SSH 密钥类型
SSH 密钥类型 是什么?
SSH 密钥类型OpenSSH 支持的用户与主机身份认证非对称算法:RSA、ECDSA(NIST 曲线),以及目前的现代默认 Ed25519。
OpenSSH 支持多种用于用户与主机认证的公钥算法。RSA(ssh-rsa)仍被广泛使用;现代部署应使用至少 3072 位,并采用 rsa-sha2-256 或 rsa-sha2-512(RFC 8332)替代已弃用的 SHA-1 签名。ECDSA 在 P-256/P-384/P-521 上(RFC 5656)也受支持,但其对高质量随机数的依赖已导致过真实的密钥恢复事件。Ed25519(RFC 8709)自 OpenSSH 6.5 引入,现已成为推荐默认:固定 256 位密钥、确定性签名、验证迅速,且回避了有争议的 NIST 曲线。带硬件后端的 sk 变体(ecdsa-sk 和 ed25519-sk,RFC 8709)将私钥绑定到 FIDO 认证器,提供抗钓鱼的 SSH 认证。
● 示例
- 01
使用 ssh-keygen -t ed25519 -C user@host 生成现代用户密钥。
- 02
使用 ssh-keygen -t ed25519-sk -O resident -O verify-required 创建 FIDO 支持的密钥。
● 常见问题
SSH 密钥类型 是什么?
OpenSSH 支持的用户与主机身份认证非对称算法:RSA、ECDSA(NIST 曲线),以及目前的现代默认 Ed25519。 它属于网络安全的 网络安全 分类。
SSH 密钥类型 是什么意思?
OpenSSH 支持的用户与主机身份认证非对称算法:RSA、ECDSA(NIST 曲线),以及目前的现代默认 Ed25519。
SSH 密钥类型 是如何工作的?
OpenSSH 支持多种用于用户与主机认证的公钥算法。RSA(ssh-rsa)仍被广泛使用;现代部署应使用至少 3072 位,并采用 rsa-sha2-256 或 rsa-sha2-512(RFC 8332)替代已弃用的 SHA-1 签名。ECDSA 在 P-256/P-384/P-521 上(RFC 5656)也受支持,但其对高质量随机数的依赖已导致过真实的密钥恢复事件。Ed25519(RFC 8709)自 OpenSSH 6.5 引入,现已成为推荐默认:固定 256 位密钥、确定性签名、验证迅速,且回避了有争议的 NIST 曲线。带硬件后端的 sk 变体(ecdsa-sk 和 ed25519-sk,RFC 8709)将私钥绑定到 FIDO 认证器,提供抗钓鱼的 SSH 认证。
如何防御 SSH 密钥类型?
针对 SSH 密钥类型 的防御通常结合技术控制与运营实践,详见上方完整定义。
SSH 密钥类型 还有哪些其他名称?
常见的别称包括: RSA, ECDSA, Ed25519。
● 相关术语
- network-security№ 1088
SSH 代理转发
OpenSSH 的一项功能,使用 -A 或 ForwardAgent yes 启用,会在远程主机上暴露一个 UNIX 套接字,使远端命令可借助本地 SSH 代理完成对后续主机的认证。
- network-security№ 594
known_hosts 文件
OpenSSH 客户端文件(~/.ssh/known_hosts),用于固定服务器公钥,以便 SSH 在主机密钥变化时识别潜在的中间人攻击。
- identity-access№ 414
FIDO2
FIDO 联盟推出的开放认证标准,结合 WebAuthn(浏览器 API)和 CTAP(认证器协议),实现抗钓鱼的无密码登录。
- cryptography№ 369
ECDSA
DSA 在椭圆曲线上的变体,由 FIPS 186 标准化,生成紧凑签名,其安全性依赖于椭圆曲线离散对数问题。
- network-security№ 1087
SSH
RFC 4251 定义、运行在 22 端口的加密网络协议,在不可信网络上提供经过身份验证、加密且完整性保护的远程登录、命令执行与隧道。