我刚刚开始使用 YubiKey 来管理我的 ssh 密钥对。
据我从现有资源中收集到的信息,ed25519-sk这ssh-keygen似乎是实现这一目标的最直接的方法。
现在我有两个问题:
使用ssh-keygen -t ed25519-sk -O resident在 Yubikey 上创建私钥并将“私钥的一半”存储在请求生成密钥的设备上。那是对的吗?
如果 1. 为真,那么是否会将ssh-keygen -K私钥的一半下载回我的系统?如果它提供完整的私钥,对我来说没有意义,因为那是不可能的(我尝试过,但没有成功)。然而,下载相同的凭证总是会产生新的“一半”。我只能假设这是设计使然,但我不确定。
额外问题:有没有办法创建一个不可通过下载的“常驻”密钥ssh-keygen -K?
我有来自远程主机的指纹,根据什么是 SSH 密钥指纹以及它是如何生成的,据说它是它的公钥指纹?.
询问主机指纹:
ssh-keygen -lf <(ssh-keyscan MY_SERVER.com 2>/dev/null)
例如:
2048 SHA256:asdfaewfbadsdasfasgasefasfasdvfth56sdghjum7 id_rsa (RSA)
和以下行:
ssh -o visualhostkey=yes -o FingerprintHash=SHA256 MY_SERVER.com
达到相同:
2048 SHA256:asdfaewfbadsdasfasgasefasfasdvfth56sdghjum7 id_rsa (RSA)
并且应该足以说连接是预期的。
另一方面,我手头有服务器的公共 (MY_PUBLIC_SSH_KEY) + 私有 (MY_PRIVATE_SSH_KEY) ssh 密钥对。我可以用ssh私钥连接服务器,然后用正确的login_name,就不需要再输入密码了,这就是ssh key的思路。因此,保存在服务器上的公钥也必须是正确的:
ssh -o visualhostkey=yes -o FingerprintHash=SHA256 -i MY_PRIVATE_SSH_KEY MY_LOGIN_NAME@MY_SERVER.com
# # or the same:
# ssh -o visualhostkey=yes -o FingerprintHash=SHA256 -i MY_PRIVATE_SSH_KEY MY_LOGIN_NAME@MY_SERVER.com
但是公钥 ssh 密钥 MY_PUBLIC_SSH_KEY 的指纹与服务器的指纹不同。它不使用2048底层密钥的位大小,而是使用默认值4096:
ssh-keygen -b 2048 -t rsa -lf id_rsa.pub
给出:
4096 SHA256:asfawefbrgaqeffaefafrew546rtghhdhdfhsert45y id_rsa (RSA)
我手头的公钥如下所示:
ssh-rsa AAAABasfjjeiaj;jkaskl;dfkjsafe9w0fo-0oas[kfoamks;dfk...(4096 bits size)== MY_FILE_NAME
而服务器上的(cat .ssh/id_rsa.pub)是:
ssh-rsa AAAABasfjieajfjaei;jfi;ajisejifjdfasdf(2048 bits size)...== ANOTHER_DIFFERENT_FILENAME
指纹不一样,因为底层密钥长度和末尾添加的注释不同。然而,它们应该是同一个东西。该-b参数对任何东西都没有反应,我什至可以使用-t ecdsa并且指纹仍然是相同的,就好像它总是给出一些已经被公钥内容本身固定的东西。
ssh-keygen始终默认为 4096 位密钥大小,我需要 2048,-b 参数似乎不起作用。
从这里我看到公钥已更改为更好的 4096 标准,并且ssh-keygen可能默认为-t新公钥中使用的参数,而服务器出于任何原因仍输出旧指纹,或者公钥的指纹不能与主机的指纹相同,因为它们是根据不同的位大小计算的。
我还发现您可以更改默认值ssh-keygen,请参阅Can you make default client key length large for ssh-keygen? ,但它不仅应该与-b参数一起工作吗?4096 是一个很好的默认值,我不想更改它。还是我在这里监督一些一般性的事情?
我从其他 Q/A 中知道,执行上述两个步骤以达到相同的指纹应该已经足够了。但是,如果我不需要它来进行上述成功比较,我仍然想知道我应该如何处理那个 4096 位公钥的指纹。
我一定是误会了什么。手头有一对密钥,并且私钥正常工作,我如何在服务器上找到“对应公钥”并比较指纹?