Pertanyaan Apa itu randomart yang diproduksi oleh ssh-keygen?


Ketika Anda menghasilkan kunci, Anda mendapatkan "randomart" dari versi OpenSSH yang lebih baru. Saya tidak dapat menemukan penjelasan mengapa, dan untuk apa saya menggunakannya.

Generating public/private rsa key pair.
The key fingerprint is:
05:1e:1e:c1:ac:b9:d1:1c:6a:60:ce:0f:77:6c:78:47 you@i
The key's randomart image is:
+--[ RSA 2048]----+
|       o=.       |
|    o  o++E      |
|   + . Ooo.      |
|    + O B..      |
|     = *S.       |
|      o          |
|                 |
|                 |
|                 |
+-----------------+

Generating public/private dsa key pair.
The key fingerprint is:
b6:dd:b7:1f:bc:25:31:d3:12:f4:92:1c:0b:93:5f:4b you@i
The key's randomart image is:
+--[ DSA 1024]----+
|            o.o  |
|            .= E.|
|             .B.o|
|              .= |
|        S     = .|
|       . o .  .= |
|        . . . oo.|
|             . o+|
|              .o.|
+-----------------+

325
2017-08-13 22:37


asal




Jawaban:


Randomart ini dimaksudkan untuk menjadi cara yang lebih mudah bagi manusia untuk memvalidasi kunci.

Validasi biasanya dilakukan dengan perbandingan string tanpa arti (yaitu representasi heksadesimal dari sidik jari kunci), yang manusia cukup lambat dan tidak akurat dalam membandingkan. Randomart menggantikan ini dengan gambar terstruktur yang lebih cepat dan lebih mudah dibandingkan.

Kertas ini "Visualisasi Hash: Teknik Baru untuk meningkatkan Keamanan Dunia Nyata", Perrig A. dan Song D., 1999, Lokakarya Internasional tentang Teknik Kriptografi dan E-Commerce (CrypTEC '99) " menjelaskan beberapa teknik dan kelebihan.


242
2017-08-13 22:47



Jika Anda bisa menjelaskan mengapa manusia memvalidasi kunci, itu bisa membantu, karena sejujurnya saya cenderung hanya memasukkan kunci publik saya di file authorized_keys saya dan diselesaikan dengan itu. - dlamblin
@dlamblin: Anda biasanya tidak akan memverifikasi kunci Anda sendiri dengan ini. Akan, bagaimanapun, berguna untuk memverifikasi kunci tuan rumah dari mesin remote. Satu ide adalah bahwa jika Anda login ke mesin tertentu dari berbagai lokasi (atau Anda tidak menyimpan kunci ke dalam file known_hosts Anda), Anda akan dapat mengenali "seni" kunci host. Jika seni yang tiba-tiba berubah, Anda harus waspada dalam mengetikkan kata sandi karena ini mungkin berarti bahwa serangan man-in-the-middle sedang berlangsung pada koneksi Anda (atau itu mungkin berarti bahwa tuan rumah baru saja mengubah kunci untuk beberapa lainnya alasan). - Chris Johnsen
Uhm, Kapan saya bisa melihat seni tuan rumah? (Saya pikir saya tidak pernah melakukannya.) Saya hanya melihat gambar seperti itu setelah menghasilkan pasangan kunci saya. Dan untuk apa saya harus membandingkannya untuk mengenali perubahan 'tiba-tiba'. - DerMike
Saya berani bertaruh randomart mematuhi prinsip yang sama dengan hash untuk pemeriksaan integritas, yaitu: perbedaan kecil dalam input menghasilkan output yang sangat berbeda. Itu berarti Anda hanya harus menghafal bentuk kasar dari randomart yang diharapkan untuk dapat melihat ada sesuatu yang salah. Tentu saja ini tidak berhasil dalam praktek ketika SSH dkk tidak menunjukkan kepada Anda randomart dari host yang Anda hubungkan (mereka harus melakukannya bahkan ketika tuan rumah diketahui). - Alan Plum
Saya membayangkan ini paling berguna ketika kunci publik dipertukarkan secara langsung untuk pemeriksaan integritas setelah salinan selesai. - jordanpg


Menambahkan

-o VisualHostKey=yes 

ke baris perintah Anda, atau masukkan

VisualHostKey=yes 

di dalam kamu ~/.ssh/config.

