.\" -*- coding: UTF-8 -*- .\" $OpenBSD: ssh-keygen.1,v 1.232 2024/06/17 13:50:18 naddy Exp $ .\" .\" Author: Tatu Ylonen .\" Copyright (c) 1995 Tatu Ylonen , Espoo, Finland .\" All rights reserved .\" .\" As far as I am concerned, the code I have written for this software .\" can be used freely for any purpose. Any derived versions of this .\" software must be clearly marked as such, and if the derived work is .\" incompatible with the protocol description in the RFC file, it must be .\" called by a name other than "ssh" or "Secure Shell". .\" .\" .\" Copyright (c) 1999,2000 Markus Friedl. All rights reserved. .\" Copyright (c) 1999 Aaron Campbell. All rights reserved. .\" Copyright (c) 1999 Theo de Raadt. All rights reserved. .\" .\" Redistribution and use in source and binary forms, with or without .\" modification, are permitted provided that the following conditions .\" are met: .\" 1. Redistributions of source code must retain the above copyright .\" notice, this list of conditions and the following disclaimer. .\" 2. Redistributions in binary form must reproduce the above copyright .\" notice, this list of conditions and the following disclaimer in the .\" documentation and/or other materials provided with the distribution. .\" .\" THIS SOFTWARE IS PROVIDED BY THE AUTHOR ``AS IS'' AND ANY EXPRESS OR .\" IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES .\" OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. .\" IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT, .\" INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT .\" NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, .\" DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY .\" THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT .\" (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF .\" THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. .\" .\"******************************************************************* .\" .\" This file was generated with po4a. Translate the source file. .\" .\"******************************************************************* .Dd Mdocdate: 17 iunie 2024 $ .Dt SSH-KEYGEN 1 .Os .Sh NUME .Nm ssh-keygen .Nd instrument pentru cheile de autentificare OpenSSH .Sh SINOPSIS .Nm ssh-keygen .Op Fl q .Op Fl a Ar runde .Op Fl b Ar bits .Op Fl C Ar comentariu .Op Fl f Ar fișier-cheie_de_ieșire .Op Fl m Ar format .Op Fl N Ar frază-de-acces_nouă .Op Fl O Ar opțiune .Op Fl t Cm ecdsa | ecdsa-sk | ed25519 | ed25519-sk | rsa .Op Fl w Ar furnizor .Op Fl Z Ar cifrarea .Nm ssh-keygen .Fl p .Op Fl a Ar runde .Op Fl f Ar fișier-cheie .Op Fl m Ar format .Op Fl N Ar frază-de-acces_nouă .Op Fl P Ar frază-de-acces_veche .Op Fl Z Ar cifrarea .Nm ssh-keygen .Fl i .Op Fl f Ar fișier-cheie_de_intrare .Op Fl m Ar format-cheie .Nm ssh-keygen .Fl e .Op Fl f Ar fișier-cheie_de_intrare .Op Fl m Ar format-cheie .Nm ssh-keygen .Fl y .Op Fl f Ar fișier-cheie_de_intrare .Nm ssh-keygen .Fl c .Op Fl a Ar runde .Op Fl C Ar comentariu .Op Fl f Ar fișier-cheie .Op Fl P Ar frază-acces .Nm ssh-keygen .Fl l .Op Fl v .Op Fl E Ar hash-fingerprint .Op Fl f Ar fișier-cheie_de_intrare .Nm ssh-keygen .Fl B .Op Fl f Ar fișier-cheie_de_intrare .Nm ssh-keygen .Fl D Ar pkcs11 .Nm ssh-keygen .Fl F Ar nume-gazdă .Op Fl lv .Op Fl f Ar fișier-gazde-cunoscute .Nm ssh-keygen .Fl H .Op Fl f Ar fișier-gazde-cunoscute .Nm ssh-keygen .Fl K .Op Fl a Ar runde .Op Fl w Ar furnizor .Nm ssh-keygen .Fl R Ar nume-gazdă .Op Fl f Ar fișier-gazde-cunoscute .Nm ssh-keygen .Fl r Ar nume-gazdă .Op Fl g .Op Fl f Ar fișier-cheie_de_intrare .Nm ssh-keygen .Fl M Cm generate .Op Fl O Ar opțiune .Ar fișier_ieșire .Nm ssh-keygen .Fl M Cm screen .Op Fl f Ar fișier_intrare .Op Fl O Ar opțiune .Ar fișier_ieșire .Nm ssh-keygen .Fl I Ar identitate_certificat .Fl s Ar ca_key .Op Fl hU .Op Fl D Ar pkcs11_provider .Op Fl n Ar principali .Op Fl O Ar opțiune .Op Fl V Ar interval-valabilitate .Op Fl z Ar număr-serie .Ar .Nm ssh-keygen .Fl L .Op Fl f Ar fișier-cheie_de_intrare .Nm ssh-keygen .Fl A .Op Fl a Ar runde .Op Fl f Ar prefix-rută .Nm ssh-keygen .Fl k .Fl f Ar fișier-krl .Op Fl u .Op Fl s Ar public-CA .Op Fl z Ar număr-versiune .Ar .Nm ssh-keygen .Fl Q .Op Fl l .Fl f Ar fișier-krl .Ar .Nm ssh-keygen .Fl Y Cm find-principals .Op Fl O Ar opțiune .Fl s Ar fișier-semnătură .Fl f Ar fișier-semnatari-autorizați .Nm ssh-keygen .Fl Y Cm match-principals .Fl I Ar identitate-semnatar .Fl f Ar fișier-semnatari-autorizați .Nm ssh-keygen .Fl Y Cm check-novalidate .Op Fl O Ar opțiune .Fl n Ar spațiu-nume .Fl s Ar fișier-semnătură .Nm ssh-keygen .Fl Y Cm sign .Op Fl O Ar opțiune .Fl f Ar fișier-cheie .Fl n Ar spațiu-nume .Ar .Nm ssh-keygen .Fl Y Cm verify .Op Fl O Ar opțiune .Fl f Ar fișier-semnatari-autorizați .Fl I Ar identitate-semnatar .Fl n Ar spațiu-nume .Fl s Ar fișier-semnătură .Op Fl r Ar fișier-revocare .Sh DESCRIERE .Nm ssh-keygen generează, gestionează și convertește cheile de autentificare pentru .Xr ssh 1 . .Nm ssh-keygen poate crea chei pentru a fi utilizate de protocolul SSH versiunea 2. .Pp Tipul de cheie care urmează să fie generat este specificat cu ajutorul opțiunii .Fl t . În cazul în care este invocat fără niciun argument, .Nm ssh-keygen va genera o cheie Ed25519. .Pp .Nm ssh-keygen este, de asemenea, utilizat pentru a genera grupuri pentru utilizarea în schimbul de grupuri Diffie-Hellman (DH-GEX). A se vedea secțiunea .Sx GENERAREA DE MODULI pentru detalii. .Pp În sfârșit, .Nm ssh-keygen poate fi utilizat pentru a genera și actualiza listele de revocare a cheilor și pentru a testa dacă anumite chei au fost revocate de una dintre acestea. Pentru detalii, consultați secțiunea .Sx LISTE DE REVOCARE A CHEILOR . .Pp În mod normal, fiecare utilizator care dorește să utilizeze SSH cu autentificare cu cheie publică execută această operație o singură dată pentru a crea cheia de autentificare în .Pa ~/.ssh/id_ecdsa , .Pa ~/.ssh/id_ecdsa_sk , .Pa ~/.ssh/id_ed25519 , .Pa ~/.ssh/id_ed25519_sk sau .Pa ~/.ssh/id_rsa . În plus, administratorul de sistem poate folosi acest lucru pentru a genera chei de gazdă, așa cum se vede în .Pa /etc/rc . .Pp În mod normal, acest program generează cheia și solicită un fișier în care să fie stocată cheia privată. Cheia publică este stocată într-un fișier cu același nume, dar cu mențiunea .Dq .pub . Programul solicită, de asemenea, o frază de acces. Fraza de acces poate fi goală pentru a indica faptul că nu există o frază de acces (cheile gazdă trebuie să aibă o frază de acces goală) sau poate fi un șir de lungime arbitrară. O frază de acces este similară cu o parolă, cu excepția faptului că poate fi o frază cu o serie de cuvinte, semne de punctuație, numere, spații albe sau orice șir de caractere pe care îl doriți. Frazele de acces bune au o lungime de 10-30 de caractere, nu sunt propoziții simple sau ușor de ghicit (proza în limba engleză are doar 1-2 biți de entropie per caracter și oferă fraze de acces foarte proaste) și conțin un amestec de litere majuscule și minuscule, numere și caractere non-alfanumerice. Fraza de acces poate fi modificată ulterior prin utilizarea opțiunii .Fl p . .Pp Nu există nicio modalitate de a recupera o frază de acces pierdută. În cazul în care fraza de acces este pierdută sau uitată, trebuie generată o nouă cheie și cheia publică corespunzătoare trebuie copiată pe alte mașini. .Pp .Nm ssh-keygen va scrie în mod implicit cheile într-un format specific OpenSSH. Acest format este preferat deoarece oferă o protecție mai bună pentru cheile în repaus și permite stocarea comentariilor privind cheile în fișierul de chei private. Comentariul cheii poate fi util pentru a ajuta la identificarea cheii. Comentariul este inițializat la .Dq utilizator@gazdă atunci când cheia este creată, dar poate fi modificat cu ajutorul opțiunii .Fl c . .Pp Este în continuare posibil ca .Nm ssh-keygen să scrie cheile private în formatul PEM utilizat anterior, utilizând opțiunea .Fl m . Aceasta poate fi utilizată la generarea de chei noi, iar cheile existente în format nou pot fi convertite utilizând această opțiune împreună cu opțiunea .Fl p (schimbare frază