445 votes

JoelB avatar

Qu'est-ce que l'art aléatoire produit par ssh-keygen?

Demandé el 14 de Août, 2009
Quand la question a-t-elle été
128375 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Lorsque vous générez une clé, vous obtenez de l'"art aléatoire" à partir des versions plus récentes d'OpenSSH. Je ne trouve pas d'explication sur pourquoi, et pour quoi je suis censé l'utiliser.

Génération de la paire de clés rsa publique/privée.
L'empreinte de la clé est :
05:1e:1e:c1:ac:b9:d1:1c:6a:60:ce:0f:77:6c:78:47 you@i
L'image randomart de la clé est :
+--[ RSA 2048]----+
|       o=.       |
|    o  o++E      |
|   + . Ooo.      |
|    + O B..      |
|     = *S.       |
|      o          |
|                 |
|                 |
|                 |
+-----------------+

Génération de la paire de clés dsa publique/privée.
L'empreinte de la clé est :
b6:dd:b7:1f:bc:25:31:d3:12:f4:92:1c:0b:93:5f:4b you@i
L'image randomart de la clé est :
+--[ DSA 1024]----+
|            o.o  |
|            .= E.|
|             .B.o|
|              .= |
|        S     = .|
|       . o .  .= |
|        . . . oo.|
|             . o+|
|              .o.|
+-----------------+
Demandé el 14 de Août, 2009 par JoelB

4 votes

Avatar de loomi

Vous pouvez trouver une analyse approfondie de l'art visuel aléatoire VisualHostKey dans le court article The Drunken Bishop.

Commenté el 4 de Septembre, 2012 par loomi

11 votes

Avatar de AndyJ0076

Une autre question que j'aimerais poser est : est-il sûr de partager votre image randomart avec d'autres ? En d'autres termes, étant donné une image randomart comme celle ci-dessus, est-il possible de la rétroingénierie pour retrouver la clé ?

Commenté el 24 de Mars, 2019 par AndyJ0076

4 votes

Avatar de sernaferna

@AndyJ0076 randomart est une visualisation de l'empreinte digitale de la clé PUBLIQUE, donc c'est sûr :-)

Commenté el 3 de Juillet, 2020 par sernaferna
Afficher 3 autres commentaires

Réponses

Trop de publicités?

319voto

Daniel avatar
Daniel Points 3741

Le randomart est censé être un moyen plus facile pour les humains de valider les clés.

La validation est normalement effectuée par comparaison de chaînes de caractères sans signification (c'est-à-dire la représentation hexadécimale de l'empreinte de la clé), ce qui est assez lent et imprécis pour les humains. Le randomart remplace cela par des images structurées qui sont plus rapides et plus faciles à comparer.

Cet article "Hash Visualization: a New Technique to improve Real-World Security", Perrig A. et Song D., 1999, International Workshop on Cryptographic Techniques and E-Commerce (CrypTEC '99)" explique certaines techniques et avantages.

Répondu el 14 de Août, 2009 par Daniel (3741 Points )

96 votes

Avatar de JoelB

Si vous pouviez simplement expliquer pourquoi les humains valident les clés, cela pourrait aider, car honnêtement j'ai tendance à simplement mettre ma clé publique dans mon fichier authorized_keys et à en rester là.

Commenté el 6 de Septembre, 2009 par JoelB

57 votes

Avatar de Chris Johnsen

@dlamblin: En règle générale, vous ne vérifieriez pas vos propres clés avec ceci. Cependant, cela pourrait être utile pour vérifier la clé hôte d'une machine distante. Une idée est que si vous vous connectez à une machine particulière à partir de différents endroits (ou si vous ne sauvegardez pas sa clé dans votre fichier known_hosts), vous serez en mesure de reconnaître l'"art" de la clé hôte. Si cet art changeait soudainement, vous devriez être méfiant en tapant votre mot de passe car cela pourrait signifier qu'une attaque de l'homme du milieu est en cours sur votre connexion (ou cela pourrait signifier que l'hôte vient de changer ses clés pour une autre raison).

Commenté el 27 de Octobre, 2009 par Chris Johnsen

49 votes

Avatar de DerMike

Uhm, Quand pourrais-je voir l'art des hôtes? (Je ne l'ai jamais fait, je pense.) Je n'ai vu une telle image qu'après avoir généré ma paire de clés. Et à quoi devrais-je le comparer pour reconnaître un changement 'soudain'.

Commenté el 9 de Février, 2011 par DerMike
Afficher 6 autres commentaires

252voto

Paul Murray avatar
Paul Murray Points 2391

Ajoutez

-o VisualHostKey=yes

à votre ligne de commande, ou placez

VisualHostKey=yes

dans votre ~/.ssh/config.

