSSH 5.1 disponible

Introduisez une empreinte digitale SSH expérimentale ASCII Visualisation sur ssh (1) et ssh-keygen (1). L’affichage des empreintes visuelles est contrôlé par une nouvelle option "VisualHostKey" de ssh_config (5). Le but est de rendre les clés d’hôte SSH sous une forme visuelle permettant un rappel et un rejet faciles des clés d’hôte modifiées. Cette technique est inspirée des schémas de visualisation graphique du hachage connus sous le nom d '"art aléatoire" [*] "et des réflexions de Dan Kaminsky au 23C3 à Berlin.

La visualisation d'empreintes digitales est actuellement désactivée par défaut, car l'algorithme utilisé pour générer l'art aléatoire est toujours sujet à modification.

37
Nick

Vous pouvez trouver une analyse approfondie de la structure aléatoire de VisualHostKey dans le court article The Drunken Bishop .

26
loomi

Le Randomart affiché après la génération ssh-keygen est une représentation graphique de la clé que vous venez de générer. Ensuite:

  • le Randomart est pas vraiment utile pour l'utilisateur qui a généré la clé ssh

  • le Randomart peut être très utile pour un utilisateur utilisant une connexion via SSH vers se connecter souvent au même serveur : s’il ajoute le "-o VisualHostKey = yes "option à sa commande SSH:

    ssh [email protected] -o VisualHostKey = yes

le Randomart correspondant à la clé publique du serveur sera affiché.

Pour voir un exemple, vous pouvez essayer:

ssh [email protected] -o VisualHostKey = yes

Dans le cas où l'utilisateur se connecte souvent au même serveur, il peut vérifier rapidement et facilement s'il reconnaît le Randomart correspondant à la clé publique de ce serveur ou non. Ce qui est plus facile et plus rapide que de vérifier la chaîne de caractères de la clé publique elle-même!

11
tmangin