誰かのSSHキーに空のパスフレーズが含まれているかどうかを確認するにはどうすればよいですか？

私のLinuxおよびFreeBSDシステムには、何十人ものユーザーがいます。スタッフはこれらの「sshゲートウェイ」ノードを使用して、他の内部サーバーにSSH接続します。

私たちは、これらの人々の一部は暗号化されていない秘密SSHキー（なしのキーを使用することを懸念しているパスフレーズを。これは悪いです、クラッカーが今までこのマシン上の自分のアカウントへのアクセスを獲得した場合、彼らは秘密鍵を盗み、今のアクセス権を持っている可能性があるため、セキュリティ上の理由から、すべてのユーザーが自分のプライベートSSHキーをパスフレーズで暗号化する必要があります。

秘密鍵が暗号化されていない（たとえば、パスフレーズが含まれていない）ことを確認するにはどうすればよいですか？ASCII装甲キーと非ASCII装甲キーでこれを行う別の方法はありますか？

更新：

明確にするために、マシン上でスーパーユーザーのアクセス権があり、全員の秘密鍵を読み取れると仮定します。

さて、空のパスフレーズを持つOpenSSH秘密鍵は実際には暗号化されていません。

暗号化された秘密鍵は、秘密鍵ファイルでそのように宣言されます。例えば：

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,7BD2F97F977F71FC

BT8CqbQa7nUrtrmMfK2okQLtspAsZJu0ql5LFMnLdTvTj5Sgow7rlGmee5wVuqCI
/clilpIuXtVDH4picQlMcR+pV5Qjkx7BztMscx4RCmcvuWhGeANYgPnav97Tn/zp
...
-----END RSA PRIVATE KEY-----

のようなもの

# grep -L ENCRYPTED /home/*/.ssh/id_[rd]sa

トリックを行う必要があります。

私はこれをすべて見て、満足のいく答えを見つけることができませんでしたが、私はそれを構築することができたので...

これにより、ファイルが機能する場合は更新されることに注意してください。したがって、テストしているキーを持つユーザーに気づかれたくない場合は、最初にキーをコピーすることをお勧めします。OTOH、パスワードなしのキーでユーザーを捕まえただけなので、気付いても気にしないかもしれません。：D

$ ssh-keygen -p -P '' -N '' -f ~/.ssh/KEYTEST
Key has comment '/home/rlpowell/.ssh/KEYTEST'
Your identification has been saved with the new passphrase.
$ echo $?
0

$ ssh-keygen -p -P '' -N '' -f ~/.ssh/KEYTEST
Bad passphrase.
$ echo $?
1

秘密鍵にアクセスできる場合、公開鍵に対して認証するためにパスフレーズなしでそれを使用できると思います。これが機能する場合、パスフレーズがないことがわかります。持っていた場合、エラーメッセージが表示されます。

秘密鍵にアクセスできない場合、これを検出できるとは思えません。パスフレーズの目的は、秘密鍵を「ロック解除」することであり、公開鍵に関しては機能しません。

実際、そうだとすると、システムの安全性が低下します。パスフレーズを解読しようとするブルートフォースやその他の攻撃を試みるために利用可能な公開キーを使用できます。