Apa tujuan dari gambar bagian acak untuk kunci SSH pengguna (bukan host)?

95

The ssh-keygenmenghasilkan output sebagai berikut:

The key fingerprint is:
dd:e7:25:b3:e2:5b:d9:f0:25:28:9d:50:a2:c9:44:97 user@machine
The key's randomart image is:
+--[ RSA 2048]----+
|       .o o..    |
|       o +Eo     |
|        + .      |
|         . + o   |
|        S o = * o|
|           . o @.|
|            . = o|
|           . o   |
|            o.   |
+-----------------+

Apa tujuan dari gambar ini, apakah itu memberikan nilai bagi pengguna? Perhatikan ini adalah kunci klien (pengguna), bukan kunci host.

ssh  openssh  ssh-keygen 
syntagma
sumber
12
garethTheRed
Google adalah teman Anda: sanscourier.com/blog/2011/08/31/…
Networker
2
dibuka kembali karena beberapa pelanggan tetap menyukai Q ini dan berpikir itu akan menjadi tambahan yang bagus untuk situs ini.
slm
2
Saya pikir ini adalah pertanyaan yang bagus. Meskipun tautan di atas menarik, tidak ada yang menjawab pertanyaan yang diajukan. Kedua tautan tersebut berbicara tentang kegunaan randomart untuk kunci host, bukan mengapa itu ditampilkan untuk kunci pengguna.
Patrick
1
Hanya FYI, saya mengirim pertanyaan ini ke mailing list OpenSSH tempo hari. Sejauh ini, jangkrik. lists.mindrot.org/pipermail/openssh-unix-dev/2014-July/…
Patrick

Jawaban:

55

Ini dijelaskan dalam pertanyaan ini: https://superuser.com/questions/22535/what-is-randomart-produced-by-ssh-keygen . Itu tidak benar-benar ada gunanya bagi pengguna menghasilkan kunci, melainkan untuk kemudahan validasi. Sendiri. Anda lebih suka melihat ini: (Harap perhatikan ini adalah contoh kunci host)

2048 1b:b8:c2:f4:7b:b5:44:be:fa:64:d6:eb:e6:2f:b8:fa 192.168.1.84 (RSA)
2048 16:27:ac:a5:76:28:2d:36:63:1b:56:4d:eb:df:a6:48 gist.github.com,207.97.227.243 (RSA)
2048 a2:95:9a:aa:0a:3e:17:f4:ac:96:5b:13:3b:c8:0a:7c 192.168.2.17 (RSA)
2048 16:27:ac:a5:76:28:2d:36:63:1b:56:4d:eb:df:a6:48 github.com,207.97.227.239 (RSA)

Yang, sebagai manusia, Anda perlu waktu lebih lama untuk memverifikasi, atau ini:

2048 16:27:ac:a5:76:28:2d:36:63:1b:56:4d:eb:df:a6:48 gist.github.com,207.97.227.243 (RSA)
+--[ RSA 2048]----+
|        .        |
|       + .       |
|      . B .      |
|     o * +       |
|    X * S        |
|   + O o . .     |
|    .   E . o    |
|       . . o     |
|        . .      |
+-----------------+
2048 16:27:ac:a5:76:28:2d:36:63:1b:56:4d:eb:df:a6:48 github.com,207.97.227.239 (RSA)
+--[ RSA 2048]----+
|        .        |
|       + .       |
|      . B .      |
|     o * +       |
|    X * S        |
|   + O o . .     |
|    .   E . o    |
|       . . o     |
|        . .      |
+-----------------+

Contoh ditarik dari http://sanscourier.com/blog/2011/08/31/what-the-what-are-ssh-fingerprint-randomarts-and-why-should-i-care/

Pada dasarnya, seni acak yang dihasilkan oleh kunci pengguna juga dapat digunakan dengan cara yang sama. Jika gambar yang dihasilkan pada awalnya berbeda dari gambar kunci saat ini, misalnya jika Anda telah memindahkan kunci, maka kunci tersebut kemungkinan telah dirusak, rusak, atau diganti.

