Как проверить отпечаток SSH?

Откуда я знаю, что отпечаток ключа rsa2 сервера GitHub ssh-rsa 2048 16:27:ac:a5:76:28:2d:36:63:1b:56:4d:eb:df:a6:48 совпадает с отпечатком, который они отображают на своем веб-сайт как SHA256:nThbg6kXUpJWGl7E1IGOCspRomTxdCARLviKw6E5SY8 (RSA), так как они не выглядят одинаково?

Я настраиваю свою учетную запись GitHub для использования SSH для фиксации кодов. Вопрос возникает при первой попытке доступа, и замазка хочет кэшировать ключ. Из достаточного количества источников в Интернете я нахожу достаточно, чтобы быть уверенным, что это на самом деле GitHub, но как мне лично убедиться в этом? Зная о рисках спуфинга и т. Д., Но это не вопрос.

Я получил отпечаток пальца ssh-rsa 2048 из замазки после первой попытки git clone [repository ssh url].


github ssh rsa-key-fingerprint
person Nelumbo    schedule 23.11.2020    source источник

Ответы (1)


arrow_upward
5
arrow_downward

Причина, по которой вы видите это, заключается в том, что вы используете старый, устаревший SSH-клиент.

Отпечаток ключа — это просто хэш тела ключа. Старые версии OpenSSH использовали для этого MD5, а форма, которую вы используете с двоеточиями, — это формат MD5. Однако MD5 настолько уязвим для коллизий, что CMU заявил, что он «непригоден для дальнейшего использования». Ответственные стороны полностью отказались от него, так как он был известен как небезопасный с 2004 года. Несмотря на то, что цель, для которой он используется SSH, не является небезопасной, больше нет никаких веских причин использовать MD5 для каких-либо целей вообще.

OpenSSH какое-то время назад для этого перешел на SHA-256, а заодно и на кодирование хеша в Base64. В то же время они добавили алгоритм хеширования к имени, чтобы оно было однозначным. SHA-256 широко считается безопасным, и GitHub больше не отображает отпечатки пальцев MD5, поскольку большинство клиентов обрабатывают SHA-256.

Putty, к сожалению, вернулась в начало 2000-х и не отошла от MD5. GitHub по-прежнему публикует хеш MD5 своих ключей по адресу https://api.github.com/meta, поэтому вы его можно увидеть, но большинство людей больше не публикуют отпечатки пальцев MD5.

Если вы работаете в Windows, вы можете использовать версию OpenSSH, поставляемую с Git для Windows; в противном случае OpenSSH уже должен быть доступен в большинстве систем Unix. Достаточно свежая версия покажет вам отпечатки SHA-256 как обычно.

person bk2204    schedule 24.11.2020
comment
Дело было действительно в том, что я использовал Putty. Спасибо за такой развернутый ответ. - person Nelumbo; 25.11.2020
comment
Кажется, ключей MD5 больше нет. Страница содержит только ключи SHA2. - person Luc; 23.06.2021