Calculer l'empreinte digitale de la clé RSA

Je dois faire l'audit de clé SSH pour GitHub, mais je ne sais pas comment trouver mon empreinte digitale de clé RSA. J'ai initialement suivi un guide pour générer une clé SSH sous Linux.

Quelle est la commande que je dois entrer pour trouver mon empreinte digitale de clé RSA actuelle?

Exécutez la commande suivante pour récupérer l'empreinte SHA256 de votre clé SSH ( -lsignifie «liste» au lieu de créer une nouvelle clé, -fsignifie «nom de fichier»):

$ ssh-keygen -lf /path/to/ssh/key

Ainsi, par exemple, sur ma machine, la commande que j'ai exécutée était (à l'aide de la clé publique RSA):

$ ssh-keygen -lf ~/.ssh/id_rsa.pub
2048 00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff /Users/username/.ssh/id_rsa.pub (RSA)

Pour obtenir le format d'empreinte digitale GitHub (MD5) avec les nouvelles versions de ssh-keygen, exécutez:

$ ssh-keygen -E md5 -lf <fileName>

Informations bonus:

ssh-keygen -lffonctionne également sur known_hostset authorized_keysfichiers.

Pour trouver la plupart des clés publiques sur les systèmes Linux / Unix / OS X, exécutez

$ find /etc/ssh /home/*/.ssh /Users/*/.ssh -name '*.pub' -o -name 'authorized_keys' -o -name 'known_hosts'

(Si vous voulez voir l'intérieur des homedirs des autres utilisateurs, vous devrez être root ou sudo.)

Le ssh-add -lest très similaire, mais répertorie les empreintes digitales des clés ajoutées à votre agent. (Les utilisateurs d'OS X prennent note que la magie sans mot de passe SSH via le trousseau n'est pas la même chose que l'utilisation de ssh-agent.)

Les nouvelles commandes SSH répertorieront les empreintes digitales en tant que clé SHA256 .

Par exemple:

ssh-keygen -lf ~/.ssh/id_dsa.pub 
1024 SHA256:19n6fkdz0qqmowiBy6XEaA87EuG/jgWUr44ZSBhJl6Y (DSA)

Si vous devez le comparer à une ancienne empreinte digitale, vous devez également spécifier d'utiliser la fonction de hachage d'empreinte digitale MD5 .

ssh-keygen -E md5 -lf ~/.ssh/id_dsa.pub
2048 MD5:4d:5b:97:19:8c:fe:06:f0:29:e7:f5:96:77:cb:3c:71 (DSA)

Aussi disponible: -E sha1

Mise à jour ... OUI ... oui ... Je sais ... Les clés DSA pour SSH ne devraient plus être utilisées, l'ancienne clé RSA ou les nouvelles clés écliptiques devraient être utilisées à la place.

À ces «administrateurs» qui continuent de modifier la commande que j'ai utilisée dans ce qui précède. Arrêtez de le changer! Vous faites la commande et la sortie qui en résulte ne correspondent pas!

Pour voir votre clé sur Ubuntu, entrez simplement la commande suivante sur votre terminal:

ssh-add -l

Vous obtiendrez une sortie comme celle-ci: 2568 0j:20:4b:88:a7:9t:wd:19:f0:d4:4y:9g:27:cf:97:23yourName @ ubuntu (RSA)

Si toutefois vous obtenez une erreur comme; Could not open a connection to your authentication agent.
Cela signifie alors que ssh-agent n'est pas en cours d'exécution. Vous pouvez le démarrer / l'exécuter avec: ssh-agent bash(merci à @Richard dans les commentaires) puis relancerssh-add -l

Une paire de clés (les clés privée et publique) aura la même empreinte digitale; dans le cas où vous ne vous souvenez pas quelle clé privée appartient à quelle clé publique, trouvez la correspondance en comparant leurs empreintes digitales.

La réponse la plus votée de Marvin Vinto fournit l'empreinte digitale d'un fichier de clé SSH public . L'empreinte digitale de la clé SSH privée correspondante peut également être interrogée, mais elle nécessite une série d'étapes plus longue, comme indiqué ci-dessous.

1. Chargez l'agent SSH, si vous ne l'avez pas encore fait. Le moyen le plus simple consiste à invoquer

   $ ssh-agent bash
   

   ou

   $ ssh-agent tcsh
   

   (ou un autre shell que vous utilisez).

2. Chargez la clé privée que vous souhaitez tester:

   $ ssh-add /path/to/your-ssh-private-key
   

   Il vous sera demandé de saisir la phrase secrète si la clé est protégée par mot de passe.