Anda akan melihat kotak acak dari kotak yang Anda masuki. Jika Anda log on satu hari dan seni acak berbeda (otak Anda harus pergi Hei! Saya tidak mengenali itu!), Maka mungkin seseorang meretas, atau sesuatu.

Idenya adalah bahwa Anda tidak secara sadar perlu melakukannya. Salah satu kunci untuk salah satu mesin kami agak mirip kupu-kupu. Yang lain agak terlihat seperti penis (ya, otak kita primitif). Jika Anda log on setiap hari, Anda terbiasa dengan gambar-gambar tersebut tanpa mencoba.


175
2018-01-05 00:49



Tidak hebat. Jika Anda sudah login sebelumnya, jauh lebih baik bagi komputer untuk melakukan pengenalan untuk Anda menggunakan sidik jari yang tersimpan. Fitur ini hanya digunakan untuk masuk ke komputer baru. - Nicholas Wilson
Jauh terlambat untuk jawaban ini, tetapi perlu untuk menunjukkan bahwa ini akan sangat berguna jika Anda masuk dari mesin yang berbeda yang tidak memiliki semua yang dikenal Anda. Dalam hal ini, komputer tidak akan dapat memverifikasi bahwa itu diketahui, tetapi pengguna harus dapat melihat "Itu terlihat jauh berbeda dari biasanya!" dan batalkan. - Xkeeper
Membiarkan komputer Anda melakukan pengenalan rentan terhadap host komputer Anda sendiri yang diretas. Sama seperti Anda tidak boleh membiarkan komputer Anda memasukkan kata sandi untuk Anda, Anda akan lebih baik memvalidasi kunci host itu sendiri. - Marko Topolnik


Pengumuman resmi: OpenSSH 5.1 dirilis

Memperkenalkan Sidik Jari SSH eksperimental   Visualisasi ASCII ke ssh (1) dan   ssh-keygen (1). Jari-jari visual   display dikendalikan oleh yang baru   ssh_config (5) opsi "VisualHostKey".   Tujuannya adalah untuk membuat kunci host SSH   dalam bentuk visual yang bisa diterima   mengingat mudah dan penolakan berubah   kunci tuan rumah. Teknik ini terinspirasi oleh   visualisasi hash grafis   skema yang dikenal sebagai "seni acak [*]", dan   oleh renungan Dan Kaminsky di 23C3 di   Berlin.

Visualisasi sidik jari adalah   saat ini dinonaktifkan secara default, karena   algoritma yang digunakan untuk menghasilkan acak   seni masih bisa berubah.


33
2017-08-13 22:48



Kalimat terakhir itu memang patut untuk diketahui. OpenBSD Journal @ Undeadly.org info tentang rilis OpenSSH 6.8 menyatakan, "Harap dicatat bahwa kunci host visual juga akan berbeda." Perangkat lunak baru menunjukkan gambar yang berbeda dari gambar yang ditampilkan oleh perangkat lunak yang lebih lama. - TOOGAM


Anda dapat menemukan analisis mendalam dari randomart VisualHostKey di kertas pendek Uskup Drunken.


24
2017-09-04 11:35





Randomart yang ditampilkan setelah generasi ssh-keygen adalah representasi grafis dari kunci yang baru saja Anda hasilkan. Kemudian:

  • Randomart adalah tidak sangat berguna Untuk pengguna yang menghasilkan ssh-key 

  • Randomart bisa sangat berguna untuk pengguna yang menggunakan koneksi melalui SSH ke sering terhubung ke server yang sama: jika dia menambahkan opsi "-o VisualHostKey = yes" untuk perintah SSH-nya:

    ssh user@domainname.com -o VisualHostKey = ya

Randomart yang sesuai dengan kunci publik dari server akan ditampilkan.

Untuk melihat contoh, Anda dapat mencoba:

ssh git@github.com -o VisualHostKey = yes

Dalam kasus di mana pengguna sering menghubungkan ke server yang sama, maka dia bisa dengan cepat dan mudah memeriksa apakah dia mengenali Randomart sesuai dengan kunci publik server ini atau tidak. Yang lebih mudah dan lebih cepat daripada memeriksa string karakter kunci publik itu sendiri!


8
2018-05-04 13:30