web-dev-qa-db-fra.com

Comment comparer différentes empreintes digitales SSH (hachage de clé publique)?

Lorsque je me connecte à un serveur/hôte SSH, je vous demande si le hachage de sa clé publique est correct, comme celui-ci:

# ssh 1.2.3.4
The authenticity of Host '[1.2.3.4]:22 ([[1.2.3.4]:22)' can't be established.
RSA key fingerprint is SHA256:CxIuAEc3SZThY9XobrjJIHN61OTItAU0Emz0v/+15wY.
Are you sure you want to continue connecting (yes/no)? no
Host key verification failed.

Pour pouvoir comparer, j'ai déjà utilisé cette commande sur le serveur SSH et enregistré les résultats dans un fichier sur le client:

# ssh-keygen -lf /etc/ssh/ssh_Host_rsa_key.pub
2048 f6:bf:4d:d4:bd:d6:f3:da:29:a3:c3:42:96:26:4a:41 /etc/ssh/ssh_Host_rsa_key.pub (RSA)

Pour une grande raison (sans aucun doute), une de ces commandes utilise une autre voie différente (plus récente?) D'afficher le hash, aidant ainsi énormément aux attaquants de l'homme à l'homme, car il nécessite une conversion non triviale pour les comparer.

Comment puis-je comparer ces deux hatupes ou mieux: forcer une commande à utiliser le format de l'autre?

Le -E Option à ssh-keygen n'est pas disponible sur le serveur.

5
Ned64

SSH

# ssh -o "FingerprintHash sha256" testhost
The authenticity of Host 'testhost (256.257.258.259)' can't be established.
ECDSA key fingerprint is SHA256:pYYzsM9jP1Gwn1K9xXjKL2t0HLrasCxBQdvg/mNkuLg.

# ssh -o "FingerprintHash md5" testhost
The authenticity of Host 'testhost (256.257.258.259)' can't be established.
ECDSA key fingerprint is MD5:de:31:72:30:d0:e2:72:5b:5a:1c:b8:39:bf:57:d6:4a.

SSH-Keyscan & SSH-KeyGen

Une autre approche consiste à télécharger la clé publique à un système qui prend en charge les hachages MD5 et SHA256:

# ssh-keyscan testhost >testhost.ssh-keyscan

# cat testhost.ssh-keyscan
testhost ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItb...
testhost ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC0U...
testhost ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIMKHh...

# ssh-keygen -lf testhost.ssh-keyscan -E sha256
256 SHA256:pYYzsM9jP1Gwn1K9xXjKL2t0HLrasCxBQdvg/mNkuLg testhost (ECDSA)
2048 SHA256:bj+7fjKSRldiv1LXOCTudb6piun2G01LYwq/OMToWSs testhost (RSA)
256 SHA256:hZ4KFg6D+99tO3xRyl5HpA8XymkGuEPDVyoszIw3Uko testhost (ED25519)

# ssh-keygen -lf testhost.ssh-keyscan -E md5
256 MD5:de:31:72:30:d0:e2:72:5b:5a:1c:b8:39:bf:57:d6:4a testhost (ECDSA)
2048 MD5:d5:6b:eb:71:7b:2e:b8:85:7f:e1:56:f3:be:49:3d:2e testhost (RSA)
256 MD5:e6:16:94:b5:16:19:40:41:26:e9:f8:f5:f7:e7:04:03 testhost (ED25519)
16
Hauke Laging