Question Qu'est-ce que randomart produit par ssh-keygen?


Lorsque vous générez une clé, vous obtenez "randomart" à partir des nouvelles versions d'OpenSSH. Je suis incapable de trouver une explication de pourquoi et de ce que je suis censé utiliser pour cela.

Generating public/private rsa key pair.
The key fingerprint is:
05:1e:1e:c1:ac:b9:d1:1c:6a:60:ce:0f:77:6c:78:47 you@i
The key's randomart image is:
+--[ RSA 2048]----+
|       o=.       |
|    o  o++E      |
|   + . Ooo.      |
|    + O B..      |
|     = *S.       |
|      o          |
|                 |
|                 |
|                 |
+-----------------+

Generating public/private dsa key pair.
The key fingerprint is:
b6:dd:b7:1f:bc:25:31:d3:12:f4:92:1c:0b:93:5f:4b you@i
The key's randomart image is:
+--[ DSA 1024]----+
|            o.o  |
|            .= E.|
|             .B.o|
|              .= |
|        S     = .|
|       . o .  .= |
|        . . . oo.|
|             . o+|
|              .o.|
+-----------------+

324
2017-08-13 22:37


origine




Réponses:


Le randomart se veut un moyen plus simple pour les humains de valider les clés.

La validation est normalement effectuée par une comparaison de chaînes sans signification (c'est-à-dire la représentation hexadécimale de l'empreinte de clé), dont les humains sont assez lents et imprécis lors de la comparaison. Randomart le remplace par des images structurées plus rapides et plus faciles à comparer.

Ce papier "Visualisation du Hash: une nouvelle technique pour améliorer la sécurité dans le monde réel", Perrig A. et Song D., 1999, Atelier international sur les techniques cryptographiques et le commerce électronique (CrypTEC '99) " explique quelques techniques et avantages.


241
2017-08-13 22:47



Si vous pouviez simplement expliquer pourquoi les humains valident les clés, cela pourrait aider, car franchement, j'ai tendance à mettre ma clé publique dans mon fichier authorized_keys et à en finir avec elle. - dlamblin
@dlamblin: Vous ne vérifieriez généralement pas vos propres clés avec ceci. Il serait toutefois utile de vérifier la clé hôte d'une machine distante. Une idée est que si vous vous connectez à une machine particulière à partir de divers emplacements (ou si vous ne sauvegardez pas sa clé dans votre fichier known_hosts), vous pourrez reconnaître «l'art» de la clé de l'hôte. Si cet art a soudainement changé, vous devriez vous méfier de votre mot de passe car cela pourrait signifier qu'une attaque de type intermédiaire est en cours sur votre connexion (ou que l'hôte vient de changer ses clés pour d'autres raison). - Chris Johnsen
Uhm, quand pourrais-je voir l'art des hôtes? (Je pense que je ne l'ai jamais fait.) J'ai seulement vu une telle image après avoir généré ma paire de clés. Et à quoi devrais-je comparer pour reconnaître un changement «soudain». - DerMike
Je parie que le randomart adhère à un principe similaire aux hachages pour les contrôles d'intégrité, à savoir: une petite différence dans l'entrée génère une sortie extrêmement différente. Cela signifierait que vous auriez juste à mémoriser la forme approximative du randomart attendu pour pouvoir constater que quelque chose ne va pas. Bien sûr, cela ne fonctionne pas en pratique lorsque SSH et al ne vous montrent pas le randomart de l'hôte auquel vous vous connectez (ils doivent le faire même lorsque l'hôte est connu). - Alan Plum
J'imagine que ceux-ci sont les plus utiles lorsque des clés publiques sont échangées en personne pour un contrôle d'intégrité une fois la copie terminée. - jordanpg


Ajouter

-o VisualHostKey=yes 

à votre ligne de commande, ou mettez

VisualHostKey=yes 

dans ton ~/.ssh/config.

