SSH-Keys erzeugen und verwalten

SSH-Key erzeugen

Es wird ein Passphrase abgefragt. Soll das Keyfile unverschlüsselt gespeichert werden, kann die Eingabe eines Passworts mit Enter übersprungen werden. Dies ist allerdings nicht empfehlenswert, denn falls der Key in die falschen Hände gelangt, wären alle Server mit dem Pubkey in den authorized_keys ohne weitere Passwortabfrage offen.

ssh-keygen -t [ (dsa) | (ecdsa) | ed25519 | rsa | (rsa1) ] -b 4096 -o -a 100

# als copy&paste Beispiel mit ed25519 (hat eine fixe Bitgröße von 256 bit, sie muss deshalb nicht angegeben werden):
ssh-keygen -t ed25519 -o -a 100

Dies erzeugt zwei Dateien in ~/.ssh/id_<key_type>* je nach verwendetem Verfahren. Beispiel RSA: in der Datei id_rsa steht der (verschlüsselte) private Key. In der Datei id_rsa.pub steht der öffentliche Teil des Schlüssels, der verteilt werden darf/muss.

Der Typ ed25519 ist zum heutigen Stand (05.03.2021) die beste Wahl. Allerdings wird er noch nicht überall unterstützt. In diesem Fall empfiehlt es sich (zusätzlich) einen RSA-Key mit 4096 bit zu erstellen.

ecdsa sollte nicht verwendet werden, da möglicherweise eine Hintertür für die US-Regierung eingebaut ist. RSA1 und DSA sollten auch nicht mehr verwendet werden.

Unter Windows gibts mit puttygen.exe ein grafisches Pendant dazu. Hier lassen sich die erzeugten Keys auch ins Unix-Format konvertieren.