Saya ingin membuat RSA
kunci GPG
dan menggunakannya dalam SSH
login. Apakah ini mungkin? Jika ya, bagaimana caranya?
sunting: lihat jawaban @ wwerner, saya tidak mencobanya tetapi tampaknya menjadi solusi saat ini (pada 2018)
ssh
gnupg
public-key
private-key
destan
sumber
sumber
Saya sedang melakukan penelitian tentang topik ini dan saya dapat memberikan Anda beberapa petunjuk, tetapi saya belum menemukan cara untuk membuatnya bekerja.
Monyet
Monkeysphere tampaknya proyek yang sangat menarik, tetapi saya tidak dapat mengkompilasinya di bawah Mac OS X tanpa menyumbat ruang disk kecil saya dengan MacPorts.
Menggunakan gpgkey2ssh
Cara pertama yang saya sarankan untuk Anda coba adalah membuat entri Authorized_key yang kompatibel dari id kunci Anda (misalnya, BFB2E5E3) dengan
Di sini saya menambahkannya ke localhost saya karena saya menjalankan ssh server untuk tujuan pengujian, tetapi tentu saja Anda harus menambahkan ini ke host target
~/.ssh/authorized_keys
. Selanjutnya Anda perlu memberi tahu SSH untuk menggunakan bagian pribadi dari kunci ini selama otentikasi, tetapi hanya mengekspor versi ASCII lapis baja dari kunci pas tidak berfungsi:Menggunakan gpg-agent
gpg-agent
memiliki opsi--enable-ssh-support
yang memungkinkan untuk menggunakannya sebagai pengganti drop-in untuk yang terkenalssh-agent
. Saya pernah membaca tentang beberapa orang yang mencoba menambahkan melaluissh-add
kunci GPG mereka setelah meluncurkangpg-agent
dengan cara ini:Tetapi saya tidak berpikir ini akan berhasil. The gpg-agent manualnya mengatakan:
Jadi sepertinya itu
gpg-agent
harus digunakan sebagai langkah tambahan untuk melindungi kunci SSH Anda dengan enkripsi GPG.Mengonversi kunci GPG ke OpenSSH
Jérôme Pouiller di blognya menulis bahwa utilitas Gpgsm dapat mengekspor kunci dan sertifikat di PCSC12; mereka kemudian dapat digunakan oleh OpenSSH:
Tapi saya belum menemukan cara untuk
gpgsm
menerima keypairs gpg saya.Hal lain yang bisa Anda coba
SSH memiliki
-I
opsi untuk menentukan perpustakaan bersama PKCS # 11ssh
harus digunakan untuk berkomunikasi dengan token PKCS # 11 yang menyediakan kunci RSA pribadi pengguna.ssh-keygen
dapat menggunakan RFC4716 / SSH2 kunci publik atau pribadi, kunci publik PEM PKCS8, dan kunci publik PEM untuk menghasilkan kunci privat (atau publik) yang kompatibel dengan OpenSSH menggunakan opsi-i
dan-m
.Tetap saja saya tidak dapat menemukan cara untuk menyatukan semuanya.
sumber
gpgkey2ssh
telah diganti pada--export-ssh-key
versi 2.1.11 (2016-01-26). Butuh beberapa saat untuk menyadari hal ini. Penggunaan adalahgpg --export-ssh-key BFB2E5E3
.Tidak, mereka tidak bisa dipertukarkan. Ya, dimungkinkan untuk menggunakan kunci GPG untuk otentikasi - paket Monkeysphere memiliki alat untuk mengekstrak keypair RSA mentah dari sertifikat GPG Anda.
Sertifikat GPG Anda akan memerlukan subkunci dengan bendera kemampuan "otentikasi". Untuk membuat subkunci seperti itu, jalankan sekali:
Sekarang tambahkan subkunci otentikasi Anda ke ssh-agent :
Agak relevan: utas gnupg-pengguna ini .
sumber
Dengan informasi dari jawaban atas pertanyaan ini dan bantuan milis gnupg-pengguna, saya dapat mengetahui cara menggunakan kunci GPG saya untuk otentikasi SSH. Seperti yang telah disebutkan oleh Claudio Floreani dalam jawabannya, ada beberapa metode yang mungkin untuk melakukan ini.
Saya telah menulis blogpost tentang beberapa solusi yang mungkin: http://budts.be/weblog/2012/08/ssh-authentication-with-your-pgp-key
Untuk meringkas: Anda menggunakan GnuPG 2.1, yang saat ini dalam versi beta. Saat menggunakan versi ini, Anda cukup memulai gpg-agent dengan opsi --enable-ssh-support dan tambahkan keygrip untuk Anda kunci GPG (atau subkey) ke ~ / .gnupg / sshcontrol.
Ketika Anda menggunakan versi GnuPG stabil saat ini (2.0.x), Anda dapat menggunakan monkeysphere untuk menambahkan kunci Anda ke gpg-agent (sekali lagi, setelah memulai gpg-agent dengan opsi --enable-ssh-support).
Dimungkinkan juga untuk menggunakan keyring GNOME (atau bahkan ssh-agent biasa) dengan bantuan monkeysphere. Satu-satunya masalah dalam hal ini adalah Anda harus menambahkan kembali kunci Anda ketika masuk lagi (ke Gnome atau XFCE). Untuk mengatasi ini, Anda dapat mengekspor kunci secara manual dan mengonversinya.
sumber