SSH : Empreinte d'une clé (publique) ⇔ Fingerprint

[dezix]

Bonjour,

J'ai besoin d'un éclaircissement au sujet de ce qui est nommé "fingerprint" pour les clés SSH.

Car si je génère une clé :

Code : Tout sélectionner

$ ssh-keygen -t ed25519 -f ./test_ed25519
Generating public/private ed25519 key pair.
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in ./test_ed25519
Your public key has been saved in ./test_ed25519.pub
The key fingerprint is:
SHA256:pXTZoAyCYVF+G6lo4DF4FMGYSbQyLq2SbT+b3g4qhac toto@local-system
The key's randomart image is:
+--[ED25519 256]--+
|oBBBo .   .      |
|=o+. . + . +     |
|=+. . + + + .    |
|+=o. o + +       |
|.++ . . S        |
|o=o              |
|++o .            |
|E. o.+           |
| ...=+o          |
+----[SHA256]-----+

J'ai alors :

Code : Tout sélectionner

$ cat ./test_ed25519.pub
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIN7SpqRHNaQWRNd32th/MNneW6mP7rYQZY+JbfxGQvFk toto@local-system

puis j'envoie (???) de ma clé publique sur le serveur (distant)

Code : Tout sélectionner

$ ssh-copy-id -i ./test_ed25519.pub root@ip_server
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "./test_ed25519.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@ip_server's password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'root@ip_server'"
and check to make sure that only the key(s) you wanted were added.

ce qui donne sur le serveur

Code : Tout sélectionner

root@server:~/.ssh# cat authorized_keys
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIN7SpqRHNaQWRNd32th/MNneW6mP7rYQZY+JbfxGQvFk toto@local-system

Mon interrogation est au sujet du distingo à faire entre :

AAAAC3NzaC1lZDI1NTE5AAAAIN7SpqRHNaQWRNd32th/MNneW6mP7rYQZY+JbfxGQvFk

Code : Tout sélectionner

$ cat ./test_ed25519.pub
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIN7SpqRHNaQWRNd32th/MNneW6mP7rYQZY+JbfxGQvFk toto@local-system

et

pXTZoAyCYVF+G6lo4DF4FMGYSbQyLq2SbT+b3g4qhac

Code : Tout sélectionner

The key fingerprint is:
SHA256:pXTZoAyCYVF+G6lo4DF4FMGYSbQyLq2SbT+b3g4qhac toto@local-system

Je comprends l'utilité du "randomart" > plus facile à différencier pour l'humain

Code : Tout sélectionner

The key's randomart image is:
+--[ED25519 256]--+
|oBBBo .   .      |
|=o+. . + . +     |
|=+. . + + + .    |
|+=o. o + +       |
|.++ . . S        |
|o=o              |
|++o .            |
|E. o.+           |
| ...=+o          |
+----[SHA256]-----+

Mais à part créer de la confusion,
je ne comprends pas l'utilité de cette empreinte "SHA256" :

Code : Tout sélectionner

The key fingerprint is:
SHA256:pXTZoAyCYVF+G6lo4DF4FMGYSbQyLq2SbT+b3g4qhac toto@local-system

Merci.

[vv222]

En fait je pense que tu es confus parce que ta clé publique entière est :

AAAAC3NzaC1lZDI1NTE5AAAAIN7SpqRHNaQWRNd32th/MNneW6mP7rYQZY+JbfxGQvFk

Ce qui est en effet suffisamment court pour qu’une empreinte ne semble pas nécessaire.

Mais il faut garder en tête que beaucoup de monde utilise encore des clés RSA, qui ressemblent plutôt à ça :

AAAAB3NzaC1yc2EAAAADAQABAAABAQDTE42AcPkUsEOZe4LWsfMXYeKNJikl2AfMJvBGk4E/Oz7TzPI2KtJpi4nDlpziZJdJ3ycX/eM311ikuWNjGp7Evmeoxp9Ab/dmMMjxG2QkjYcCNoW9J3Hz1etawJqtITvMR7a1eO0t5kv2Fx1w2HNwc2GKJD4CCCNqm9w3ZD2cl1LDDm2Qnb4VEY3rpwKgs2uEsJCqNeqoalJMkklkTsphkzLmJi95ZAgJFqG20HWeFXsSAW7WoqKpfyO/mONP5eg2almonl93w7GXqWa1i8CV7uk2oT0lrS+u0/zBY1UwR+7cbCpkr4gy8bLNOVp+ys7bkdaoe5mtvTgjIvxILy8j

Ou même pour ceux qui suivent le conseil de certains guides en ligne de générer des clés RSA de 4096 bits :

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

Je pense qu’avec ces exemples le rôle de l’empreinte est tout de suite plus causant

[dezix]

Merci pour ta réponse...

Comme je commence seulement à m'intéresser plus sérieusement à ce genre de problématique de la sécurité,
et que j'ai lu que ed25519 est le type le plus sûr actuellement,

je n'avais même pas tenté :

ssh-keygen -t rsa -b 4096 -f ./rsa_4096

... effectivement la sortie de cat ./rsa_4096.pub est à rallonge.

Je n'imaginais pas (à tort) qu'une clé moins fiable puisse être aussi longue


Bonne journée

@+

[vv222]

Comme je commence seulement à m'intéresser plus sérieusement à ce genre de problématique de la sécurité,
et que j'ai lu que ed25519 est le type le plus sûr actuellement,

Je confirme, RSA n’est encore utilisé que pour des raisons de compatibilité. Si tu peux utiliser du ed25519, c’est meilleur sur tous les plans.

[dezix]

Je confirme ... ed25519...meilleur sur tous les plans.

Super!

[piratebab]

Au plus ta clef est longue, au plus elle est difficile à casser par force brute (indépendamment de la robustesse de l'algo et de son implémentation)