de acces). .Pp După ce o cheie este generată, .Nm ssh-keygen va întreba unde trebuie plasate cheile pentru a fi activate. .Pp Opțiunile sunt următoarele: .Bl -tag -width Ds .It Fl A Generează chei de gazdă pentru toate tipurile de chei implicite (rsa, ecdsa și ed25519), dacă nu există deja. Cheile de gazdă sunt generate cu ruta implicită a fișierului de chei, o frază de acces goală, biți impliciți pentru tipul de cheie și un comentariu implicit. Dacă a fost specificată și .Fl f , argumentul său este utilizat ca prefix pentru ruta implicită pentru fișierele de chei de gazdă rezultate. Aceasta este utilizată de .Pa /etc/rc pentru a genera noi chei gazdă. .It Fl a Ar runde La salvarea unei chei private, această opțiune specifică numărul de runde KDF (funcția de derivare a cheilor, în prezent .Xr bcrypt_pbkdf 3 ) utilizate. Un număr mai mare duce la o verificare mai lentă a frazei de acces și la o rezistență mai mare la spargerea prin forță brută a parolei (în cazul în care cheile sunt furate). Valoarea implicită este de 16 runde. .It Fl B Afișează suma de control în formatul „bubblebabble” a fișierului de chei private sau publice specificat. .It Fl b Ar biți Specifică numărul de biți din cheia care urmează să fie creată. Pentru cheile RSA, dimensiunea minimă este de 1024 de biți, iar cea implicită este de 3072 de biți. În general, 3072 de biți este considerată suficientă. Pentru cheile ECDSA, opțiunea .Fl b determină lungimea cheii prin selectarea uneia dintre cele trei dimensiuni ale curbei eliptice: 256, 384 sau 521 de biți. Încercarea de a utiliza alte lungimi de biți decât aceste trei valori pentru cheile ECDSA va eșua. Cheile ECDSA-SK, Ed25519 și Ed25519-SK au o lungime fixă, iar opțiunea .Fl b va fi ignorată. .It Fl C Ar comentariu Furnizează un comentariu nou. .It Fl c Solicită modificarea comentariului din fișierele de chei private și publice. Programul va solicita fișierul care conține cheile private, fraza de acces, dacă cheia are una, și noul comentariu. .It Fl D Ar pkcs11 Descarcă cheile publice furnizate de biblioteca partajată PKCS#11 .Ar pkcs11 . Atunci când este utilizată în combinație cu .Fl s , această opțiune indică faptul că o cheie a autorității de certificare (CA) se află într-un jeton PKCS#11 (a se vedea secțiunea .Sx CERTIFICATE pentru detalii). .It Fl E Ar hash-fingerprint Specifică algoritmul sumei de control utilizat la afișarea amprentelor cheilor. Opțiunile valide sunt: .Dq md5 și .Dq sha256 . Opțiunea implicită este .Dq sha256 . .It Fl e Această opțiune va citi un fișier de chei private sau publice OpenSSH și va afișa la ieșirea standard o cheie publică într-unul dintre formatele specificate de opțiunea .Fl m . Formatul de export implicit este .Dq RFC4716 . Această opțiune permite exportarea cheilor OpenSSH pentru a fi utilizate de alte programe, inclusiv de mai multe implementări SSH comerciale. .It Fl F Ar nume-gazdă | [nume-gazdă]:port Caută .Ar nume-gazdă specificat (cu numărul opțional al portului) într-un fișier .Pa known_hosts , enumerând toate aparițiile găsite. Această opțiune este utilă pentru a găsi nume de gazde sau adrese transformate în sume de control și poate fi utilizată, de asemenea, împreună cu opțiunea .Fl H pentru a imprima cheile găsite într-un format de sumă de control. .It Fl f Ar nume-fișier Specifică numele de fișier al fișierului de chei. .It Fl g Utilizează formatul generic DNS la imprimarea înregistrărilor de resurse de „amprentă digitală” (fingerprint) cu ajutorul comenzii .Fl r . .It Fl H Transformă conținutul unui fișier .Pa known_hosts în sume de control. Aceasta înlocuiește toate numele de gazdă și adresele cu reprezentări sub formă de sumă de control în fișierul specificat; conținutul original este mutat într-un fișier cu sufixul .old. Aceste sume de control pot fi utilizate în mod normal de către .Nm ssh și .Nm sshd , dar nu dezvăluie informații de identificare în cazul în care conținutul fișierului ar fi dezvăluit. Această opțiune nu va modifica numele de gazdă hașurate existente și, prin urmare, este