Quais elementos afetam os pares de chaves gerados pelo ssh-keygen?

Quais elementos afetam os pares de chaves gerados pelo ssh-keygen?

Eu uso o ssh-keygen -t rsapara gerar os pares de chaves RSA. Vejo isso no id_rsa.pubarquivo, vejo o nome de usuário e o nome do host.

Mas quero saber quais elementos afetarão os pares de chaves. Por exemplo, se eu alterar o IP do host, preciso regenerar os pares de chaves? E o nome do host? ou até mesmo reinstalar o sistema operacional?

Quando devo regenerar os pares de chaves?

Responder1

A chave é gerada aleatoriamente. Não há nada mais especial em sua origem do que isso. O que significa que, desde que apenas você possua a chave privada, não há necessidade de substituí-la.

No SSH, uma chave de usuário geralmente é usada para identificar uma combinação de usuário e sistema de origem. Isso significa que a chave não é compartilhada entre usuários no mesmo sistema ou entre o mesmo usuário em vários sistemas.
Embora esta não seja uma limitação técnica, você pode quebrar qualquer uma dessas regras sem problemas. É apenas uma boa prática de segurança.

Numa chave pública ( id_rsa.pub), o último campo é um comentário. O ssh-keygencomando normalmente coloca seu nome de usuário e nome de host como o último campo. Isso não serve para nada além de um comentário para identificar a chave. Para saber por que coloca nome de usuário e nome de host, consulte o parágrafo anterior.

Para responder diretamente à sua pergunta, "Quando devo regenerar os pares de chaves?":
Você deve regenerar a chave quando ela tiver sido comprometida e potencialmente obtida por outra pessoa. Neste momento você também deve revogar a chave pública anterior de todos os sistemas remotos que confiam nela (o authorized_keysarquivo).
Essa é literalmente a única razão. Se você reinstalar o sistema operacional, alterar o nome do host, etc., não será necessário recriar a chave. Embora você possa, se quiser.

Responder2

Derfc4716sabemos que user@hostname id_rsa.pubé apenas um comentário, não afeta o conteúdo dos pares de chaves.

Acho que o nome de usuário é um dos elementos que afeta o conteúdo porque eu uso dois usuários para ter pares de chaves diferentes no mesmo host :-)

informação relacionada