{"id":16821,"date":"2021-05-19T04:18:58","date_gmt":"2021-05-19T02:18:58","guid":{"rendered":"http:\/\/blog.wenzlaff.de\/?p=16821"},"modified":"2021-05-22T08:11:33","modified_gmt":"2021-05-22T06:11:33","slug":"ed25519","status":"publish","type":"post","link":"http:\/\/blog.wenzlaff.de\/?p=16821","title":{"rendered":"Upgrade deine SSH Keys auf: ed25519"},"content":{"rendered":"<p><a href=\"http:\/\/blog.wenzlaff.de\/wp-content\/uploads\/2021\/05\/curve25519.png\"><img loading=\"lazy\" decoding=\"async\" src=\"http:\/\/blog.wenzlaff.de\/wp-content\/uploads\/2021\/05\/curve25519.png\" alt=\"\" width=\"3542\" height=\"2376\" class=\"aligncenter size-full wp-image-16832\" srcset=\"http:\/\/blog.wenzlaff.de\/wp-content\/uploads\/2021\/05\/curve25519.png 3542w, http:\/\/blog.wenzlaff.de\/wp-content\/uploads\/2021\/05\/curve25519-300x201.png 300w, http:\/\/blog.wenzlaff.de\/wp-content\/uploads\/2021\/05\/curve25519-1024x687.png 1024w, http:\/\/blog.wenzlaff.de\/wp-content\/uploads\/2021\/05\/curve25519-768x515.png 768w, http:\/\/blog.wenzlaff.de\/wp-content\/uploads\/2021\/05\/curve25519-1536x1030.png 1536w, http:\/\/blog.wenzlaff.de\/wp-content\/uploads\/2021\/05\/curve25519-2048x1374.png 2048w\" sizes=\"auto, (max-width: 767px) 89vw, (max-width: 1000px) 54vw, (max-width: 1071px) 543px, 580px\" \/><\/a><br \/>\nDie auf dem Rechner installierten SSH-Keys k\u00f6nnen mit diesem Befehl gelistet werden:<\/p>\n<pre>for keyfile in ~\/.ssh\/id_*; do ssh-keygen -l -f \"${keyfile}\"; done | uniq<\/pre>\n<p><a href=\"http:\/\/blog.wenzlaff.de\/wp-content\/uploads\/2021\/05\/wenzlaff.de-2021-05-18-um-19.47.51.png\"><img loading=\"lazy\" decoding=\"async\" src=\"http:\/\/blog.wenzlaff.de\/wp-content\/uploads\/2021\/05\/wenzlaff.de-2021-05-18-um-19.47.51.png\" alt=\"\" width=\"2214\" height=\"158\" class=\"aligncenter size-full wp-image-16825\" srcset=\"http:\/\/blog.wenzlaff.de\/wp-content\/uploads\/2021\/05\/wenzlaff.de-2021-05-18-um-19.47.51.png 2214w, http:\/\/blog.wenzlaff.de\/wp-content\/uploads\/2021\/05\/wenzlaff.de-2021-05-18-um-19.47.51-300x21.png 300w, http:\/\/blog.wenzlaff.de\/wp-content\/uploads\/2021\/05\/wenzlaff.de-2021-05-18-um-19.47.51-1024x73.png 1024w, http:\/\/blog.wenzlaff.de\/wp-content\/uploads\/2021\/05\/wenzlaff.de-2021-05-18-um-19.47.51-768x55.png 768w, http:\/\/blog.wenzlaff.de\/wp-content\/uploads\/2021\/05\/wenzlaff.de-2021-05-18-um-19.47.51-1536x110.png 1536w, http:\/\/blog.wenzlaff.de\/wp-content\/uploads\/2021\/05\/wenzlaff.de-2021-05-18-um-19.47.51-2048x146.png 2048w\" sizes=\"auto, (max-width: 767px) 89vw, (max-width: 1000px) 54vw, (max-width: 1071px) 543px, 580px\" \/><\/a><\/p>\n<p>Dabei ist der Algorithmus wichtig, der angezeigt wird. &#8230;<!--more--><\/p>\n<ul>\n<li>DSA: Ist unsicher und sollte nicht mehr genutzt werden. Gr\u00f6\u00dfe normal 1024-Bit.<\/li>\n<li>RSA: H\u00e4ngt von der Key Gr\u00f6\u00dfe ab. Bei 3072 oder 4096-Bit ist es ok. Wenn die Gr\u00f6\u00dfe kleiner ist sollte upgedated werden. Bei 1024-Bit Gr\u00f6\u00dfe sofort, die ist unsicher. Wird von allen SSH-Clients unterst\u00fczt.