sigură pentru a fi utilizată în fișiere care amestecă nume convertite în sume de control și nume neconvertite în sume de control. .It Fl h Atunci când semnați o cheie, creați un certificat de gazdă în loc de un certificat de utilizator. Consultați secțiunea .Sx CERTIFICATE pentru detalii. .It Fl I Ar identitate_certificat Specifică identitatea cheii atunci când se semnează o cheie publică. Consultați secțiunea .Sx CERTIFICATE pentru detalii. .It Fl i Această opțiune va citi un fișier de chei private (sau publice) necriptate în formatul specificat de opțiunea .Fl m și va imprima o cheie privată (sau publică) compatibilă cu OpenSSH la ieșirea standard (stdout). Această opțiune permite importarea cheilor din alte programe, inclusiv din mai multe implementări SSH comerciale. Formatul de import implicit este .Dq RFC4716 . .It Fl K Descarcă cheile rezidente de la un autentificator FIDO. Fișierele de chei publice și private vor fi scrise în directorul curent pentru fiecare cheie descărcată. În cazul în care sunt atașați mai mulți autentificatori FIDO, cheile vor fi descărcate de la primul autentificator accesat. Consultați secțiunea .Sx AUTENTIFICATOR FIDO pentru mai multe informații. .It Fl k Generează un fișier KRL. În acest mod, .Nm ssh-keygen va genera un fișier KRL la locația specificată prin intermediul opțiunii .Fl f care revocă fiecare cheie sau certificat prezentat în linia de comandă. Cheile/certificatele care urmează să fie revocate pot fi specificate prin fișierul de chei publice sau utilizând formatul descris în secțiunea .Sx LISTE DE REVOCARE A CHEILOR . .It Fl L Afișează conținutul unuia sau mai multor certificate. .It Fl l Afișează amprenta digitală a fișierului de chei publice specificat. .Nm ssh-keygen va încerca să găsească fișierul cu cheia publică corespunzătoare și îi va imprima amprenta. Dacă este combinată cu opțiunea .Fl v , împreună cu amprenta digitală se furnizează o reprezentare vizuală ASCII a cheii. .It Fl M Cm generate Generează parametri candidați pentru schimbul de grup Diffie-Hellman (DH-GEX) pentru o eventuală utilizare de către metodele de schimb de chei .Sq diffie-hellman-group-exchange-* . Numerele generate de această operație trebuie să fie verificate în continuare înainte de utilizare. Pentru mai multe informații, consultați secțiunea .Sx GENERAREA DE MODULI . .It Fl M Cm screen Verifică parametrii candidați pentru schimbul de grupuri Diffie-Hellman. Aceasta va accepta o listă de numere candidate și va testa dacă acestea sunt numere prime sigure (Sophie Germain) cu generatori de grup acceptabili. Rezultatele acestei operații pot fi adăugate la fișierul .Pa /etc/ssh/moduli . Pentru mai multe informații, consultați secțiunea .Sx GENERAREA DE MODULI . .It Fl m Ar format-cheie Specifică un format de cheie pentru generarea cheii, opțiunile de conversie .Fl i (import), .Fl e (export) și operația .Fl p de modificare a frazei de acces. Aceasta din urmă poate fi utilizată pentru a converti între formatele de chei private OpenSSH și de chei private PEM. Formatele de chei acceptate sunt: .Dq RFC4716 (cheie publică sau privată RFC 4716/SSH2), .Dq PKCS8 (cheie publică sau privată PKCS8) sau .Dq PEM (cheie publică PEM). În mod implicit, OpenSSH va scrie cheile private nou-generate în propriul format, dar atunci când convertește cheile publice pentru export, formatul implicit este .Dq RFC4716 . Definirea unui format .Dq PEM atunci când se generează sau se actualizează un tip de cheie privată acceptat va face ca cheia să fie stocată în formatul tradițional al cheilor private PEM. .It Fl N Ar frază-de-acces_nouă Furnizează noua frază de acces. .It Fl n Ar principale Specifică unul sau mai mulți principali (nume de utilizatori sau de gazde) care urmează să fie incluși într-un certificat la semnarea unei chei. Se pot specifica mai mulți principali, separați prin virgule. Pentru detalii, consultați secțiunea .Sx CERTIFICATE . .It Fl O Ar opțiune Specifică o opțiune cheie/valoare. Acestea sunt specifice operației pe care .Nm ssh-keygen a fost solicitat