क्या ssh कुंजी का उपयोग करके किसी फ़ाइल पर हस्ताक्षर करना संभव है?

मैं SSH (OpenSSH 5.5p1 लिनक्स पर, सटीक होने के लिए) का उपयोग करता हूं। मेरे पास एक कुंजी है, जिस पर मेरे पास एक पासफ़्रेज़ है। मैं कंप्यूटर सामान में सामान्य लॉगिंग के लिए इसका उपयोग करता हूं।

क्या मैं इसका उपयोग फाइलों पर हस्ताक्षर करने के लिए भी कर सकता हूं?

जैसा कि मैं इसे समझता हूं, SSH कुंजी एक RSA (या DSA) कुंजी है, और SSH लॉगिन प्रक्रिया के दौरान, इसका उपयोग सर्वर पर भेजे गए संदेशों पर हस्ताक्षर करने के लिए किया जाता है। तो सिद्धांत रूप में और व्यवहार में, इसका उपयोग चीजों पर हस्ताक्षर करने के लिए किया जा सकता है - वास्तव में, इसका एकमात्र उद्देश्य है।

लेकिन जहां तक ​​मैं देख सकता हूं, एक मनमानी फ़ाइल पर हस्ताक्षर करने के लिए कुंजी का उपयोग करने का कोई तरीका नहीं है (जैसा कि आप पीजीपी के साथ कहेंगे)। क्या ऐसा करने का कोई तरीका है?

अकेले OpenSSH उपकरणों के साथ ऐसा करने का कोई तरीका नहीं हो सकता है।

लेकिन यह OpenSSL टूल्स के साथ काफी आसानी से किया जा सकता है। वास्तव में, इसे करने के कम से कम दो तरीके हैं। नीचे दिए गए उदाहरणों में, ~/.ssh/id_rsaआपकी निजी कुंजी है।

एक तरीका dgst का उपयोग कर रहा है :

openssl dgst -sign ~/.ssh/id_rsa some-file

अन्य का उपयोग कर रहा है pkeyutl :

openssl pkeyutl -sign -inkey ~/.ssh/id_rsa -in some-file

ये दोनों मानक उत्पादन के लिए एक द्विआधारी हस्ताक्षर लिखते हैं। dgst एक -hexविकल्प लेता है एक पाठात्मक प्रतिनिधित्व को मुद्रित करेगा, जिसमें हस्ताक्षर के रूप के बारे में कुछ विवरण होंगे। pkeyutl एक -hexdumpविकल्प लेता है जो थोड़ा कम उपयोगी है। दोनों आरएसए और डीएसए चाबियाँ दोनों स्वीकार करेंगे। मुझे नहीं पता कि आउटपुट का प्रारूप क्या है। दोनों कमांड अलग-अलग फॉर्मेट तैयार करते हैं। मैं धारणा है कि मिल pkeyutl की तुलना में अधिक आधुनिक माना जाता है dgst ।

उन हस्ताक्षरों को सत्यापित करने के लिए:

openssl dgst -verify $PUBLIC_KEY_FILE -signature signature-file some-file

तथा:

openssl pkeyutl -verify -inkey $PUBLIC_KEY_FILE -sigfile signature-file -in some-file

समस्या यहाँ है $PUBLIC_KEY_FILE। ओपनएसएसएल ओपनएसएसएच के सार्वजनिक कुंजी प्रारूप को नहीं पढ़ सकता है, इसलिए आप इसका उपयोग नहीं कर सकते id_rsa.pub। आपके पास कुछ विकल्प हैं, कोई भी आदर्श नहीं है।

यदि आपके पास 5.6 या बाद के ओपनएसएसएच का एक संस्करण है, तो आप स्पष्ट रूप से ऐसा कर सकते हैं:

ssh-keygen -e -f ~/.ssh/id_rsa.pub -m pem

जो PEM प्रारूप में मानक आउटपुट के लिए सार्वजनिक कुंजी लिखेगा, जिसे OpenSSL पढ़ सकता है।

यदि आपके पास निजी कुंजी है, और यह RSA कुंजी है, तो आप इससे सार्वजनिक कुंजी निकाल सकते हैं (मुझे लगता है कि PEM- एन्कोडेड निजी कुंजी फ़ाइल में सार्वजनिक कुंजी की एक प्रति शामिल है, क्योंकि सार्वजनिक कुंजी को प्राप्त करना संभव नहीं है स्वयं निजी कुंजी से), और उसका उपयोग करें:

openssl rsa -in ~/.ssh/id_rsa -pubout

मुझे नहीं पता कि क्या कोई डीएसए समकक्ष है। ध्यान दें कि इस दृष्टिकोण के लिए निजी कुंजी के स्वामी से कुछ सहयोग की आवश्यकता होती है, जिसे सार्वजनिक कुंजी को निकालना होगा और इसे भेजने वाले को सत्यापित करना होगा।

अंत में, आप सार्वजनिक कुंजी को ओपनएसएसएच से ओपनएसएसएस प्रारूप में बदलने के लिए लार्स नामक एक पायथन कार्यक्रम का उपयोग कर सकते हैं ।

@ टॉम के जवाब ने मुझे शुरू करने में मदद की, लेकिन बॉक्स से बाहर काम नहीं किया।

ये कमांड काम करेंगे:

• ओपनएसएसएल 1.0.1 14 मार्च 2012
• OpenSSH_5.9p1

पाइकल का उपयोग करना

# openssl pkeyutl -sign -inkey ~/.ssh/id_sample -in $1 > $1.sig
# ssh-keygen -e -f ~/.ssh/id_sample.pub -m PKCS8 > pub
# openssl pkeyutl -verify -pubin -inkey pub -in $1 -sigfile $1.sig
Signature Verified Successfully

Dgst का उपयोग करना

# openssl dgst -sign ~/.ssh/id_sample $1 > $1.sig
# ssh-keygen -e -f ~/.ssh/id_sample.pub -m PKCS8 > pub
# openssl dgst -verify pub -signature $1.sig $1
Verified OK

पीकुटल संस्करण केवल छोटे आकार की फाइलों पर हस्ताक्षर कर सकता है। जबकि dgst मनमाने ढंग से बड़ी फ़ाइलों पर हस्ताक्षर कर सकता है, क्योंकि यह परिणाम पर हस्ताक्षर करने से पहले एक पाचन लेता है।

उन हस्ताक्षरों को सत्यापित करने के लिए - आसान समाधान:

यह सुनिश्चित करने का आसान तरीका है कि हस्ताक्षरित दस्तावेज़ एक ही है, डिजिटल हस्ताक्षर फ़ाइल को फिर से बनाना है और फिर यह जांचने के लिए कि क्या दो हस्ताक्षर फ़ाइलें समान हैं, का उपयोग करें।