<\/li>\n<li>ECDSA: Nutzt auch Elliptische-Kurven. H\u00e4ngt von der Zufallszahlen-Generierung des Rechners ab und in dem vertrauen zur NIST. Es k\u00f6nnen drei Key-Gr\u00f6\u00dfen erzeugt werden (256,384 und 521-Bits). Wenn benutzt sollte nur 521-Bit Gr\u00f6\u00dfe verwendet werden. Wird von vielen SSH-Clients benutzt.<\/li>\n<li>\n<strong>ED25519<\/strong>: Ist Stand heute, der am meisten zu empfehlende public-key Algorithmus. In OpenSSH vorhanden. Noch nicht von allen Clients unterst\u00fctzt.<\/li>\n<\/ul>\n<p>Der SSH Key mit ed25519 kann leicht in ein paar Sekunden mit <\/p>\n<p><strong>ssh-keygen -t ed25519<\/strong><\/p>\n<p>erzeugt werden. Den Parameter unbedingt angeben, sonst wird ein RSA Key mit 2048-Bit erzeugt. Und man kann auch mehrere bzw. \u00e4lter Keys auf dem Rechner behalten.<\/p>\n<p><a href=\"http:\/\/blog.wenzlaff.de\/wp-content\/uploads\/2021\/05\/wenzlaff.de-2021-05-18-um-19.19.56.png\"><img loading=\"lazy\" decoding=\"async\" src=\"http:\/\/blog.wenzlaff.de\/wp-content\/uploads\/2021\/05\/wenzlaff.de-2021-05-18-um-19.19.56.png\" alt=\"\" width=\"1580\" height=\"1056\" class=\"aligncenter size-full wp-image-16822\" srcset=\"http:\/\/blog.wenzlaff.de\/wp-content\/uploads\/2021\/05\/wenzlaff.de-2021-05-18-um-19.19.56.png 1580w, http:\/\/blog.wenzlaff.de\/wp-content\/uploads\/2021\/05\/wenzlaff.de-2021-05-18-um-19.19.56-300x201.png 300w, http:\/\/blog.wenzlaff.de\/wp-content\/uploads\/2021\/05\/wenzlaff.de-2021-05-18-um-19.19.56-1024x684.png 1024w, http:\/\/blog.wenzlaff.de\/wp-content\/uploads\/2021\/05\/wenzlaff.de-2021-05-18-um-19.19.56-768x513.png 768w, http:\/\/blog.wenzlaff.de\/wp-content\/uploads\/2021\/05\/wenzlaff.de-2021-05-18-um-19.19.56-1536x1027.png 1536w\" sizes=\"auto, (max-width: 767px) 89vw, (max-width: 1000px) 54vw, (max-width: 1071px) 543px, 580px\" \/><\/a><\/p>\n<p>Es werden im .ssh Verzeichnis zwei Dateien erzeugt. Der public Key der \u00f6ffentlich sein kann und der private Key der geheim gehalten werden sollte. Die Key k\u00f6nnen auch auf der Konsole ausgegeben werden, z.B. der private Key:<\/p>\n<p><strong>cat id_ed25519_key<\/strong><\/p>\n<pre>\r\n-----BEGIN OPENSSH PRIVATE KEY-----\r\nb3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAAAMwAAAAtzc2gtZW\r\nQyNTUxOQAAACChzbEZpCPoX\/KhtQm3UmeS9U4y8ZVWEzk4hCxywtId6wAAAJiM9w4xjPcO\r\nMQAAAAtzc2gtZWQyNTUxOQAAACChzbEZpCPoX\/KhtQm3UmeS9U4y8ZVWEzk4hCxywtId6w\r\nAAAECXyfg\/2qa9hEtVDR5OD3pfztYzt\/h3viCPets57OqYRqHNsRmkI+hf8qG1CbdSZ5L1\r\nTjLxlVYTOTiELHLC0h3rAAAAE2JpdGNvaW5Ad2VuemxhZmYuZGUBAg==\r\n-----END OPENSSH PRIVATE KEY-----\r\n<\/pre>\n<p>Der Public Key ist immer nur 68 Zeichen lang z.B. cat id_ed25519_key.pub<\/p>\n<pre>\r\nssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIKHNsRmkI+hf8qG1CbdSZ5L1TjLxlVYTOTiELHLC0h3r bitcoin@wenzlaff.de\r\n<\/pre>\n<p><script