să o efectueze. .Pp La semnarea certificatelor, se poate specifica aici una dintre opțiunile enumerate în secțiunea .Sx CERTIFICATE . .Pp Atunci când se efectuează generarea sau verificarea de moduli, se poate specifica una dintre opțiunile enumerate în secțiunea .Sx GENERAREA DE MODULI . .Pp La generarea cheilor bazate pe autentificatorul FIDO, pot fi specificate opțiunile enumerate în secțiunea .Sx AUTENTIFICATOR FIDO . .Pp Atunci când se execută opțiuni legate de semnătură cu ajutorul fanionului .Fl Y , sunt acceptate următoarele opțiuni: .Bl -tag -width Ds .It Cm hashalg Ns = Ns Ar algoritm Selectează algoritmul de sumă de control care urmează să fie utilizat pentru calcularea sumei de control a mesajului care urmează să fie semnat. Algoritmii valabili sunt .Dq sha256 și .Dq sha512. Valoarea implicită este .Dq sha512. . .It Cm print-pubkey Afișează cheia publică completă la ieșirea standard după verificarea semnăturii. .It Cm verify-time Ns = Ns Ar marcaj-timp Specifică timpul care să fie utilizat la validarea semnăturilor în locul timpului curent. Timpul poate fi specificat ca dată sau oră în format AAAALLZZ[Z] sau AAAALLZZHHMM[SS][Z]. Datele și orele vor fi interpretate în fusul orar curent al sistemului, cu excepția cazului în care sunt sufixate cu un caracter Z, ceea ce face ca acestea să fie interpretate în fusul orar UTC. .El .Pp Atunci când se generează înregistrări DNS SSHFP din chei publice utilizând fanionul .Fl r , sunt acceptate următoarele opțiuni: .Bl -tag -width Ds .It Cm hashalg Ns = Ns Ar algoritm Selectează un algoritm de sumă de control (hash) care să fie utilizat la imprimarea înregistrărilor SSHFP utilizând opțiunea .Fl D . Algoritmii valabili sunt .Dq sha1 și .Dq sha256 . Valoarea implicită este de a le imprima pe ambele. .El .Pp Opțiunea .Fl O poate fi specificată de mai multe ori. .It Fl P Ar frază-de-acces Furnizează fraza de acces (veche). .It Fl p Solicită modificarea frazei de acces a unui fișier de chei private în loc de crearea unei noi chei private. Programul va solicita fișierul care conține cheia privată, vechea frază de acces și de două ori noua frază de acces. .It Fl Q Testează dacă cheile au fost revocate într-un fișier KRL. Dacă este specificată și opțiunea .Fl l , se va afișa conținutul KRL. .It Fl q Face ca .Nm ssh-keygen să opereze silențios. .It Fl R Ar nume-gazdă | [nume-gazdă]:port Elimină toate cheile aparținând .Ar nume-gazdă specificat (cu numărul opțional al portului) dintr-un fișier .Pa known_hosts . Această opțiune este utilă pentru a șterge gazdele cu numele convertit în sumă de control (a se vedea opțiunea .Fl H de mai sus). .It Fl r Ar nume-gazdă Afișează înregistrarea resurselor de amprentă SSHFP numită .Ar nume-gazdă pentru fișierul de chei publice specificat. .It Fl s Ar cheie_CA Certifică (semnează) o cheie publică utilizând cheia CA specificată. Pentru detalii, consultați secțiunea .Sx CERTIFICATE . .Pp Atunci când se generează un fișier KRL, .Fl s specifică o rută către un fișier de chei publice de CA utilizat pentru a revoca certificatele direct după ID-ul cheii sau numărul de serie. Pentru detalii, consultați secțiunea .Sx LISTE DE REVOCARE A CHEILOR . .It Fl t Cm ecdsa | ecdsa-sk | ed25519 | ed25519-sk | rsa Specifică tipul de cheie care trebuie creată. Valorile posibile sunt .Dq ecdsa , .Dq ecdsa-sk , .Dq ed25519 , .Dq ed25519-sk sau .Dq rsa . .Pp Această opțiune poate fi utilizată, de asemenea, pentru a specifica tipul de semnătură dorit atunci când se semnează certificate care utilizează o cheie RSA CA. Variantele de semnătură RSA disponibile sunt .Dq ssh-rsa (semnături SHA1, nerecomandate), .Dq rsa-sha2-256 și .Dq rsa-sha2-512 (varianta implicită). .It Fl U Atunci când este utilizată în combinație cu .Fl s sau .Fl Y Cm sign , această opțiune indică faptul că o cheie CA se află într-un .Xr ssh-agent 1 . Pentru mai multe informații, consultați secțiunea .Sx CERTIFICATE . .It Fl u Actualizează un fișier KRL. Atunci când este specificat cu .Fl k , cheile enumerate prin linia de comandă sunt adăugate