%20%E5%BD%A2%E5%BC%8F%E3%82%92%E6%AF%94%E8%BC%83%E3%81%99%E3%82%8B%E3%81%AB%E3%81%AF%E3%81%A9%E3%81%86%E3%81%99%E3%82%8C%E3%81%B0%E3%82%88%E3%81%84%E3%81%A7%E3%81%99%E3%81%8B%3F.png)
SSH サーバー/ホストにログインすると、次のように公開キーのハッシュが正しいかどうかを尋ねられます。
# ssh 1.2.3.4
The authenticity of host '[1.2.3.4]:22 ([[1.2.3.4]:22)' can't be established.
RSA key fingerprint is SHA256:CxIuAEc3SZThY9XobrjJIHN61OTItAU0Emz0v/+15wY.
Are you sure you want to continue connecting (yes/no)? no
Host key verification failed.
比較できるように、以前に SSH サーバーでこのコマンドを使用し、結果をクライアント上のファイルに保存しました。
# ssh-keygen -lf /etc/ssh/ssh_host_rsa_key.pub
2048 f6:bf:4d:d4:bd:d6:f3:da:29:a3:c3:42:96:26:4a:41 /etc/ssh/ssh_host_rsa_key.pub (RSA)
何らかの大きな理由により (疑いの余地はありません)、これらのコマンドの 1 つはハッシュを表示するための異なる (新しい?) 方法を使用します。これにより、これらを比較するために重要な変換が必要になるため、中間者攻撃者にとって非常に有利になります。
これら 2 つのハッシュを比較するにはどうすればよいでしょうか。あるいは、1 つのコマンドでもう一方の形式を使用するように強制するにはどうすればよいでしょうか。
この-Eオプションはssh-keygenサーバー上で利用できません。
答え1
ssh
# ssh -o "FingerprintHash sha256" testhost
The authenticity of host 'testhost (256.257.258.259)' can't be established.
ECDSA key fingerprint is SHA256:pYYzsM9jP1Gwn1K9xXjKL2t0HLrasCxBQdvg/mNkuLg.
# ssh -o "FingerprintHash md5" testhost
The authenticity of host 'testhost (256.257.258.259)' can't be established.
ECDSA key fingerprint is MD5:de:31:72:30:d0:e2:72:5b:5a:1c:b8:39:bf:57:d6:4a.
ssh-keyscan と ssh-keygen
別の方法としては、MD5 ハッシュと SHA256 ハッシュの両方をサポートするシステムに公開鍵をダウンロードする方法があります。
# ssh-keyscan testhost >testhost.ssh-keyscan
# cat testhost.ssh-keyscan
testhost ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItb...
testhost ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC0U...
testhost ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIMKHh...
# ssh-keygen -lf testhost.ssh-keyscan -E sha256
256 SHA256:pYYzsM9jP1Gwn1K9xXjKL2t0HLrasCxBQdvg/mNkuLg testhost (ECDSA)
2048 SHA256:bj+7fjKSRldiv1LXOCTudb6piun2G01LYwq/OMToWSs testhost (RSA)
256 SHA256:hZ4KFg6D+99tO3xRyl5HpA8XymkGuEPDVyoszIw3Uko testhost (ED25519)
# ssh-keygen -lf testhost.ssh-keyscan -E md5
256 MD5:de:31:72:30:d0:e2:72:5b:5a:1c:b8:39:bf:57:d6:4a testhost (ECDSA)
2048 MD5:d5:6b:eb:71:7b:2e:b8:85:7f:e1:56:f3:be:49:3d:2e testhost (RSA)
256 MD5:e6:16:94:b5:16:19:40:41:26:e9:f8:f5:f7:e7:04:03 testhost (ED25519)
答え2
ローカル キーの表示方法のみに回答します。これは他の回答にも表示されますが、見逃される可能性があります。少なくとも Ubuntu 19.04 バージョンでは、SHA256 は ssh-keygen のデフォルトの形式です。
$ ssh-keygen -lf ~/.ssh/id_rsa.pub
2048 SHA256:CxIuAEc3SZThY9XobrjJIHN61OTItAU0Emz0v/+15wY user@host (RSA)
もちろん、SHA256 を明示的に指定することもできます。
$ ssh-keygen -lf ~/.ssh/id_rsa.pub -E sha256
代わりに MD5 を表示する場合:
$ssh-keygen -lf ~/.ssh/id_rsa.pub -E md5
2048 f6:bf:4d:d4:bd:d6:f3:da:29:a3:c3:42:96:26:4a:41 user@host (RSA)
ちなみに、これは GitHub がアカウントの SSH キーのリストでかつて使用していた形式です。詳細については、 を参照してください$man ssh-keygen。