Início / unix / Perguntas / 473044
Accepted
Faxopita
Asked: 2018-10-04 09:00:42 +0800 CST

Chave privada protegida por senha SSH ainda visível

  • 772

Achei que não seria possível visualizar o conteúdo de um arquivo de chave privada protegido por senha sem realmente inserir uma senha.

Surpreendentemente, ainda posso ver o conteúdo do meu arquivo de chave privada, mesmo que esteja bem protegido por senha. Passos:

$ ssh-keygen -t ed25519 -o -a 100

Em seguida, insiro minha senha. Eu espero um pouco. O processo está finalizado, então eu faço catda seguinte forma:

$ cat id_ed25519

Para minha grande surpresa, posso ver claramente minha chave privada.

Eu queria saber se era bem protegido por senha. Então, eu fiz o seguinte:

$ ssh-keygen -p -f ./id_ed25519

Na verdade, eu tenho que inserir minha senha “antiga”. Caso contrário, ele não reconhece!

Estou esquecendo de algo? Se meu entendimento estiver correto, se meu arquivo de chave privada estiver criptografado, não devo ver seu conteúdo em um editor de texto, certo? Estou completamente perplexo.

Sistema: MacOS Le Capitan, Homebrew

osx ssh-keygen

2 respostas

  1. Best Answer

    Há uma diferença entre uma chave criptografada (que é protegida por senha) e uma chave não criptografada. Todas as chaves ainda são arquivos de texto simples. Abaixo, gerei uma chave, sem senha, e a protejai adicionando uma senha, e você pode ver como o conteúdo do arquivo no disco é diferente:

    $ ssh-keygen -f ./id_example
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in ./id_example.
Your public key has been saved in ./id_example.pub.
The key fingerprint is:
SHA256:q1soNjAdOS7sEu/268wb/F0ULMB7a2tmr/n+089Ksu0 user@host
The key's randomart image is:
+---[RSA 2048]----+
|     ..          |
|     ... .       |
|    +  .. o      |
| . o o. .. .     |
|. = o  .S..      |
| + =   .oo       |
|. o * ..o.. ...  |
| o.+ = +=o  .=.. |
| ..oBo+=+=+.ooEoo|
+----[SHA256]-----+
$ cat id_example
-----BEGIN RSA PRIVATE KEY-----
MIIEogIBAAKCAQEArxyeUk2lJ+pkW2bHXJNFUfWz1z3glvOsHSUxUQjx8leKIKRu
[hash truncated fro brevity]
hGWfADUrb5nV5Do/mcjBHQDCjrfCpzPHkNrTaZLs4JDxdhX4G0s=
-----END RSA PRIVATE KEY-----
$ ssh-keygen -p -f ./id_example
Enter new passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved with the new passphrase.
$ cat id_example
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-128-CBC,764EDE56E9A89905CD447F1DEF5ED1AB

uVjfs7qu4a7RMvycvpvtJA0UUG5UtkZ+eY6ppmxL7oA/54qM/7S5bvgOT1hM0wL+
[hash truncated for brevity]
FHCAmqC29+FPHxqG19tII7ndYYU6YDpCQHjUN0TaAI7ikwSmjTiNBfXEZodaHblr
-----END RSA PRIVATE KEY-----

    A chave real é a mesma, mas um agente de chave não poderá usar a última chave até que eu a desbloqueie com minha senha. De qualquer forma, eu possuo o arquivo e ele deve existir no disco, o que significa que ele pode ser exibido (por exemplo, com cat).

    Você também pode ver quando eu exponho a chave revisada que ela mostra explicitamente que está criptografada.

    • 1

  2. Você sempre poderá (e precisará) 'ver' o conteúdo do seu arquivo de chave privada, mas ele é criptografado, então deve parecer sem sentido. O que você precisa ter certeza é que apenas você (ou seja, seu id de usuário) pode vê-lo. Para fazer isso você precisa:

    chmod go-rwx ./id_ed25519

    Além disso, você provavelmente desejará manter suas chaves privadas em seu próprio diretório para que você possa chmod no diretório também.

    • 0

relate perguntas