la KRL-ul existent, în loc să fie creat un nou KRL. .It Fl V Ar interval_valabilitate Specifică un interval de valabilitate la semnarea unui certificat. Un interval de valabilitate poate consta dintr-un singur moment, indicând că certificatul este valabil începând din acest moment și expirând în acel moment, sau poate consta din două momente separate de două puncte pentru a indica un interval de timp explicit. .Pp Momentul de începere poate fi specificat astfel: .Bl -bullet -compact .It Șirul .Dq always pentru a indica faptul că certificatul nu are o oră de începere specificată. .It O dată sau o oră în fusul orar al sistemului, formatată ca AAAALLZZ sau AAAALLZZHHMM[SS]. .It O dată sau o oră în fusul orar UTC sub forma AAAALLZZZ sau AAAALLZZHHMM[SS]Z. .It O oră relativă înaintea orei curente a sistemului, formată dintr-un semn minus urmat de un interval în formatul descris în secțiunea FORMATE DE TIMP din .Xr sshd_config 5 . .It Un număr brut de secunde de la începutul epocii (1 ianuarie 1970 00:00:00:00 UTC) sub forma unui număr hexazecimal care începe cu .Dq 0x . .El .Pp Momentul de sfârșit poate fi specificat în mod similar cu momentul de început: .Bl -bullet -compact .It Șirul de caractere .Dq forever pentru a indica faptul că certificatul nu are un termen de expirare specificat. .It O dată sau o oră în fusul orar al sistemului, formatată ca AAAALLZZ sau AAAALLZZHHMM[SS]. .It O dată sau o oră în fusul orar UTC sub forma AAAALLZZZ sau AAAALLZZHHMM[SS]Z. .It O oră relativă după ora curentă a sistemului, formată dintr-un semn plus urmat de un interval în formatul descris în secțiunea FORMATE DE TIMP din .Xr sshd_config 5 . .It Un număr brut de secunde de la începutul epocii (1 ianuarie 1970 00:00:00:00 UTC) sub forma unui număr hexazecimal care începe cu .Dq 0x . .El .Pp De exemplu: .Bl -tag -width Ds .It +52w1d Valabil de acum până la 52 de săptămâni și o zi de acum încolo. .It -4w:+4w Valabil de acum patru săptămâni până la patru săptămâni de acum încolo. .It 20230101123000:20240101123000 Valabil de la ora 12:30 PM, 1 ianuarie 2023 până la ora 12:30 PM, 1 ianuarie 2024. .It 20230101123000Z:20240101123000Z Similar, dar interpretat în fusul orar UTC și nu în fusul orar al sistemului. .It -1d:20250101 Valabil de ieri până la miezul nopții, 1 ianuarie 2025. .It 0x1:0x2000000000 Valabil aproximativ de la începutul anului 1970 până în mai 2033. .It -1m:forever Valabil începând cu un minut în urmă și nu expiră niciodată. .El .It Fl v Modul descriptiv. Face ca .Nm ssh-keygen să afișeze mesaje de depanare despre progresul său. Acest lucru este util pentru depanarea generării de module. Opțiunile multiple ale .Fl v sporesc gradul de detalii. Valoarea maximă este 3. .It Fl w Ar furnizor Specifică o rută către o bibliotecă care va fi utilizată la crearea cheilor găzduite de autentificatorul FIDO, înlocuind opțiunea implicită de utilizare a suportului USB HID intern. .It Fl Y Cm find-principals Găsește principalii asociați cu cheia publică a unei semnături, furnizată cu ajutorul fanionului .Fl s într-un fișier de semnatari autorizați furnizat cu ajutorul fanionului .Fl f . Formatul fișierului de semnatari autorizați este documentat în secțiunea .Sx SEMNATARI AUTORIZAȚI de mai jos. În cazul în care se găsesc unul sau mai mulți împuterniciți care corespund, aceștia sunt returnați la ieșirea standard. .It Fl Y Cm match-principals Găsește principalul care se potrivește cu numele principalului furnizat cu ajutorul fanionului .Fl I în fișierul semnatarilor autorizați specificat cu ajutorul fanionului .Fl f . În cazul în care se găsesc unul sau mai mulți principali care corespund, aceștia sunt returnați la ieșirea standard. .It Fl Y Cm check-novalidate Verifică dacă o semnătură generată folosind .Nm ssh-keygen .Fl Y Cm sign are o structură validă. Aceasta nu validează dacă o semnătură provine de la un semnatar autorizat. Atunci când testează o semnătură, .Nm ssh-keygen acceptă un mesaj la intrarea standard și un spațiu de nume de semnătură folosind .Fl n . Un fișier care conține