Mục đích của hình ảnh ngẫu nhiên cho các khóa SSH của người dùng (không lưu trữ) là gì?


95

Việc ssh-keygentạo đầu ra sau đây:

The key fingerprint is:
dd:e7:25:b3:e2:5b:d9:f0:25:28:9d:50:a2:c9:44:97 user@machine
The key's randomart image is:
+--[ RSA 2048]----+
|       .o o..    |
|       o +Eo     |
|        + .      |
|         . + o   |
|        S o = * o|
|           . o @.|
|            . = o|
|           . o   |
|            o.   |
+-----------------+

Mục đích của hình ảnh này là gì, nó có cung cấp bất kỳ giá trị nào cho người dùng không? Lưu ý đây là khóa máy khách (người dùng), không phải khóa máy chủ.



Google là bạn của bạn: sanscourier.com/blog/2011/08/31/ trên
mạng

2
mở lại vì một số nhà quản lý thích Q này và nghĩ rằng nó sẽ là một bổ sung tốt đẹp cho trang web.
slm

2
Tôi nghĩ rằng đây là một câu hỏi hay. Mặc dù các liên kết ở trên rất thú vị, nhưng không ai trong số họ giải quyết câu hỏi đang được hỏi. Cả hai liên kết này đều nói về tính hữu ích của Randomart đối với khóa máy chủ, chứ không phải tại sao nó được hiển thị cho khóa người dùng.
Patrick

1
Chỉ là một FYI, tôi đã gửi câu hỏi này đến danh sách gửi thư OpenSSH vào một ngày khác. Cho đến nay, dế. lists.mindrot.org/pipermail/openssh-unix-dev/2014-July/...
Patrick

Câu trả lời:


55

Điều này đã được giải thích trong câu hỏi này: https://superuser.com/questions/22535/what-is-randomart-produced-by-ssh-keygen . Nó thực sự không có bất kỳ việc sử dụng nào cho người dùng tạo khóa, thay vào đó để dễ xác thực. Cá nhân. bạn có muốn xem cái này không: (Xin lưu ý đây là ví dụ về khóa máy chủ)

2048 1b:b8:c2:f4:7b:b5:44:be:fa:64:d6:eb:e6:2f:b8:fa 192.168.1.84 (RSA)
2048 16:27:ac:a5:76:28:2d:36:63:1b:56:4d:eb:df:a6:48 gist.github.com,207.97.227.243 (RSA)
2048 a2:95:9a:aa:0a:3e:17:f4:ac:96:5b:13:3b:c8:0a:7c 192.168.2.17 (RSA)
2048 16:27:ac:a5:76:28:2d:36:63:1b:56:4d:eb:df:a6:48 github.com,207.97.227.239 (RSA)

Mà, là một con người, bạn sẽ mất nhiều thời gian hơn để xác minh, hoặc điều này:

2048 16:27:ac:a5:76:28:2d:36:63:1b:56:4d:eb:df:a6:48 gist.github.com,207.97.227.243 (RSA)
+--[ RSA 2048]----+
|        .        |
|       + .       |
|      . B .      |
|     o * +       |
|    X * S        |
|   + O o . .     |
|    .   E . o    |
|       . . o     |
|        . .      |
+-----------------+
2048 16:27:ac:a5:76:28:2d:36:63:1b:56:4d:eb:df:a6:48 github.com,207.97.227.239 (RSA)
+--[ RSA 2048]----+
|        .        |
|       + .       |
|      . B .      |
|     o * +       |
|    X * S        |
|   + O o . .     |
|    .   E . o    |
|       . . o     |
|        . .      |
+-----------------+

Ví dụ được lấy từ http://sanscourier.com/blog/2011/08/31/what-the-what-are-ssh-fingerprint-randomarts-and-why-should-i-care/

Về cơ bản, nghệ thuật ngẫu nhiên được tạo bởi các khóa của người dùng cũng có thể được sử dụng theo cách tương tự. Nếu hình ảnh được tạo ban đầu khác với hình ảnh hiện tại của khóa, ví dụ nếu bạn đã di chuyển một phím, thì khóa đó có thể đã bị giả mạo, bị hỏng hoặc bị thay thế.

