# SSH-Keys erzeugen und verwalten
## SSH-Key erzeugen
Shortcut: `ssh-keygen -t ed25519 -a 100 -C 'email@mydomain.de'`
Es wird ein Passphrase abgefragt. Soll das Keyfile unverschlüsselt gespeichert werden, kann die Eingabe eines Passworts mit Enter übersprungen werden. Dies ist allerdings nicht empfehlenswert, denn falls der Key in die falschen Hände gelangt, wären alle Server mit dem Pubkey in den authorized\_keys ohne weitere Passwortabfrage offen.
```
ssh-keygen -t [ (dsa) | (ecdsa) | ed25519 | rsa | (rsa1) ] -b 4096 -a 100 -C ''
# als copy&paste Beispiel mit ed25519 (hat eine fixe Bitgröße von 256 bit,
# sie muss deshalb nicht angegeben werden):
ssh-keygen -t ed25519 -a 100 -C 'email@mydomain.de'
```
Dies erzeugt zwei Dateien in `~/.ssh/id_*` je nach verwendetem Verfahren. Beispiel RSA: in der Datei `id_rsa` steht der (verschlüsselte) private Key. In der Datei `id_rsa.pub` steht der öffentliche Teil des Schlüssels, der verteilt werden darf/muss.
Der Typ [ed25519](https://en.wikipedia.org/wiki/EdDSA "https://en.wikipedia.org/wiki/EdDSA") ist zum heutigen Stand (05.03.2021) die beste Wahl. Allerdings wird er noch [nicht überall unterstützt](https://ianix.com/pub/ed25519-deployment.html "https://ianix.com/pub/ed25519-deployment.html"). In diesem Fall empfiehlt es sich (zusätzlich) einen RSA-Key mit 4096 bit zu erstellen.
ecdsa sollte nicht verwendet werden, da möglicherweise eine Hintertür für die [US-Regierung](http://www.spiegel.de/international/germany/inside-the-nsa-s-war-on-internet-security-a-1010361.html "http://www.spiegel.de/international/germany/inside-the-nsa-s-war-on-internet-security-a-1010361.html") eingebaut ist. RSA1 und [DSA](https://stackoverflow.com/questions/2821736/whats-the-difference-between-id-rsa-pub-and-id-dsa-pub/27855045#27855045 "https://stackoverflow.com/questions/2821736/whats-the-difference-between-id-rsa-pub-and-id-dsa-pub/27855045#27855045") sollten auch nicht mehr verwendet werden.
Unter Windows gibts mit `puttygen.exe` ein grafisches Pendant dazu. Hier lassen sich die erzeugten Keys auch ins Unix-Format konvertieren.
## Passphrase des SSH-Keys nachträglich ändern
```
ssh-keygen -p -f ~/.ssh/id_rsa
```
## SSH-Key in den SSH-Agenten laden
Der SSH-Agent muss gestartet sein, bei Fedora Core passiert dies automatisch beim Starten der X-Oberfläche.
Dies lädt defaultmäßig alle id\_\*-Files in ~/.ssh in den Agent. Der Agent dient der Bequemlichkeit, d.h. man lädt einmal seinen Key und von nun an kümmert sich der Agent um alle anfragenden Programme, wie z.B. ssh oder scp. Für Windows gibts im Putty-Paket ein Programm namens `pagent.exe`, welches den gleichen Zweck erfüllt.
[Hier](https://wiki.magenbrot.net/linux/kryptographie/ssh/mit_der_ssh-passphrase_an_kde_oder_gnome_anmelden "linux:kryptographie:ssh:mit_der_ssh-passphrase_an_kde_oder_gnome_anmelden") ist eine Anleitung, wie man seinen ssh-Key für die Anmeldung an KDE/Gnome verwenden und ihn gleich in den Agent laden kann.
## SSH-Pubkey verteilen
Um nun den SSH-Key für die Authentifizierung an anderen Servern verwenden zu können muss er noch dort abgelegt werden. Dazu bringt openssh ein schönes Tool mit:
```
ssh-copy-id [user@]machine
```