semnătura corespunzătoare trebuie, de asemenea, să fie furnizat folosind fanionul .Fl s . Testarea cu succes a semnăturii este semnalată de .Nm ssh-keygen prin returnarea unei stări de ieșire zero. .It Fl Y Cm sign Semnează criptografic un fișier sau anumite date utilizând o cheie SSH. Atunci când semnează, .Nm ssh-keygen acceptă zero sau mai multe fișiere de semnat în linia de comandă - dacă nu este specificat niciun fișier, .Nm ssh-keygen va semna datele prezentate la intrarea standard. Semnăturile sunt scrise în ruta fișierului de intrare cu .Dq .sig atașat, sau la ieșirea standard în cazul în care mesajul care urmează să fie semnat a fost citit de la intrarea standard. .Pp Cheia utilizată pentru semnare este specificată cu ajutorul opțiunii .Fl f și se poate referi fie la o cheie privată, fie la o cheie publică cu jumătatea privată disponibilă prin .Xr ssh-agent 1 . Un spațiu de nume de semnătură suplimentar, utilizat pentru a preveni confuzia de semnături în diferite domenii de utilizare (de exemplu, semnarea fișierelor vs. semnarea mesajelor de poștă electronică) trebuie furnizat prin intermediul fanionului .Fl n . Spațiile de nume sunt șiruri de caractere arbitrare și pot include: .Dq file pentru semnarea fișierelor, .Dq email pentru semnarea mesajelor electronice. Pentru utilizări personalizate, se recomandă utilizarea de nume care să urmeze un model SPAȚIU_DE_NUME@DOMENIUL.DVS pentru a genera spații de nume lipsite de ambiguitate. .It Fl Y Cm verify Solicită verificarea unei semnături generate folosind .Nm ssh-keygen .Fl Y Cm sign , așa cum a fost descris mai sus. Atunci când verifică o semnătură, .Nm ssh-keygen acceptă un mesaj la intrarea standard și un spațiu de nume al semnăturii folosind .Fl n . De asemenea, trebuie să se furnizeze un fișier care conține semnătura corespunzătoare cu ajutorul fanionului .Fl s , împreună cu identitatea semnatarului cu ajutorul .Fl I și o listă de semnatari autorizați cu ajutorul fanionului .Fl f . Formatul fișierului semnatarilor autorizați este documentat în secțiunea .Sx SEMNATARI AUTORIZAȚI de mai jos. Un fișier care conține chei revocate poate fi transmis cu ajutorul fanionului .Fl r . Fișierul de revocare poate fi un KRL sau o listă de chei publice, una pe linie. Verificarea reușită de către un semnatar autorizat este semnalată prin faptul că .Nm ssh-keygen returnează o stare de ieșire zero. .It Fl y Această opțiune va citi un fișier privat în format OpenSSH și va imprima o cheie publică OpenSSH la ieșirea standard. .It Fl Z Ar cifrarea Specifică cifrarea care trebuie utilizată pentru criptare atunci când se scrie un fișier de cheie privată în format OpenSSH. Lista cifrărilor disponibile poate fi obținută utilizând .Qq ssh -Q cipher . Valoarea implicită este .Dq aes256-ctr . .It Fl z Ar număr-serie Specifică un număr de serie care trebuie încorporat în certificat pentru a distinge acest certificat de altele de la aceeași autoritate de certificare (CA). Dacă .Ar număr-serie este prefixat cu un caracter .Sq + , atunci numărul de serie va fi incrementat pentru fiecare certificat semnat pe o singură linie de comandă. Numărul de serie implicit este zero. .Pp Atunci când se generează un KRL, fanionul .Fl z este utilizat pentru a specifica un număr de versiune KRL. .El .Sh GENERARE DE MODULI .Nm ssh-keygen poate fi utilizat pentru a genera grupuri pentru protocolul Diffie-Hellman Group Exchange (DH-GEX). Generarea acestor grupuri este un proces în două etape: mai întâi, se generează numere prime candidate folosind un proces rapid, dar care necesită multă memorie. Aceste prime candidate sunt apoi testate pentru a se verifica dacă sunt adecvate (un proces care necesită un consum intensiv de CPU). .Pp Generarea numerelor prime se realizează cu ajutorul opțiunii .Fl M Cm generate . Lungimea dorită a numerelor prime poate fi specificată cu ajutorul opțiunii .Fl O Cm bits . De exemplu: .Pp .Dl # ssh-keygen -M generate -O bits=2048 moduli-2048.candidates .Pp În mod implicit, căutarea numerelor prime începe într-un punct aleatoriu