Рассчитать отпечаток ключа RSA

Мне нужно провести аудит ключа SSH для GitHub, но я не уверен, как найти мой отпечаток ключа RSA. Первоначально я следовал руководству по созданию ключа SSH в Linux.

Какую команду мне нужно ввести, чтобы найти мой текущий отпечаток ключа RSA?

Выполните следующую команду, чтобы получить отпечаток SHA256 вашего SSH-ключа ( -lозначает «список» вместо создания нового ключа, -f«имя файла»):

$ ssh-keygen -lf /path/to/ssh/key

Например, на моей машине я выполнил команду (используя открытый ключ RSA):

$ ssh-keygen -lf ~/.ssh/id_rsa.pub
2048 00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff /Users/username/.ssh/id_rsa.pub (RSA)

Чтобы получить формат отпечатка пальца GitHub (MD5) с новыми версиями ssh-keygen, запустите:

$ ssh-keygen -E md5 -lf <fileName>

Информация о бонусе:

ssh-keygen -lfтакже работает на known_hostsи authorized_keysфайлы.

Чтобы найти большинство открытых ключей в системах Linux / Unix / OS X, запустите

$ find /etc/ssh /home/*/.ssh /Users/*/.ssh -name '*.pub' -o -name 'authorized_keys' -o -name 'known_hosts'

(Если вы хотите видеть домашние каталоги других пользователей, вам нужно быть пользователем root или sudo.)

Это ssh-add -lочень похоже, но перечисляет отпечатки пальцев клавиш, добавленных к вашему агенту. (Пользователи OS X обращают внимание на то, что магический SSH без пароля через Keychain - это не то же самое, что использование ssh-agent.)

В новых командах SSH отпечатки пальцев будут перечислены как ключ SHA256 .

Например:

ssh-keygen -lf ~/.ssh/id_dsa.pub 
1024 SHA256:19n6fkdz0qqmowiBy6XEaA87EuG/jgWUr44ZSBhJl6Y (DSA)

Если вам нужно сравнить его со старым отпечатком пальца, вам также необходимо указать функцию хеширования отпечатка пальца MD5 .

ssh-keygen -E md5 -lf ~/.ssh/id_dsa.pub
2048 MD5:4d:5b:97:19:8c:fe:06:f0:29:e7:f5:96:77:cb:3c:71 (DSA)

Также доступны: -E sha1

Обновить ... ДА ... да ... я знаю ... DSA-ключи для SSH больше не должны использоваться, вместо них следует использовать более старый ключ RSA или более новые эклиптические ключи.

Для тех «администраторов», которые продолжают редактировать команду, которую я использовал выше. Хватит менять его! Вы делаете команду, и полученный результат не совпадает!

Чтобы увидеть свой ключ в Ubuntu, просто введите следующую команду на своем терминале:

ssh-add -l

Вы получите такой вывод: 2568 0j:20:4b:88:a7:9t:wd:19:f0:d4:4y:9g:27:cf:97:23yourName @ ubuntu (RSA)

Однако, если вы получаете сообщение об ошибке типа; Could not open a connection to your authentication agent.
Тогда это означает, что ssh-agent не запущен. Вы можете запустить / запустить его с помощью: ssh-agent bash(благодаря @Richard в комментариях), а затем перезапуститеssh-add -l

Пара ключей (закрытый и открытый ключи) будет иметь один и тот же отпечаток пальца; так что в случае, если вы не можете вспомнить, какой закрытый ключ принадлежит какому публичному ключу, найдите соответствие, сравнив их отпечатки пальцев.

В ответе Марвина Винто, получившем наибольшее количество голосов, содержится отпечаток открытого файла ключа SSH. Также можно запросить отпечаток соответствующего закрытого ключа SSH, но для этого требуется более длинный ряд шагов, как показано ниже.

1. Загрузите агент SSH, если вы еще этого не сделали. Самый простой способ - вызвать

   $ ssh-agent bash
   

   или

   $ ssh-agent tcsh
   

   (или другую оболочку, которую вы используете).

2. Загрузите закрытый ключ, который вы хотите проверить:

   $ ssh-add /path/to/your-ssh-private-key
   

   Вам будет предложено ввести кодовую фразу, если ключ защищен паролем.

3. Теперь, как уже говорили другие, введите

   $ ssh-add -l
   1024 fd:bc:8a:81:58:8f:2c:78:86:a2:cf:02:40:7d:9d:3c you@yourhost (DSA)
   

   fd:bc:...это отпечаток, который вы ищете. Если имеется несколько клавиш, будет напечатано несколько строк, а последняя строка содержит отпечаток последней загруженной клавиши.

