如何确定现有的SSH私钥是否安全？

Question

对于普通用户，如何验证私钥文件是使用合理安全的算法生成的？作为对像据称不安全的ssh-keygen默认值这样的事情的回应。

Answer 1

正如RubberStamp所指出的，这一点在SSH密钥的更强加密中有详细介绍，但概括地说：

Look在第一行和下一行中的单词处。

 -----BEGIN RSA PRIVATE KEY-----
 Proc-Type: 4,ENCRYPTED
 DEK-Info: DES-EDE3-CBC,(hex)

 (several lines of base64)
 -----END RSA PRIVATE KEY-----

(与DSA PRIVATE KEY或EC PRIVATE KEY类似)是旧的、糟糕的PBKDF格式。

 -----BEGIN RSA PRIVATE KEY----- # or DSA,EC
 (base64 immediately)
 -----END RSA PRIVATE KEY----- # ditto 

是旧的未加密格式，更糟糕的是。

 -----BEGIN OPENSSH PRIVATE KEY-----
 (several lines of base64)
 -----END OPENSSH PRIVATE KEY-----

是OpenSSH特有的“新”格式，这就是为什么它说OPENSSH就在那里。但是，这种格式并不直接显示它是否加密。最简单的方法是尝试读取它(要么用于ssh连接，要么用ssh-keygen来转换或修改它)，看看它是否需要密码。或者，您可以剥去标签并解码base64 (方便地，openssl base64 -d做到了这两个！)看看它：

$ openssl base64 -d