Ini, dari pertanyaan lain adalah bacaan yang sangat bagus: http://users.ece.cmu.edu/~adrian/projects/validation/validation.pdf

Torger597
sumber
1
Ini tidak menjawab pertanyaan. Informasi yang Anda berikan adalah tentang kunci host. Pertanyaannya adalah menanyakan tentang kunci pengguna.
Patrick
8
Saya khawatir saya tidak setuju, pertanyaannya adalah: Apa tujuan gambar ini, apakah itu memberikan nilai bagi pengguna? Dan saya menjawab bahwa pada dasarnya itu tidak memiliki nilai bagi pengguna menghasilkan kata kunci. Jika saya melewatkan sesuatu atau Anda ingin saya menambahkan contoh tambahan, dll, beri tahu saya. Saya baru disini.
Torger597
1
Saya setuju, itulah yang ditanyakan, tentang kunci pengguna , bukan kunci host.
Patrick
3
Saya menggunakan kunci host sebagai contoh, karena prinsip dasarnya ada di sana, meskipun saya akan membuat dan menambahkan contoh kunci pengguna. Terima kasih atas masukannya, Patrick.
Torger597
13

Tampaknya ada banyak kebingungan tentang perbedaan antara kunci host, dan kunci pengguna.

Kunci host digunakan untuk menetapkan identitas host jarak jauh bagi Anda.
Kunci pengguna digunakan untuk menetapkan identitas diri Anda pada host jarak jauh.
Karena tombol-tombol ini biasanya ditampilkan hanya sebagai urutan karakter, mungkin sulit bagi manusia untuk mengetahui apakah mereka telah berubah. Ini adalah tujuan dari randomart. Penyimpangan kecil pada kunci akan menyebabkan gambar acak yang berbeda secara signifikan.

Mengenai alasan Anda peduli, penting untuk memverifikasi identitas host jarak jauh, karena ada kemungkinan seseorang dapat mencegat lalu lintas Anda ( serangan MITM ), dan melihat / memanipulasi semua yang dikirim dan diterima.

Namun tidak penting untuk memverifikasi diri sendiri. Anda tidak perlu mengkonfirmasi "ya, saya saya". Bahkan jika entah bagaimana kunci pengguna Anda telah berubah, server jarak jauh akan membiarkan Anda masuk, atau itu tidak akan terjadi. Koneksi Anda tidak berisiko lebih tinggi untuk menguping.

 

Jadi mengapa kemudian ssh-keygenmenampilkan gambar bagian acak ketika Anda menghasilkan kunci pengguna Anda ?
Karena ketika kode randomart diperkenalkan ke ssh-keygen [grunk@cvs.openbsd.org 2008/06/11 21:01:35] , kunci host dan kunci pengguna dihasilkan dengan cara yang sama persis. Output informasi tambahan mungkin tidak ada gunanya untuk kunci pengguna, tetapi tidak ada salahnya (selain berpotensi menyebabkan kebingungan).

Sekarang, ketika saya mengatakan "ketika kode randomart diperkenalkan", ini karena kode tersebut telah berubah. Saat ini, sebagian besar distro digunakan ssh-keygen -Auntuk menghasilkan kunci host, yang merupakan fitur baru. Fitur ini menghasilkan berbagai jenis kunci (rsa, dsa, ecdsa), dan tidak menunjukkan gambar bagian acak. Metode lama masih bisa digunakan untuk menghasilkan kunci host, tetapi umumnya tidak. Jadi sekarang metode lama hanya digunakan untuk kunci pengguna, tetapi fitur randomart tetap.

Patrick
sumber
Anda tidak perlu mengonfirmasi "ya, saya saya". ya, meskipun akan sedikit lebih tepat untuk mengatakan "yup, aku terlihat seperti aku". Jika Anda memiliki banyak kunci, Anda mungkin ingin memiliki umpan balik tambahan untuk memastikan Anda menggunakan yang benar.
Alois Mahdal
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.