4. Если вы хотите остановить агент (т. Е. Если вы вызвали шаг 1 выше), просто введите `exit 'в оболочке, и вы вернетесь в оболочку до загрузки агента ssh.

Я не добавляю новую информацию, но, надеюсь, этот ответ понятен пользователям всех уровней.

Самый быстрый способ, если ваши ключи находятся в агенте SSH:

$ ssh-add -L | ssh-keygen -E md5 -lf /dev/stdin

Каждый ключ в агенте будет напечатан как:

4096 MD5:8f:c9:dc:40:ec:9e:dc:65:74:f7:20:c1:29:d1:e8:5a /Users/cmcginty/.ssh/id_rsa (RSA)

Воспроизведение контента с форумов AWS здесь, потому что я нашел его полезным для моего варианта использования - я хотел проверить, какие из моих ключей соответствуют тем, которые я импортировал в AWS

openssl pkey -in ~/.ssh/ec2/primary.pem -pubout -outform DER | openssl md5 -c

Где: - primary.pemзакрытый ключ для проверки

$ ssh-add -l 

также будет работать на Mac OS X v10.8 (Mountain Lion) - v10.10 (Yosemite).

Он также поддерживает возможность -Eуказать формат отпечатка пальца, поэтому, если требуется MD5 (он часто используется, например, GitHub), просто добавьте -E md5команду.

В Windows, если вы используете PuTTY / Pageant, отпечаток пальца появляется при загрузке ключа PuTTY (.ppk) в Pageant. Это очень полезно, если вы забыли, какой из них вы используете.

Это функция оболочки, которую я использую, чтобы получить отпечаток моего ключа SSH для создания капель DigitalOcean :

fingerprint() {
    pubkeypath="$1"
    ssh-keygen -E md5 -lf "$pubkeypath" | awk '{ print $2 }' | cut -c 5-
}

Поместите это в свой ~/.bashrcисточник, и тогда вы можете получить отпечаток пальца так:

$ fingerprint ~/.ssh/id_rsa.pub
d2:47:0a:87:30:a0:c0:df:6b:42:19:55:b4:f3:09:b9

Если ваш агент SSH работает, это

ssh-add -l

для перечисления отпечатков пальцев RSA всех идентификаторов или -Lдля перечисления открытых ключей.

Если ваш агент не работает, попробуйте:

ssh-agent sh -c 'ssh-add; ssh-add -l'

И для ваших открытых ключей:

ssh-agent sh -c 'ssh-add; ssh-add -L'

Если вы получите сообщение: « У агента нет идентификаторов. ', тогда вы должны ssh-keygenсначала сгенерировать свой ключ RSA .

Иногда в вашем ~/.sshкаталоге может быть несколько ключей , и вы не знаете, какой из них соответствует отпечатку пальца, показанному в GitHub / Gitlab / etc.

Вот как показать имена файлов ключей и отпечатки пальцев MD5 всех ключей в вашем ~/.sshкаталоге:

cd ~/.ssh
find . -type f -exec printf "\n{}\n" \; -exec ssh-keygen -E md5 -lf {} \;

(Что означают параметры, обратитесь к этому ответу о findкоманде .

Обратите внимание, что личные / публичные файлы, принадлежащие одному ключу, имеют одинаковый отпечаток, поэтому вы увидите дубликаты.

Google Compute Engine показывает отпечаток ключа хоста SSH в последовательном выводе экземпляра Linux. API может получать эти данные из GCE, и нет необходимости входить в экземпляр.

Я не нашел его нигде, кроме как с серийного выхода. Я думаю, что отпечаток должен быть в более дружественном для программиста месте.

Однако, похоже, что это зависит от типа экземпляра. Я использую экземпляры Debian 7 (Wheezy) f1-micro.

Чтобы проверить удаленный сервер SSH перед первым подключением, вы можете посмотреть на сайте www.server-stats.net/ssh/, чтобы увидеть все ключи SHH для сервера, а также информацию о том, когда ключ известен.

Это не похоже на SSL-сертификат, но, безусловно, необходимо сделать перед первым подключением к любому SSH-серверу.

На Fedora я делаю locate ~/.sshчто говорит мне ключи находятся на

/root/.ssh
/root/.ssh/authorized_keys