SSH : Empreinte d'une clé (publique) ⇔ Fingerprint

On y discute de tout, ou presque...
Répondre
Avatar du membre
dezix
Modérateur
Modérateur
Messages : 1489
Enregistré le : 04 juin 2016, 14:50
Status : Hors ligne

Bonjour, :006:

J'ai besoin d'un éclaircissement au sujet de ce qui est nommé "fingerprint" pour les clés SSH.

Car si je génère une clé :

Code : Tout sélectionner

$ ssh-keygen -t ed25519 -f ./test_ed25519
Generating public/private ed25519 key pair.
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in ./test_ed25519
Your public key has been saved in ./test_ed25519.pub
The key fingerprint is:
SHA256:pXTZoAyCYVF+G6lo4DF4FMGYSbQyLq2SbT+b3g4qhac toto@local-system
The key's randomart image is:
+--[ED25519 256]--+
|oBBBo .   .      |
|=o+. . + . +     |
|=+. . + + + .    |
|+=o. o + +       |
|.++ . . S        |
|o=o              |
|++o .            |
|E. o.+           |
| ...=+o          |
+----[SHA256]-----+


J'ai alors :

Code : Tout sélectionner

$ cat ./test_ed25519.pub
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIN7SpqRHNaQWRNd32th/MNneW6mP7rYQZY+JbfxGQvFk toto@local-system

puis j'envoie (???) de ma clé publique sur le serveur (distant)

Code : Tout sélectionner

$ ssh-copy-id -i ./test_ed25519.pub root@ip_server
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "./test_ed25519.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@ip_server's password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'root@ip_server'"
and check to make sure that only the key(s) you wanted were added.

ce qui donne sur le serveur

Code : Tout sélectionner

root@server:~/.ssh# cat authorized_keys
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIN7SpqRHNaQWRNd32th/MNneW6mP7rYQZY+JbfxGQvFk toto@local-system




Mon interrogation est au sujet du distingo à faire entre :

AAAAC3NzaC1lZDI1NTE5AAAAIN7SpqRHNaQWRNd32th/MNneW6mP7rYQZY+JbfxGQvFk

Code : Tout sélectionner

$ cat ./test_ed25519.pub
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIN7SpqRHNaQWRNd32th/MNneW6mP7rYQZY+JbfxGQvFk toto@local-system

et

pXTZoAyCYVF+G6lo4DF4FMGYSbQyLq2SbT+b3g4qhac

Code : Tout sélectionner

The key fingerprint is:
SHA256:pXTZoAyCYVF+G6lo4DF4FMGYSbQyLq2SbT+b3g4qhac toto@local-system
Je comprends l'utilité du "randomart" > plus facile à différencier pour l'humain

Code : Tout sélectionner

The key's randomart image is:
+--[ED25519 256]--+
|oBBBo .   .      |
|=o+. . + . +     |
|=+. . + + + .    |
|+=o. o + +       |
|.++ . . S        |
|o=o              |
|++o .            |
|E. o.+           |
| ...=+o          |
+----[SHA256]-----+

Mais à part créer de la confusion,
je ne comprends pas l'utilité de cette empreinte "SHA256" :

Code : Tout sélectionner

The key fingerprint is:
SHA256:pXTZoAyCYVF+G6lo4DF4FMGYSbQyLq2SbT+b3g4qhac toto@local-system

Merci.
Debian stable - XFCE
Avatar du membre
vv222
Modérateur
Modérateur
Messages : 480
Enregistré le : 18 avr. 2016, 20:14
Localisation : Bretagne
Contact :
Status : Hors ligne

En fait je pense que tu es confus parce que ta clé publique entière est :
AAAAC3NzaC1lZDI1NTE5AAAAIN7SpqRHNaQWRNd32th/MNneW6mP7rYQZY+JbfxGQvFk
Ce qui est en effet suffisamment court pour qu’une empreinte ne semble pas nécessaire.

Mais il faut garder en tête que beaucoup de monde utilise encore des clés RSA, qui ressemblent plutôt à ça :
AAAAB3NzaC1yc2EAAAADAQABAAABAQDTE42AcPkUsEOZe4LWsfMXYeKNJikl2AfMJvBGk4E/Oz7TzPI2KtJpi4nDlpziZJdJ3ycX/eM311ikuWNjGp7Evmeoxp9Ab/dmMMjxG2QkjYcCNoW9J3Hz1etawJqtITvMR7a1eO0t5kv2Fx1w2HNwc2GKJD4CCCNqm9w3ZD2cl1LDDm2Qnb4VEY3rpwKgs2uEsJCqNeqoalJMkklkTsphkzLmJi95ZAgJFqG20HWeFXsSAW7WoqKpfyO/mONP5eg2almonl93w7GXqWa1i8CV7uk2oT0lrS+u0/zBY1UwR+7cbCpkr4gy8bLNOVp+ys7bkdaoe5mtvTgjIvxILy8j

Ou même pour ceux qui suivent le conseil de certains guides en ligne de générer des clés RSA de 4096 bits :
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

Je pense qu’avec ces exemples le rôle de l’empreinte est tout de suite plus causant :wink:
Avatar du membre
dezix
Modérateur
Modérateur
Messages : 1489
Enregistré le : 04 juin 2016, 14:50
Status : Hors ligne

Merci pour ta réponse...

Comme je commence seulement à m'intéresser plus sérieusement à ce genre de problématique de la sécurité,
et que j'ai lu que ed25519 est le type le plus sûr actuellement,

je n'avais même pas tenté :

ssh-keygen -t rsa -b 4096 -f ./rsa_4096

... effectivement la sortie de cat ./rsa_4096.pub est à rallonge.

Je n'imaginais pas (à tort) qu'une clé moins fiable puisse être aussi longue :wacko:


Bonne journée

@+
Debian stable - XFCE
Avatar du membre
vv222
Modérateur
Modérateur
Messages : 480
Enregistré le : 18 avr. 2016, 20:14
Localisation : Bretagne
Contact :
Status : Hors ligne

dezix a écrit : 28 sept. 2021, 09:24Comme je commence seulement à m'intéresser plus sérieusement à ce genre de problématique de la sécurité,
et que j'ai lu que ed25519 est le type le plus sûr actuellement,
Je confirme, RSA n’est encore utilisé que pour des raisons de compatibilité. Si tu peux utiliser du ed25519, c’est meilleur sur tous les plans.
Avatar du membre
dezix
Modérateur
Modérateur
Messages : 1489
Enregistré le : 04 juin 2016, 14:50
Status : Hors ligne

vv222 a écrit : 28 sept. 2021, 11:56 Je confirme ... ed25519...meilleur sur tous les plans.

Super! :good:
Debian stable - XFCE
Avatar du membre
piratebab
Site Admin
Site Admin
Messages : 3744
Enregistré le : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : Hors ligne

Au plus ta clef est longue, au plus elle est difficile à casser par force brute (indépendamment de la robustesse de l'algo et de son implémentation)
Répondre