Início / unix / Perguntas / 454194
Accepted
Tim Friske
Asked: 2018-07-09 14:06:03 +0800 CST

Como armazenar a chave SSH RSA-4096 no novo formato de chave do OpenSSH

  • 772

Parece que não consigo gerar uma chave SSH RSA-4096 no novo formato de chave do OpenSSH com o seguinte comando:

$ ssh-keygen \
  -f rsa4096_key \
  -t rsa \
  -b 4096 \
  -C 'This is a test' \
  -o \
  -N ''

Pelo menos recebo a seguinte mensagem de erro depois de tentar alterar o comentário existente da chave SSH RSA-4096 :

$ ssh-keygen -cf rsa4096_key
Comments are only supported for keys stored in the new format (-o).

Portanto, embora eu tenha especificado o -osinalizador durante a geração da chave, a chave SSH RSA-4096 parece estar escrita no antigo formato de chave PEM em vez do novo formato de chave do OpenSSH .

NB Para uma chave SSH Ed25519 , posso alterar retroativamente seu comentário.

De acordo com a página de manual SSH-KEYGEN(1)da versão OpenSSHOpenSSH_7.7p1 :

-o Faz com que ssh-keygen salve chaves privadas usando o novo formato OpenSSH em vez do formato PEM mais compatível. O novo formato aumentou a resistência à quebra de senha de força bruta, mas não é suportado por versões do OpenSSH anteriores à 6.5. As chaves Ed25519 sempre usam o novo formato de chave privada.

Alguém tem uma solução para este problema ou pode me dizer o que fiz de errado? Obrigado!

Atualização: A solução proposta por @slm funciona para mim, embora a página de manual enganosa e a saída do console confusa. Basicamente o comando:

$ ssh-keygen -f rsa4096_key -o -c -C 'here goes your comment'
Key now has comment 'This is a test'
The comment in your key file has been changed.

Quando executado novamente, prova que alterou o comentário para o fornecido na linha de comando anterior:

$ ssh-keygen -f rsa4096_key -o -c -C 'Hello World!'
Key now has comment 'here goes your comment'
The comment in your key file has been changed.

Portanto, aceitei a resposta do @slm.

security openssh

1 respostas

  1. Best Answer

    Eu acho que isso é um bug tanto no -ocomportamento dos switches quanto na documentação do OpenSSH.

    Isso funciona para mim:

    $ ssh-keygen \
  -f rsa4096_key \
  -t rsa \
  -b 4096 \
  -C 'This is a test' \
  -o \
  -N ''

$ grep -o "This.*" rsa4096_key.pub
This is a test

    Portanto, o comentário está sendo armazenado no rsa4096_key.pubarquivo. Como o arquivo .pub sempre pode ser extraído da chave privada, ele também está, por definição, no arquivo de chave privada.

    Este SU Q&A intitulado: Como posso alterar o campo de comentário de uma chave RSA (SSH)? mostra algumas análises em torno disso. Também há um comentário neste SF Q&A intitulado: Possível alterar o endereço de e-mail no par de chaves? .

    Principalmente:

    A partir do OpenSSH 6.5, funciona com todos os tipos de chave, não apenas RSA1:

    ssh-keygen -f ~/.ssh/keyfilename -o -c -C "here goes your comment"
    • -f: arquivo de chave privada
    • -o: converte a chave privada do PEM para o novo formato OpenSSH
    • -c: altere o comentário nos arquivos de chave privada e pública
    • -C: texto do comentário
    Referências
    • 1

relate perguntas