Das Ausgabeformat „ssh-keygen -l“ von OpenBSD hat sich in 5.7 geändert. Wie kann ich den Hostschlüssel überprüfen, wenn ich mich von älteren SSH-Versionen aus verbinde?
Bis OpenBSD 5.6 war das Ausgabeformat des host_keys-Fingerabdrucks wie folgt:
# ssh-keygen -lf ssh_host_ecdsa_key.pub
256 9d:76:ba:86:80:ef:63:eb:41:2f:13:f3:f4:b5:0b:35 [email protected] (ECDSA)
In OpenBSD 5.7 hat sich das Ausgabeformat geändert:
# ssh-keygen -lf ssh_host_ecdsa_key.pub
256 SHA256:6vYsd91sIrtVqPXazpPfRxj9QDa+1+Ns2C2lKSUph3c [email protected] (ECDSA)
Beim Verbinden von einem OpenBSD5.7-SSH-Client mit einem OpenBSD5.7-SSHD ist eine Überprüfung möglich:
# ssh localhost
The authenticity of host 'localhost (127.0.0.1)' can't be established.
ECDSA key fingerprint is SHA256:6vYsd91sIrtVqPXazpPfRxj9QDa+1+Ns2C2lKSUph3c.
Are you sure you want to continue connecting (yes/no)?
Wie überprüfe ich die Schlüssel-Fingerabdrücke, wenn ich eine Verbindung von einem OpenBSD 5.6- zu einem OpenBSD 5.7-Rechner herstelle? Gibt es eine Möglichkeit, das Ausgabeformat zu konvertieren?
Antwort1
In OpenBSD 5.7 verwendet ssh-keygen SHA256 als Standard-Fingerabdruck-Hash.
Sie suchen den MD5-Hash des Fingerabdrucks:
# ssh-keygen -l -E md5 -f /etc/ssh/ssh_host_ecdsa_key.pub