Welche Elemente beeinflussen die von ssh-keygen generierten Schlüsselpaare?

Welche Elemente beeinflussen die von ssh-keygen generierten Schlüsselpaare?

Ich verwende es, ssh-keygen -t rsaum die RSA-Schlüsselpaare zu generieren. Ich id_rsa.pubsehe in der Datei den Benutzernamen und den Hostnamen.

Aber ich möchte wissen, welche Elemente die Schlüsselpaare beeinflussen. Wenn ich beispielsweise die Host-IP ändere, muss ich dann die Schlüsselpaare neu generieren? Und den Hostnamen? Oder muss ich sogar das Betriebssystem neu installieren?

Wann sollte ich die Schlüsselpaare neu generieren?

Antwort1

Der Schlüssel wird zufällig generiert. Sein Ursprung ist nichts Besonderes. Das bedeutet, dass Sie den privaten Schlüssel nicht ersetzen müssen, solange nur Sie ihn besitzen.

In SSH wird ein Benutzerschlüssel im Allgemeinen verwendet, um eine Kombination aus Benutzer und Ursprungssystem zu identifizieren. Das bedeutet, dass der Schlüssel nicht von Benutzern desselben Systems oder demselben Benutzer mehrerer Systeme gemeinsam genutzt wird.
Dies ist jedoch keine technische Einschränkung, da Sie diese Regeln problemlos brechen können. Es ist einfach eine gute Sicherheitspraxis.

Bei einem öffentlichen Schlüssel ( id_rsa.pub) ist das letzte Feld ein Kommentar. Der ssh-keygenBefehl setzt Ihren Benutzernamen und Hostnamen normalerweise als letztes Feld. Dies dient keinem anderen Zweck als als Kommentar zur Identifizierung des Schlüssels. Warum Benutzername und Hostname gesetzt werden, erfahren Sie im vorherigen Absatz.

Um Ihre Frage „Wann sollte ich die Schlüsselpaare neu generieren?“ direkt zu beantworten:
Sie sollten den Schlüssel neu generieren, wenn der Schlüssel kompromittiert wurde und möglicherweise von jemand anderem erlangt wurde. Zu diesem Zeitpunkt sollten Sie auch den vorherigen öffentlichen Schlüssel von allen Remote-Systemen widerrufen, die ihm (der authorized_keysDatei) vertrauen.
Das ist buchstäblich der einzige Grund. Wenn Sie das Betriebssystem neu installieren, den Hostnamen ändern usw., müssen Sie den Schlüssel nicht neu erstellen. Sie können dies jedoch tun, wenn Sie möchten.

Antwort2

Ausrfc4716wir wissen, dass der Benutzer@Hostname id_rsa.pubnur ein Kommentar ist und keinen Einfluss auf den Inhalt des Schlüsselpaares hat.

Ich denke, dass der Benutzername eines der Elemente ist, das den Inhalt beeinflusst, da ich zwei Benutzer verwende, um die verschiedenen Schlüsselpaare auf demselben Host zu haben :-)

verwandte Informationen