3. Maintenant, comme d'autres l'ont dit, tapez

   $ ssh-add -l
   1024 fd:bc:8a:81:58:8f:2c:78:86:a2:cf:02:40:7d:9d:3c you@yourhost (DSA)
   

   fd:bc:...est l'empreinte digitale que vous recherchez. S'il y a plusieurs clés, plusieurs lignes seront imprimées et la dernière ligne contient l'empreinte digitale de la dernière clé chargée.

4. Si vous voulez arrêter l'agent (c'est-à-dire si vous avez appelé l'étape 1 ci-dessus), tapez simplement `exit 'sur le shell, et vous serez de retour sur le shell avant le chargement de l'agent ssh.

Je n'ajoute pas de nouvelles informations, mais j'espère que cette réponse est claire pour les utilisateurs de tous niveaux.

Le moyen le plus rapide si vos clés sont dans un agent SSH:

$ ssh-add -L | ssh-keygen -E md5 -lf /dev/stdin

Chaque clé de l'agent sera imprimée comme suit:

4096 MD5:8f:c9:dc:40:ec:9e:dc:65:74:f7:20:c1:29:d1:e8:5a /Users/cmcginty/.ssh/id_rsa (RSA)

Reproduire le contenu des forums AWS ici, car je l'ai trouvé utile pour mon cas d'utilisation - je voulais vérifier laquelle de mes clés correspondait à celles que j'avais importées dans AWS

openssl pkey -in ~/.ssh/ec2/primary.pem -pubout -outform DER | openssl md5 -c

Où: - primary.pemest la clé privée à vérifier

$ ssh-add -l 

fonctionnera également sur Mac OS X v10.8 (Mountain Lion) - v10.10 (Yosemite).

Il prend également en charge l'option -Ede spécifier le format d'empreinte digitale, donc dans le cas où MD5 est nécessaire (il est souvent utilisé, par exemple par GitHub), ajoutez simplement -E md5à la commande.

Sous Windows, si vous exécutez PuTTY / Pageant, l'empreinte digitale est répertoriée lorsque vous chargez votre clé PuTTY (.ppk) dans Pageant. C'est assez utile au cas où vous oublieriez celui que vous utilisez.

C'est la fonction shell que j'utilise pour obtenir mon empreinte digitale SSH pour créer des gouttelettes DigitalOcean :

fingerprint() {
    pubkeypath="$1"
    ssh-keygen -E md5 -lf "$pubkeypath" | awk '{ print $2 }' | cut -c 5-
}

Mettez-le dans votre ~/.bashrc, sourcez-le, puis vous pouvez obtenir l'empreinte digitale comme suit:

$ fingerprint ~/.ssh/id_rsa.pub
d2:47:0a:87:30:a0:c0:df:6b:42:19:55:b4:f3:09:b9

Si votre agent SSH est en cours d'exécution, il est

ssh-add -l

pour répertorier les empreintes digitales RSA de toutes les identités ou -Lpour répertorier les clés publiques.

Si votre agent n'est pas en cours d'exécution, essayez:

ssh-agent sh -c 'ssh-add; ssh-add -l'

Et pour vos clés publiques:

ssh-agent sh -c 'ssh-add; ssh-add -L'

Si vous obtenez le message: « L'agent n'a pas d'identité. ', vous devez d'abord générer votre clé RSA ssh-keygen.

Parfois, vous pouvez avoir un tas de clés dans votre ~/.sshrépertoire, et vous ne savez pas qui correspond à l'empreinte digitale affichée par GitHub / Gitlab / etc.

Voici comment afficher les noms de fichiers clés et les empreintes digitales MD5 de toutes les clés de votre ~/.sshrépertoire:

cd ~/.ssh
find . -type f -exec printf "\n{}\n" \; -exec ssh-keygen -E md5 -lf {} \;

(Pour ce que signifient les paramètres, reportez-vous à cette réponse sur la findcommande .

Notez que les fichiers privés / publics qui appartiennent à une clé ont la même empreinte digitale, vous verrez donc des doublons.

Google Compute Engine affiche l'empreinte de la clé d'hôte SSH dans la sortie série d'une instance Linux. L'API peut obtenir ces données de GCE, et il n'est pas nécessaire de se connecter à l'instance.

Je ne l'ai trouvé nulle part ailleurs que dans la sortie série. Je pense que l'empreinte digitale devrait être dans un endroit plus convivial pour les programmeurs.

Cependant, il semble que cela dépend du type d'instance. J'utilise des instances de Debian 7 (Wheezy) f1-micro.

Pour vérifier un serveur SSH distant avant la première connexion, vous pouvez consulter le site www.server-stats.net/ssh/ pour voir toutes les clés SHH du serveur, ainsi que lorsque la clé est connue.

Ce n'est pas comme un certificat SSL, mais c'est incontournable avant de vous connecter à un serveur SSH pour la première fois.

Sur Fedora, je fais locate ~/.sshce qui me dit que les clés sont à

/root/.ssh
/root/.ssh/authorized_keys