Vous verrez le randomart de la boîte sur laquelle vous vous connectez. Si vous vous connectez un jour et que l’art aléatoire est différent (votre cerveau devrait y aller! Hé! Je ne le reconnais pas!), Alors peut-être que quelqu'un pirate, ou quelque chose du genre.

L'idée est que vous n'avez pas besoin de le faire consciemment. L'une des clés de l'une de nos machines ressemble à un papillon. Un autre ressemble un peu à une bite (oui, nos cerveaux sont primitifs). Si vous vous connectez tous les jours, vous vous habituez aux images sans même essayer.


173
2018-01-05 00:49



Pas génial. Si vous vous êtes connecté avant, mieux vaut pour l'ordinateur de faire la reconnaissance pour vous en utilisant une empreinte digitale stockée. La fonctionnalité est uniquement destinée à être utilisée pour se connecter à de nouvelles machines. - Nicholas Wilson
Il est très tard pour cette réponse, mais cela vaut la peine de préciser que cela serait extrêmement utile si vous vous connectiez depuis une autre machine qui ne contenait pas tous vos Dans ce cas, l'ordinateur ne serait pas en mesure de vérifier qu'il est connu, mais l'utilisateur devrait pouvoir voir "Cela semble différent de la normale!" et avorter - Xkeeper
Laisser votre ordinateur faire la reconnaissance est vulnérable aux hôtes connus de votre ordinateur qui sont piratés. Tout comme vous ne devriez pas laisser votre ordinateur entrer des mots de passe pour vous, vous feriez mieux de valider vous-même la clé de l’hôte. - Marko Topolnik


Annonce officielle: OpenSSH 5.1 est disponible

Introduire une empreinte digitale SSH expérimentale   Visualisation ASCII à ssh (1) et   ssh-keygen (1). Doigt visuel   l'affichage est contrôlé par un nouveau   Option ssh_config (5) "VisualHostKey".   L'intention est de rendre les clés de l'hôte SSH   sous une forme visuelle qui se prête à   rappel facile et rejet des changements   clés d'hôte. Cette technique inspirée par   la visualisation graphique du hachage   des schémas appelés "art aléatoire [*]", et   par les réflexions de Dan Kaminsky à 23C3 in   Berlin.

La visualisation d'empreintes digitales est en   actuellement désactivé par défaut, comme le   algorithme utilisé pour générer le hasard   l'art est toujours sujet à changement.


33
2017-08-13 22:48



Cette dernière phrase mérite en effet d'être connue. OpenBSD Journal @ Undeadly.org informations sur la version d'OpenSSH 6.8 déclare: "Veuillez noter que les clés d’hôte visuelles seront également différentes." Un logiciel plus récent affiche des images différentes des images présentées par l'ancien logiciel. - TOOGAM


Vous pouvez trouver une analyse approfondie du randomart VisualHostKey dans le court article L'évêque ivre.


24
2017-09-04 11:35





Le Randomart affiché après la génération de ssh-keygen est une représentation graphique de la clé que vous venez de générer. Alors:

  • le Randomart est ne pas vraiment utile pour le utilisateur ayant généré la clé ssh 

  • le Randomart peut être très utile pour un utilisateur utilisant une connexion via SSH à se connecter souvent au même serveur: s'il ajoutait l'option "-o VisualHostKey = yes" à sa commande SSH:

    ssh user@domainname.com -o VisualHostKey = yes

le Randomart correspondant à la clé publique du serveur sera affiché.

Pour voir un exemple, vous pouvez essayer:

ssh git@github.com -o VisualHostKey = yes

Dans le cas où l'utilisateur se connecte souvent au même serveur, il peut alors vérifier rapidement et facilement s'il reconnaît le Randomart correspondant à la clé publique de ce serveur ou pas. Ce qui est plus facile et plus rapide que de vérifier la chaîne de caractères de la clé publique elle-même!


8
2018-05-04 13:30