Điều này, từ câu hỏi khác là một bài đọc thực sự tốt: http://users.ece.cmu.edu/~adrian/projects/validation/validation.pdf


1
Điều này không trả lời câu hỏi. Thông tin bạn đang cung cấp là về các khóa máy chủ. Câu hỏi là hỏi về khóa người dùng.
Patrick

8
Tôi sợ rằng tôi không đồng ý, câu hỏi là: mục đích của hình ảnh này là gì, nó có cung cấp bất kỳ giá trị nào cho người dùng không? Và tôi đã trả lời rằng về cơ bản nó không có giá trị cho người dùng tạo khóa nói. Nếu tôi bỏ lỡ điều gì đó hoặc bạn muốn tôi thêm các ví dụ khác, v.v., vui lòng cho tôi biết. Tôi là người mới ở đây.
Torger597

1
Tôi đồng ý, đó là những gì đã được hỏi, về khóa người dùng , không phải khóa máy chủ.
Patrick

3
Tôi đã sử dụng các khóa máy chủ làm ví dụ, vì nguyên tắc cơ bản là có, mặc dù tôi sẽ tạo và thêm một ví dụ về khóa người dùng. Cảm ơn bạn đã đóng góp, Patrick.
Torger597

13

Dường như có rất nhiều nhầm lẫn về sự khác biệt giữa khóa máy chủ và khóa người dùng.

Khóa máy chủ được sử dụng để thiết lập danh tính của máy chủ từ xa cho bạn.
Khóa người dùng được sử dụng để thiết lập danh tính của bạn với máy chủ từ xa.
Vì các phím này thường được hiển thị dưới dạng một chuỗi các ký tự, nên con người có thể khó nhận biết trong nháy mắt liệu chúng có thay đổi hay không. Đây là mục đích của Randomart. Một sai lệch nhỏ trong khóa sẽ gây ra hình ảnh ngẫu nhiên khác nhau đáng kể.

Về lý do tại sao bạn quan tâm, điều quan trọng là phải xác minh danh tính của máy chủ từ xa, vì có thể ai đó có thể chặn lưu lượng truy cập của bạn ( tấn công MITM ) và xem / thao tác mọi thứ được gửi và nhận.

Nó không quan trọng để xác minh chính mình mặc dù. Bạn không cần phải xác nhận "yup, tôi là tôi". Ngay cả khi bằng cách nào đó, khóa người dùng của bạn đã thay đổi, máy chủ từ xa sẽ cho phép bạn vào hoặc không. Kết nối của bạn không có nguy cơ nghe lén cao hơn.

 

Vậy tại sao sau đó lại ssh-keygenhiển thị hình ảnh ngẫu nhiên khi bạn tạo khóa người dùng của mình ?
Bởi vì khi mã ngẫu nhiên được đưa vào ssh-keygen [grunk@cvs.openbsd.org 2008/06/11 21:01:35] , khóa máy chủ và khóa người dùng được tạo theo cùng một cách chính xác. Đầu ra thông tin bổ sung có thể không được sử dụng cho khóa người dùng, nhưng nó không bị tổn thương (ngoài khả năng gây nhầm lẫn).

Bây giờ, khi tôi nói "khi mã ngẫu nhiên được giới thiệu", điều này là do mã đã thay đổi. Ngày nay, hầu hết các bản phân phối sử dụng ssh-keygen -Ađể tạo khóa máy chủ, đây là một tính năng mới. Tính năng này tạo ra nhiều loại khóa khác nhau (rsa, dsa, ecdsa) và nó không hiển thị hình ảnh ngẫu nhiên. Phương thức cũ vẫn có thể được sử dụng để tạo khóa máy chủ, nhưng nói chung là không. Vì vậy, bây giờ phương thức cũ chỉ được sử dụng cho khóa người dùng, nhưng tính năng ngẫu nhiên vẫn còn.


Bạn không cần phải xác nhận "yup, tôi là tôi". vâng, mặc dù sẽ chính xác hơn một chút khi nói "yup, tôi trông giống tôi". Nếu bạn có nhiều khóa, bạn có thể muốn có thêm thông tin phản hồi để đảm bảo bạn đang sử dụng đúng khóa.
Alois Mahdal

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.