Manpages

JMÉNO

ssh-keygen − generátor páru autentizačních klíčů

POUŽITÍ

ssh-keygen [−b bitů] [−f soubor] [−N nové-přístup-heslo] [−C komentář]

ssh-keygen −p [−P staré-přístup-heslo] [−N nové-přístup-heslo]

ssh-keygen −c [−P přístupové-heslo] [−C komentář]

ssh-keygen −u [−f soubor] [−P přístupové-heslo]

POPIS

Program ssh-keygen generuje a spravuje autentizační klíče pro ssh(1). Normálně každý uživatel, který si přeje používat ssh s RSA autentizací, spustí jednou příkaz ssh-keygen pro vytvoření autentizačního klíče a jeho uložení do $HOME/ . ssh/identity. Správce systému může používat ssh-keygen pro generování klíčů počítače.

Program normálně vygeneruje klíč a zeptá se na jméno souboru, do kterého má uložit soukromý klíč. Veřejný klíč uloží do souboru se stejným jménem, ale s připojeným ".pub". Program se také zeptá na přístupové heslo (passphrase). Přístupové heslo může být prázdné (klíč počítače musí mít prázdné přístupové heslo), nebo to může být řetězec libovolné délky. Dobrá přístupová hesla mají délku 10-30 znaků a nejsou tvořena větou nebo čímkoli, co jde snadno uhodnout (anglický text má entropii pouze 1-2 bity na slovo, takže poskytuje velmi špatná přístupová hesla). Přístupové heslo může být změněno později použitím volby −p.

Neexistuje žádný způsob, jak zjistit zapomenuté přístupové heslo. Pokud zapomenete nebo ztratíte přístupové heslo, budete muset vygenerovat nový klíč a zkopírovat příslušný veřejný klíč na ostatní stroje.

JE DŮRAZNĚ DOPORUČENO POUŽITÍ DOBRÉHO, NEUHODNUTELNÉHO PŘÍSTUPOVÉHO HESLA. NEPOUŽÍVEJTE PRÁZDNÉ PŘÍSTUPOVÉ HESLO POKUD NEVÍTE, CO DĚLÁTE.

V souboru s klíči je také položka komentář. Tato položka slouží uživateli pro snadnější identifikaci klíče. Komentář může informovat, k čemu klíč je nebo jak je užitečný. Při vytváření klíče je komentář inicializován na uživatel@počítač, ale může být kdykoli změněn použitím volby −c.

Šifra použitá na zašifrování klíče přístupovým heslem je definována v ssh.h. Použitím volby −u mohou být klíče zašifrované jakoukoli podporovanou šifrou změněny na tuto implicitní šifru.

VOLBY

−b bitů

Určuje délku vytvářeného klíče v bitech. Minimum je 512 bitů. Obecně se za dostačující pokládá 1024 bitů; klíče s větší délkou nepřinášejí žádné další zlepšení bezpečnosti, ale pouze zpomalují. Implicitní délka je 1024 bitů.

−c

Změní komentář v souborech se soukromými a veřejnými klíči. Program ze zeptá na jméno souboru, který obsahuje soukromý klíč, na přístupové heslo (jestliže jej klíč má), a na nový komentář.

−f

Určuje jméno souboru, do něhož bude uložen nebo z něhož bude čten klíč.

−p

Změní přístupové heslo k souboru se soukromým klíčem místo vytvoření nového soukromého klíče. Program se zeptá na jméno souboru, který obsahuje soukromý klíč, na staré přístupové heslo, a dvakrát na nové přístupové heslo.

−u

Změní šifru klíče na implicitní (určena při překladu programu v současnosti 3DES).

−C

Definuje nový komentář.

−N

Definuje nové přístupové heslo.

−P

Definuje (staré) přístupové heslo.

SOUBORY

$HOME/ . ssh/random_seed

Soubor je použit pro inicializaci generátoru náhodných čísel. Tento soubor nesmí být čitelný kýmkoli kromě uživatele. Tento soubor je vytvořený při prvním spuštění programu a pokaždé je updatován.

$HOME/ . ssh/identity

Obsahuje RSA autentizační identity uživatele. Soubor nesmí být čitelný pro nikoho kromě vlastníka. Při generování klíče je možné zadat přístupové heslo, které bude použito pro zašifrování soukromé části souboru šifrou 3DES. Tento soubor není automaticky používán příkazem ssh-keygen, ale je poskytován jako implicitní soubor pro soukromý klíč.

$HOME/ . ssh/identity.pub

Obsahuje veřejný klíč pro autentizaci. Obsah tohoto souboru musí být přidán do $HOME/ . ssh/authorized_keys na všech strojích, kam se budete chtít přihlašovat s použitím RSA autentizace. Obsah tohoto souboru není nutné udržovat v tajnosti.

AUTOR

Tatu Ylonen <ylo [AT] ssh.fi>

VIZ TÉŽ

ssh(1), sshd(8), ssh-agent(1), ssh-add(1)

VAROVÁNÍ

Překlad je pravděpodobně zastaralý. Pokud chcete pomoci s jeho aktualizací, zamiřte na http://man-pages-cs-wiki.homelinux.net/