Вопрос: Что такое randomart, созданный ssh-keygen?


Когда вы создаете ключ, вы получаете «randomart» из более новых версий OpenSSH. Я не могу найти объяснение, почему и для чего я должен использовать его.

Generating public/private rsa key pair.
The key fingerprint is:
05:1e:1e:c1:ac:b9:d1:1c:6a:60:ce:0f:77:6c:78:47 you@i
The key's randomart image is:
+--[ RSA 2048]----+
|       o=.       |
|    o  o++E      |
|   + . Ooo.      |
|    + O B..      |
|     = *S.       |
|      o          |
|                 |
|                 |
|                 |
+-----------------+

Generating public/private dsa key pair.
The key fingerprint is:
b6:dd:b7:1f:bc:25:31:d3:12:f4:92:1c:0b:93:5f:4b you@i
The key's randomart image is:
+--[ DSA 1024]----+
|            o.o  |
|            .= E.|
|             .B.o|
|              .= |
|        S     = .|
|       . o .  .= |
|        . . . oo.|
|             . o+|
|              .o.|
+-----------------+

323
2017-08-13 22:37


Источник




Ответы:


Случайный аспект - это простой способ для людей проверять ключи.

Проверка обычно выполняется путем сравнения бессмысленных строк (т. Е. Шестнадцатеричного представления ключевого отпечатка пальца), которые люди довольно медленно и неточно сравнивают. Randomart заменяет это структурированными изображениями, которые быстрее и проще сравнивать.

Эта бумага «Визуализация хаша: новая методика улучшения безопасности в реальном мире», Перриг А. и Сонг Д., 1999, Международный семинар по криптографическим методам и электронной торговле (CrypTEC '99) " объясняет некоторые методы и преимущества.


241
2017-08-13 22:47



Если бы вы могли просто объяснить, почему люди проверяют ключи, это может помочь, потому что, честно говоря, я стараюсь просто поместить свой открытый ключ в свой файл authorized_keys и сделать с ним. - dlamblin
@dlamblin: Обычно вы не проверяете свои собственные ключи. Однако это было бы полезно для проверки ключа хоста удаленной машины. Одна из идей заключается в том, что если вы входите на конкретную машину из разных мест (или вы не сохраняете ее ключ в файл known_hosts), вы сможете распознать «искусство» ключа хоста. Если это искусство внезапно изменилось, вы должны быть осторожны при вводе пароля, потому что это может означать, что в вашем соединении выполняется атака «человек в середине» (или это может означать, что хост только что изменил свои ключи для некоторых других причина). - Chris Johnsen
Умм, Когда я мог увидеть искусство хозяев? (Думаю, я этого никогда не делал.) Я только видел такой образ после создания моей пары ключей. И к чему бы мне пришлось сравнивать это, чтобы признать «внезапные» изменения. - DerMike
Я бы поставил ставку на случайный принцип, аналогичный принципу хэши для проверки целостности, а именно: небольшая разница во входном файле порождает совершенно разные результаты. Это означало бы, что вам просто нужно запомнить грубую форму ожидаемого случайного символа, чтобы заметить, что что-то не так. Конечно, это не работает на практике, когда SSH и др. Не показывают вам случайный адрес хоста, к которому вы подключаетесь (они должны делать это, даже когда хозяин известен). - Alan Plum
Я думаю, что это наиболее полезно, когда публичные ключи обмениваются лично для проверки целостности после завершения копирования. - jordanpg


Добавить

-o VisualHostKey=yes 

в вашу командную строку или

VisualHostKey=yes 

в вашей ~/.ssh/config,

Вы увидите случайный квадрат коробки, в которую вы входите. Если вы входите в систему в один день, а случайное искусство отличается (ваш мозг должен идти, Эй, я этого не понимаю!), Тогда, возможно, кто-то взломал или что-то еще.

Идея состоит в том, что вы не сознательно должны это делать. Один из ключей для одной из наших машин похож на бабочку. Еще один вид похож на хуй (да, наши мозги примитивны). Если вы входите в систему каждый день, вы привыкли к изображениям, даже не пытаясь.


173
2018-01-05 00:49



Не хорошо. Если вы вошли в систему раньше, гораздо лучше для компьютера сделать распознавание для вас, используя сохраненный отпечаток. Функция предназначена только для входа в новые машины. - Nicholas Wilson
Попытка опоздать на этот ответ, но стоит отметить, что это было бы очень полезно, если бы вы входили в систему с другой машины, на которой не было всех ваших известных_hosts. В этом случае компьютер не сможет проверить, что он известен, но пользователь должен иметь возможность видеть: «Это выглядит иначе, чем обычно!» и прервать. - Xkeeper
Предоставление компьютеру распознавания уязвимо для взлома известных хостов вашего компьютера. Подобно тому, как вы не должны позволять компьютеру вводить пароли для вас, вам лучше было бы самим проверить ключ хоста. - Marko Topolnik


Официальное объявление: OpenSSH 5.1 выпущен

Представьте экспериментальный отпечаток SSH   ASCII визуализация для ssh (1) и   SSH-серийник (1). Визуальный fingerprinnt   отображение контролируется новым   Опция ssh_config (5) "VisualHostKey".   Цель состоит в том, чтобы отобразить ключи хоста SSH   в визуальной форме, которая поддается   легкий отзыв и отказ от изменения   ключи хоста. Этот метод, вдохновленный   графическая визуализация хэшей   схемы, известные как «случайное искусство [*]», и   размышлениями Дэна Камински в 23C3 в   Берлин.

Визуализация отпечатка пальца в   в настоящее время отключен по умолчанию, поскольку   алгоритм, используемый для генерации случайных   искусство по-прежнему может быть изменено.


32
2017-08-13 22:48



Это последнее предложение, действительно, стоит знать. OpenBSD Journal @ Undeadly.org информация о выпуске OpenSSH 6.8 «Обратите внимание, что визуальные ключи хоста также будут отличаться». Более новое программное обеспечение отображает разные изображения, чем изображения, показанные старым программным обеспечением. - TOOGAM


Вы можете найти подробный анализ случайного символа VisualHostKey в короткой статье Пьяный епископ,


24
2017-09-04 11:35





Randomart, отображаемый после генерации ssh-keygen, представляет собой графическое представление ключа, который вы только что создали. Затем:

  • Случайный не действительно полезным для пользователь, который сгенерировал ssh-key 

  • Randomart может быть очень полезным для пользователя, использующего соединение через SSH часто подключаться к тот же сервер: если он добавил параметр «-o VisualHostKey = yes» к своей команде SSH:

    ssh user@domainname.com -o VisualHostKey = да

будет показан Randomart, соответствующий открытому ключу сервера.

Чтобы увидеть пример, вы можете попробовать:

ssh git@github.com -o VisualHostKey = да

В случае, когда пользователь часто подключается к одному серверу, он может быстро и легко проверить, распознает ли он Randomart соответствующий открытому ключу этого сервера или нет. Это проще и быстрее, чем проверка строки символов самого открытого ключа!


8
2018-05-04 13:30