Vous verrez l'art randomique de la boîte sur laquelle vous vous connectez. Si un jour vous vous connectez et que l'art randomique est différent (votre cerveau devrait dire Hey! Je ne reconnais pas ça!), alors peut-être que quelqu'un est en train de pirater, ou quelque chose du genre.

L'idée est que vous n'avez pas besoin de le faire consciemment. Une des clés pour une de nos machines ressemble un peu à un papillon. Une autre ressemble un peu à un pénis (oui, nos cerveaux sont primitifs). Si vous vous connectez tous les jours, vous vous habituez aux images sans même essayer.

Répondu el 5 de Janvier, 2012 par Paul Murray (2391 Points )

10 votes

Avatar de Nicholas Wilson

Pas génial. Si vous vous êtes déjà connecté auparavant, beaucoup mieux pour l'ordinateur de vous reconnaître en utilisant une empreinte digitale stockée. La fonctionnalité est uniquement destinée à être utilisée pour vous connecter à de nouvelles machines.

Commenté el 21 de Mai, 2012 par Nicholas Wilson

68 votes

Avatar de Xkeeper

Way late to this answer, but it's worth pointing out that this would be immensely useful if you were logging in from a different machine that didn't have all of your known_hosts. In that case, the computer wouldn't be able to verify that it's known, but the user should be able to see "That looks way different than normal!" and abort.

Commenté el 3 de Octobre, 2012 par Xkeeper

11 votes

Avatar de Marko Topolnik

Laisser votre ordinateur faire la reconnaissance est vulnérable à ce que les hôtes connus de votre propre ordinateur soient piratés. Tout comme vous ne devriez pas laisser votre ordinateur entrer des mots de passe pour vous, vous seriez mieux de vérifier la clé de l'hôte vous-même.

Commenté el 25 de Mai, 2015 par Marko Topolnik
Afficher 4 autres commentaires

44voto

Isaac avatar
Isaac Points 222

Annonce officielle : OpenSSH 5.1 publié

Introduction de la visualisation expérimentale en ASCII de l'empreinte SSH dans ssh(1) et ssh-keygen(1). L'affichage de l'empreinte visuelle est contrôlé par une nouvelle option ssh_config(5) "VisualHostKey". L'objectif est de rendre les clés d'hôte SSH sous une forme visuelle qui facilite le rappel et le rejet des clés d'hôte modifiées. Cette technique est inspirée des schémas de visualisation du hachage graphique connus sous le nom "random art[*]", et des réflexions de Dan Kaminsky lors du 23C3 à Berlin.

La visualisation de l'empreinte digitale est actuellement désactivée par défaut, car l'algorithme utilisé pour générer l'art aléatoire est encore susceptible de changer.

Répondu el 14 de Août, 2009 par Isaac (222 Points )

14 votes

Avatar de frooyo

Cette dernière phrase vaut vraiment la peine d'être connue. OpenBSD Journal @ Undeadly.org info sur la sortie d'OpenSSH 6.8 indique : "Veuillez noter que les clés d'hôte visuelles seront également différentes." Les nouveaux logiciels affichent des images différentes de celles montrées par les anciens logiciels.

Commenté el 28 de Décembre, 2015 par frooyo

32voto

tmangin avatar
tmangin Points 391

Le Randomart affiché après la génération de la clé ssh-keygen est une représentation graphique de la clé que vous venez de générer. Ensuite:

  • Le Randomart n'est pas vraiment utile pour l'utilisateur qui a généré la clé ssh-key

  • Le Randomart peut être très utile pour un utilisateur utilisant une connexion via SSH pour se connecter souvent au même serveur: s'il a ajouté l'option "-o VisualHostKey=yes" à sa commande SSH:

ssh user@domainname.com -o VisualHostKey=yes

Le Randomart correspondant à la clé publique du serveur sera affiché.

Pour voir un exemple, vous pouvez essayer :

ssh git@github.com -o VisualHostKey=yes

Dans le cas où l'utilisateur se connecte souvent au même serveur, il peut rapidement et facilement vérifier s'il reconnaît le Randomart correspondant à la clé publique de ce serveur ou non. Ce qui est plus facile et plus rapide que de vérifier la chaîne de caractères de la clé publique elle-même !

Répondu el 4 de Mai, 2015 par tmangin (391 Points )

1 votes

Avatar de nycynik

Vous pouvez également l'ajouter dans votre fichier ssh/config VisualHostKey=yes - c'est là que j'ai trouvé cette information safematix.com/system/linux/ssh-visualhostkey

Commenté el 4 de Mars, 2020 par nycynik

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X