SSHキーの署名タイプが変更不可能であることは正しいですか?

SSHキーの署名タイプが変更不可能であることは正しいですか?

鍵ペア生成を使用するときに必要な署名の種類は、次のように指定できssh-keygenます。 SSH秘密鍵の署名タイプが何であるかを知りたいです。-tssh-keygen -t ssh-rsa不変、キーペアが作成されたらどうなりますか?

変更できる場合は、署名の種類を変更するためにどのツールを使用できますか?どのように?

ssh-rsa私の前のキーの1つは署名タイプを使用し、署名ssh-rsaアルゴリズムはもはや使用されなくなるため、この質問をします。

答え1

通常のSSHキーペアの作成を使用している場合、キーssh-keygen -t rsaには署名はまったく含まれません。これは以前と同様に実際にRSA鍵ペアに過ぎず、他に何もありません。SSH キーには署名タイプはありません。 SSH接続には署名タイプがあります。

これらのキーの場合、接続の両側で最新の署名アルゴリズムをサポートすると、十分に最新のSSHバージョンが自動的に使用またはrsa-sha2-512署名されます。rsa-sha2-256SSH鍵認証では、署名は一時的であり、接続がネゴシエートされている間にのみ作成され、削除されます。だから、SSH用の既存のRSAキーを変更する必要はありません。新しい署名を使用してください。

(実行すると、通常、出力ssh-keygen -f id_rsa -lに「SHA256」と表示されます。これは、SHA256アルゴリズムが生成に使用されたことを意味します。キー指紋、これはキー自体には保存されませんが、要求に応じて計算されます。を使用すると、ssh-keygen -f id_rsa -l -E md5同じキーからレガシーMD5指紋を計算できます。 )


ただし、集中管理を使用している場合SSH証明書つまり、同様のファイルがある場合、id_rsa-cert.pubそのファイルに長期署名が含まれます。廃止された署名アルゴリズムを削除するには、組織の独自の SSH 鍵認証機関から証明書を再発行する必要がある可能性が高くなります。

既存のSSH公開鍵のコピーを認証局に提供すると(まだファイルにない場合)、次の処理が実行されます。

ssh-keygen -s /path/to/ca_key -I key_id /path/to/user_key.pub

証明書が最初に発行されたときと同じです。

/path/to/user_key-cert.pubこのコマンドは、CAが最新のアルゴリズムを使用している場合、デフォルトではssh-keygen最新のアルゴリズムを使用してCA署名を含む新しいファイルを生成します。rsa-sha2-512

key_id以前と同じ秘密鍵を引き続き使用しますが、再発行された証明書(デフォルトではオプションの有効期限、保証されたCA定義文字列などのいくつかの追加管理機能を含む集中型公開鍵の認証コピー)を配布する必要があります。この証明書が認証に使用されるたびに記録されます。

もちろん、CAは証明書を再発行するために以前に認証されたSSH公開鍵のコピーを許可するかどうかを決定できます。その間、新しい秘密鍵の生成を要求できますが、これは技術の問題ではなく、ポリシーの問題です。

答え2

私の考えでは、あなたはできないと思います。 RSA キーと DSA キーは異なる方法で生成されます。これにより、これらのアルゴリズムの1つに指定されたキーペアは、他のアルゴリズムのキーペアではありません。

RSAの強みが心配な場合は、同じキーペアを共有するすべてのアルゴリズムについて心配する必要があると思います。

それから最善の方法は、鍵ペアを再生成して公開鍵を再配布することです(切り替えるまでRSA保護scpを介してこれを行うことができます)。

関連情報