El formato de salida "ssh-keygen -l" de OpenBSD ha cambiado en 5.7. ¿Cómo verificar la clave de host al conectarse desde versiones ssh anteriores?
Hasta OpenBSD 5.6, el formato de salida de la huella digital host_keys era así:
# ssh-keygen -lf ssh_host_ecdsa_key.pub
256 9d:76:ba:86:80:ef:63:eb:41:2f:13:f3:f4:b5:0b:35 [email protected] (ECDSA)
En OpenBSD 5.7 el formato de salida ha cambiado:
# ssh-keygen -lf ssh_host_ecdsa_key.pub
256 SHA256:6vYsd91sIrtVqPXazpPfRxj9QDa+1+Ns2C2lKSUph3c [email protected] (ECDSA)
Al conectarse desde un cliente ssh OpenBSD5.7 a un sshd OpenBSD5.7, es posible realizar una verificación:
# ssh localhost
The authenticity of host 'localhost (127.0.0.1)' can't be established.
ECDSA key fingerprint is SHA256:6vYsd91sIrtVqPXazpPfRxj9QDa+1+Ns2C2lKSUph3c.
Are you sure you want to continue connecting (yes/no)?
¿Cómo verifico las huellas digitales de las claves cuando me conecto desde una máquina OpenBSD 5.6 a una máquina OpenBSD 5.7? ¿Hay alguna manera de convertir el formato de salida?
Respuesta1
En OpenBSD 5.7, ssh-keygen usa SHA256 para el hash de huellas digitales predeterminado.
Estás buscando el hash MD5 de la huella digital:
# ssh-keygen -l -E md5 -f /etc/ssh/ssh_host_ecdsa_key.pub