id=\"asciicast-415603\" src=\"https:\/\/asciinema.org\/a\/415603.js\" async><\/script><\/p>\n<p>Hier alle Parameter zum ssh-keygen Programm:<\/p>\n<pre class=\"lang:default decode:true \" >ssh-keygen --Help\r\nunknown option -- -\r\nusage: ssh-keygen [-q] [-b bits] [-t dsa | ecdsa | ed25519 | rsa]\r\n                  [-N new_passphrase] [-C comment] [-f output_keyfile]\r\n       ssh-keygen -p [-P old_passphrase] [-N new_passphrase] [-f keyfile]\r\n       ssh-keygen -i [-m key_format] [-f input_keyfile]\r\n       ssh-keygen -e [-m key_format] [-f input_keyfile]\r\n       ssh-keygen -y [-f input_keyfile]\r\n       ssh-keygen -c [-P passphrase] [-C comment] [-f keyfile]\r\n       ssh-keygen -l [-v] [-E fingerprint_hash] [-f input_keyfile]\r\n       ssh-keygen -B [-f input_keyfile]\r\n       ssh-keygen -D pkcs11\r\n       ssh-keygen -F hostname [-f known_hosts_file] [-l]\r\n       ssh-keygen -H [-f known_hosts_file]\r\n       ssh-keygen -R hostname [-f known_hosts_file]\r\n       ssh-keygen -r hostname [-f input_keyfile] [-g]\r\n       ssh-keygen -G output_file [-v] [-b bits] [-M memory] [-S start_point]\r\n       ssh-keygen -T output_file -f input_file [-v] [-a rounds] [-J num_lines]\r\n                  [-j start_line] [-K checkpt] [-W generator]\r\n       ssh-keygen -s ca_key -I certificate_identity [-h] [-U]\r\n                  [-D pkcs11_provider] [-n principals] [-O option]\r\n                  [-V validity_interval] [-z serial_number] file ...\r\n       ssh-keygen -L [-f input_keyfile]\r\n       ssh-keygen -A\r\n       ssh-keygen -k -f krl_file [-u] [-s ca_public] [-z version_number]\r\n                  file ...\r\n       ssh-keygen -Q -f krl_file file ...<\/pre>\n","protected":false},"excerpt":{"rendered":"<p>Die auf dem Rechner installierten SSH-Keys k\u00f6nnen mit diesem Befehl gelistet werden: for keyfile in ~\/.ssh\/id_*; do ssh-keygen -l -f &#8222;${keyfile}&#8220;; done | uniq Dabei ist der Algorithmus wichtig, der angezeigt wird. &#8230;<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[220,4606,1319,3632],"tags":[4879,4662,4877,819,1226,739,423,740,4878,256,300],"class_list":["post-16821","post","type-post","status-publish","format-standard","hentry","category-anleitung","category-crypto","category-sicherheit-2","category-video","tag-dsa","tag-ecdsa","tag-ed25519","tag-key","tag-pgp","tag-rsa","tag-sicher","tag-ssh","tag-ssh-key","tag-tool","tag-video"],"_links":{"self":[{"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=\/wp\/v2\/posts\/16821","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=16821"}],"version-history":[{"count":0,"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=\/wp\/v2\/posts\/16821\/revisions"}],"wp:attachment":[{"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=16821"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=16821"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/blog.wenzlaff.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=16821"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}