ユーザー(ホストではない)SSHキーのrandomartイメージの目的は何ですか?


95

ssh-keygen次の出力を生成します。

The key fingerprint is:
dd:e7:25:b3:e2:5b:d9:f0:25:28:9d:50:a2:c9:44:97 user@machine
The key's randomart image is:
+--[ RSA 2048]----+
|       .o o..    |
|       o +Eo     |
|        + .      |
|         . + o   |
|        S o = * o|
|           . o @.|
|            . = o|
|           . o   |
|            o.   |
+-----------------+

この画像の目的は何ですか、それはユーザーに何か価値を提供しますか?これはクライアント(ユーザー)キーであり、ホストキーではないことに注意してください。


12
試してみてください:superuser.com/questions/22535/...
garethTheRed

Googleはあなたの友達:sanscourier.com/blog/2011/08/31/…–
Networker

2
いくつかの常連がこのQを気に入って、サイトに追加するのがいいと思ったので、再開しました。
slm

2
これはいい質問だと思います。上記のリンクは興味深いものですが、どちらも質問されている問題に対処していません。これらのリンクはどちらも、ユーザーキーに対して表示される理由ではなく、ホストキーに対するrandomartの有用性について説明しています。
パトリック14

1
参考までに、私はこの質問を先日OpenSSHメーリングリストに送りました。これまでのところ、クリケット。lists.mindrot.org/pipermail/openssh-unix-dev/2014-July/…-
パトリック

回答:


55

これは、この質問で説明されました:https://superuser.com/questions/22535/what-is-randomart-produced-by-ssh-keygen。キーを生成するユーザーには実際には何の用途もありませんが、検証を容易にするためです。個人的に。むしろこれを見ますか?(これはホストキーの例であることに注意してください)

2048 1b:b8:c2:f4:7b:b5:44:be:fa:64:d6:eb:e6:2f:b8:fa 192.168.1.84 (RSA)
2048 16:27:ac:a5:76:28:2d:36:63:1b:56:4d:eb:df:a6:48 gist.github.com,207.97.227.243 (RSA)
2048 a2:95:9a:aa:0a:3e:17:f4:ac:96:5b:13:3b:c8:0a:7c 192.168.2.17 (RSA)
2048 16:27:ac:a5:76:28:2d:36:63:1b:56:4d:eb:df:a6:48 github.com,207.97.227.239 (RSA)

これは、人間であるため、検証に時間がかかります。

2048 16:27:ac:a5:76:28:2d:36:63:1b:56:4d:eb:df:a6:48 gist.github.com,207.97.227.243 (RSA)
+--[ RSA 2048]----+
|        .        |
|       + .       |
|      . B .      |
|     o * +       |
|    X * S        |
|   + O o . .     |
|    .   E . o    |
|       . . o     |
|        . .      |
+-----------------+
2048 16:27:ac:a5:76:28:2d:36:63:1b:56:4d:eb:df:a6:48 github.com,207.97.227.239 (RSA)
+--[ RSA 2048]----+
|        .        |
|       + .       |
|      . B .      |
|     o * +       |
|    X * S        |
|   + O o . .     |
|    .   E . o    |
|       . . o     |
|        . .      |
+-----------------+

http://sanscourier.com/blog/2011/08/31/what-the-what-are-ssh-fingerprint-randomarts-and-why-should-i-care/から取得した

基本的に、ユーザーのキーによって生成されたランダムなアートも同じように使用できます。最初に生成されたイメージがキーの現在のイメージと異なる場合、たとえばキーを移動した場合、キーは改ざん、破損、または交換された可能性があります。

これは、他の質問からの非常に良い読み物です:http : //users.ece.cmu.edu/~adrian/projects/validation/validation.pdf


1
これは質問に答えません。提供する情報は、ホストキーに関するものです。問題は、ユーザーキーについて尋ねることです。
パトリック14

8
私は同意しないと思うのですが、質問は次のとおりです。この画像の目的は何ですか、ユーザーに価値を提供しますか?そして、私は、本質的にそれは、前述のキーを生成するユーザーにとって価値がないと答えました。何か見逃した場合や、追加のサンプルなどを追加したい場合は、お知らせください。私はここで新しいです。
Torger597 14

1
ホストキーではなく、ユーザーキーについて質問されたことに同意します。
パトリック14

3
ホストキーを例として使用しましたが、基本的な原則があるため、ユーザーキーの例を作成して追加します。ご意見ありがとうございます、パトリック。
Torger597 14

13

ホストキーとユーザーキーの違いについては、多くの混乱があるようです。

ホストキーは、リモートホストのIDを確立するために使用されます。
ユーザーキーは、リモートホストに対して自分のIDを確立するために使用されます。
通常、これらのキーは単なる文字のシーケンスとして表示されるため、人間がキーが変更されたかどうかを一目で判断することは困難です。これがrandomartの目的です。キーにわずかな偏差があると、著しく異なるrandomartイメージが発生します。

気にする理由については、リモートホストのIDを確認することが重要です。誰かがあなたのトラフィックを傍受し(MITM攻撃)、送受信されるすべてを表示/操作できる可能性があるためです。

ただし、自分自身を確認することは重要ではありません。「はい、私です」を確認する必要はありません。何らかの理由でユーザーキーが変更された場合でも、リモートサーバーはユーザーを許可するか、許可しません。接続が盗聴されるリスクは高くありません。

 

では、なぜssh-keygenユーザーキーを生成するときにrandomartイメージが表示されるのでしょうか?
randomartコードがssh-keygen [grunk@cvs.openbsd.org 2008/06/11 21:01:35]に導入されたとき、ホストキーとユーザーキーはまったく同じ方法で生成されたためです。追加情報の出力は、ユーザーキーには使用できませんが、害はありません(混乱を引き起こす可能性があります)。

さて、「randomartコードが導入されたとき」と言ったとき、これはコードが変更されたためです。最近では、ほとんどのディストリビューションがssh-keygen -Aホストキーの生成に使用していますが、これは新しい機能です。この機能は、さまざまな種類のキー(rsa、dsa、ecdsa)を生成し、randomartイメージを表示しません。古い方法はまだホストキーの生成に使用できますが、通常は使用されません。そのため、古い方法はユーザーキーにのみ使用されますが、randomart機能は残ります。


「はい、私です」を確認する必要はありません。はい、「うん、私は私のように見える」と言う方が少し正確になりますが。たまたま多くのキーを持っている場合は、適切なキーを使用していることを確認するために追加のフィードバックが必要になる場合があります。
アロイスマーダル

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.