主页 / computer / 问题 / 1470852
Accepted
Vicfred
Asked: 2019-08-14 04:34:12 +0800 CST

ssh-keygen 私钥和 libressl 的区别?

  • 772

我使用 libressl 3.0 使用 curve 生成​​了私钥secp521r1

openssl genpkey -aes128 -algorithm EC -pkeyopt ec_paramgen_curve:secp521r1 -pkeyopt ec_param_enc:named_curve

据我所知,这条曲线与 ssh-keygen 使用的曲线相同,ssh-keygen -t ecdsa -b 521我知道 ssh-keygen 现在使用 aes128 来加密私钥。

libressl 私钥534的大小为 ,ssh-keygen 的大小为736

我的问题是:ssh-keygen 会增加密钥的大小吗?

另外:两者都可以交换吗?一个生成的私钥可以转换为另一个吗?

openssl public-key

1 个回答

  1. Best Answer

    TLDR:私钥文件有很多不同的格式

    它部分取决于您没有提供的 OpenSSH 版本。

    从历史上看,除了长期过时的协议版本 1(和密钥类型“rsa1”)外,OpenSSH 使用 OpenSSL(的 libcrypto 部分)来完成其大部分加密操作——包括在文件中存储私钥(或有效的密钥对),使用SSLeay/OpenSSL 定义的“传统”或“遗留”格式。OpenSSL 还支持“新”(大约从 1998 年开始!)PKCS8 格式,这些格式(有点)更安全。因此,OpenSSL 支持 4 种用于“ECDSA”的 PEM 格式(更确切地说,X9 风格的 Weierstrass EC 涵盖了 X9.62 ECDSA 和 X9.63 ECDH),其中 OpenSSH仅生成2 种,但(使用 libcrypto)可以读取所有格式。在ssh-keygen加密OpenSSL 格式的文件时,最新版本确实使用 AES-128-CBC,但这并非总是如此。

    从 2014-01 的 6.5 版开始,OpenSSH 添加了自己的“新”文件格式,部分是为了提供比 OpenSSL 传统格式(加密时)更好的安全性,部分是为了支持当时的新算法 Ed25519,OpenSSL 当时不支持该算法根本。ssh-keygen有一个选项-o可以为 ed25519(或 rsa1)以外的任何密钥类型请求新格式,您会发现过去几年的许多 Stack Q 和 As 都引用并通常推荐这个选项。默认情况下,“新”格式文件使用 AES256-CBC 加密,可以使用 覆盖-Z ciphername,但手册页显然没有针对其中任何一个进行更新。从 2018-08 版 7.8 开始,OpenSSH 现在默认为所有密钥类型使用“新”格式,尽管您可以使用-m pem为 ed25519 以外的任何内容请求 OpenSSL 格式。如果您检查man ssh-keygen您的系统(除非是 Windows),它应该描述其中一种情况,可能是后者。

    (还有 PKCS12 aka PFX 格式,OpenSSL可以将其用于私钥,但通常仅用于将一个(或多个)私钥与该(那些)密钥的一个或多个 X.509 证书组合起来,这是一种不同的情况,不适用于从不使用 X.509 证书的 SSH。其他程序或系统使用其他格式:'commercial'/Tectia SSH 有自己的格式,PuTTY 有自己的格式 PPK = PuTTY Private Key .等等,等等,Yul Brynner。所有这些在语义上都是等价的,并且可以通过合适的工具相互转换。)

    OpenSSH 使用的所有私钥格式都是PEM 样式;二进制数据被编码为 base64 格式的文本,标题和结尾行的格式为

    -----BEGIN (something)-----
(sometimes some headers here)
(data encoded in base64, broken into lines of 64 characters)
-----END (something)-----

    所以你可以通过查看破折号 - 开始行来判断你使用的是哪种格式。请参阅近交叉复制https://security.stackexchange.com/questions/39279/stronger-encryption-for-ssh-keys或更简短的https://security.stackexchange.com/questions/129724/how-to-check- if-an-ssh-private-key-has-passphrase-or-nothttps://security.stackexchange.com/questions/200935/how-do-i-determine-if-an-existing-ssh-private-密钥是安全的(我的)。

    区别: ecdsa-p521 密钥的 736 个字符的大小与未加密的 OpenSSH 新格式相匹配——你确定你给了它一个密码吗?-- 并且 534 匹配由 OpenSSL 1.0.2 创建的 PKCS8 加密格式,IIRC 在 LibreSSL 分叉时使用。(OpenSSL 1.1.0 up 更改了 PKCS8 加密以在 PBKDF2 中使用 HMAC-SHA256,这使得文件略大。OpenSSL 1.1.0 up 还使 param_enc=named 成为默认值,因此您不再需要指定它。)OpenSSH new格式比 PKCS8-enc 格式大主要是因为,没有明显的原因,它存储公钥值(对于 ECDSA,X9.62 格式的曲线点)两次——一次在为公钥指定的文件部分,然后再次在为私钥指定的部分中。此外,OpenSSH 格式的大部分元数据都是文本字符串,所有长度字段都是 4 字节,而 PKCS8(与 OpenSSL 传统格式一样)使用 ASN.1,可变长度字段大多只有 1 字节,元数据大多是二进制,尤其是所用算法的“OID”。)

    另外:两者都可以交换吗?一个生成的私钥可以转换为另一个吗?

    是和不是。如前所述,使用 OpenSSL 的 OpenSSH 可以读取(但不能写入)PKCS8,因此ssh-keygen可以通过对其进行空更改将其转换为 OpenSSH-new,即将密码“更改”为现有值;从 6.5 到 7.7,您必须指定-o,从 7.8 开始,它是默认值。换句话说,ssh-keygen可以转换为 OpenSSL-legacy,但不能直接转换为 PKCS8,你需要使用它openssl来做到这一点,无论是明确地使用pkcs8 -topk8还是在 1.0.0 up(现在应该是每个人,而且肯定是所有 LibreSSL)只是pkey。(前者默认为加密,后者默认为未加密,但两者都可以被覆盖。)

    • 4

相关问题