Il semble y avoir beaucoup de confusion sur la différence entre une clé d’hôte et une clé d’utilisateur.
Une clé d'hôte est utilisée pour établir l'identité de l'hôte distant.
Une clé d'utilisateur est utilisée pour établir l'identité de vous-même auprès de l'hôte distant.
Étant donné que ces touches sont généralement présentées comme une simple séquence de caractères, il peut être difficile pour un humain de dire d'un coup d'œil si elles ont été modifiées. C'est le but de randomart. Un petit écart dans la clé entraînera une image aléatoire différente.
En ce qui concerne les raisons qui vous préoccupent, il est important de vérifier l’identité de l’hôte distant, car il est possible que quelqu'un puisse intercepter votre trafic ( attaque MITM ) et voir / manipuler tout ce qui est envoyé et reçu.
Il n'est pas important de vérifier vous-même si. Vous n'avez pas besoin de confirmer "oui, je suis moi". Même si votre clé d'utilisateur a été modifiée, le serveur distant vous laissera entrer ou ne le fera pas. Votre connexion n'entraîne aucun risque plus élevé d'espionnage.
Alors, pourquoi alors ssh-keygen
affiche-t-il l'image aléatoire au moment de générer votre clé d'utilisateur ?
Parce que lorsque le code randomart a été introduit dans ssh-keygen
[grunk@cvs.openbsd.org 2008/06/11 21:01:35] , les clés d’hôte et les clés d’utilisateur ont été générés exactement de la même manière. La sortie d'informations supplémentaires peut ne pas être utile pour une clé utilisateur, mais cela ne fait pas de mal (sauf en cas de confusion possible).
Maintenant, quand j'ai dit "quand le code randomart a été introduit", c'est parce que le code a changé depuis. De nos jours, la plupart des distributions utilisent ssh-keygen -A
pour générer des clés d’hôte, ce qui est une nouvelle fonctionnalité. Cette fonctionnalité génère de nombreux types de clés (rsa, dsa, ecdsa) et ne montre pas d’image aléatoire. L'ancienne méthode pouvait toujours être utilisée pour générer des clés d'hôte, mais ce n'est généralement pas le cas. Alors maintenant, l'ancienne méthode n'est utilisée que pour les clés utilisateur, mais la fonctionnalité randomart reste.