din intervalul de lungime dorit. Acest lucru poate fi anulat cu ajutorul opțiunii .Fl O Cm start , care specifică un alt punct de pornire (în hexazecimal). .Pp După ce a fost generat un set de candidați, aceștia trebuie să fie examinați pentru a se stabili dacă sunt potriviți. Acest lucru poate fi realizat cu ajutorul opțiunii .Fl M Cm screen . În acest mod, .Nm ssh-keygen va citi candidații de la intrarea standard (sau dintr-un fișier specificat cu ajutorul opțiunii .Fl f ) . De exemplu: .Pp .Dl # ssh-keygen -M screen -f moduli-2048.candidates moduli-2048 .Pp În mod implicit, fiecare candidat va fi supus la 100 de teste de primalitate. Acest lucru poate fi anulat cu ajutorul opțiunii .Fl O Cm prime-tests . Valoarea generatorului DH va fi aleasă în mod automat pentru prima considerată. În cazul în care se dorește un generator specific, acesta poate fi solicitat utilizând opțiunea .Fl O Cm generator . Valorile valide ale generatorului sunt 2, 3 și 5. .Pp Grupurile DH verificate pot fi instalate în .Pa /etc/ssh/moduli . Este important ca acest fișier să conțină moduli cu o serie de lungimi de biți. .Pp Sunt disponibile o serie de opțiuni pentru generarea și verificarea de moduli prin intermediul fanionului .Fl O : .Bl -tag -width Ds .It Ic lines Ns = Ns Ar număr Iese după examinarea numărului specificat de linii în timp ce se efectuează examinarea candidaților DH. .It Ic start-line Ns = Ns Ar număr-linie Începe examinarea la numărul de linie specificat în timp ce se efectuează examinarea candidaților DH. .It Ic checkpoint Ns = Ns Ar nume-fișier Scrie ultima linie procesată în fișierul specificat în timpul efectuării verificării candidaților DH. Acest lucru va fi utilizat pentru a sări peste liniile din fișierul de intrare care au fost deja procesate, în cazul în care activitatea este repornită. .It Ic memory Ns = Ns Ar Mocteți Specifică cantitatea de memorie care trebuie utilizată (în megaocteți) la generarea de moduli candidați pentru DH-GEX. .It Ic start Ns = Ns Ar valoare-hex Specifică punctul de pornire (în hexazecimal) la generarea de moduli candidați pentru DH-GEX. .It Ic generator Ns = Ns Ar valoare Specifică generatorul dorit (în zecimal) atunci când se efectuează testarea de moduli candidați pentru DH-GEX. .El .Sh CERTIFICATE .Nm ssh-keygen acceptă semnarea cheilor pentru a produce certificate care pot fi utilizate pentru autentificarea utilizatorului sau a gazdei. Certificatele constau dintr-o cheie publică, unele informații privind identitatea, zero sau mai multe nume principale (utilizator sau gazdă) și un set de opțiuni care sunt semnate de o cheie a autorității de certificare (CA). Clienții sau serverele pot avea încredere doar în cheia CA și pot verifica semnătura acesteia pe un certificat, în loc să aibă încredere în mai multe chei de utilizator/gazdă. Rețineți că certificatele OpenSSH au un format diferit și mult mai simplu decât certificatele X.509 utilizate în .Xr ssl 8 . .Pp .Nm ssh-keygen acceptă două tipuri de certificate: utilizator și gazdă. Certificatele de utilizator autentifică utilizatorii față de servere, în timp ce certificatele de gazdă autentifică gazdele serverului față de utilizatori. Pentru a genera un certificat de utilizator: .Pp .Dl $ ssh-keygen -s /ruta/la/cheie_CA -I key_id /ruta/la/cheie_utilizator.pub .Pp Certificatul rezultat va fi plasat în .Pa /ruta/la/certificat-cheie_utilizator.pub . Un certificat de gazdă necesită opțiunea .Fl h : .Pp .Dl $ ssh-keygen -s /ruta/la/cheie_CA -I key_id -h /ruta/la/cheie_gazdă.pub .Pp Certificatul de gazdă va fi generat în .Pa /ruta/la/certificat-cheie_gazdă.pub . .Pp Este posibil să se semneze folosind o cheie CA stocată într-un jeton PKCS#11, furnizând biblioteca de jetoane prin utilizarea .Fl D și identificând cheia CA prin furnizarea jumătății publice a acesteia ca argument pentru .Fl s : .Pp .Dl $ ssh-keygen -s cheie_CA.pub -D libpkcs11.so -I id_cheie cheie_utilizator.pub .Pp În mod similar, este posibil ca cheia CA să fie găzduită într-un .Xr ssh-agent 1 . Acest lucru este indicat prin fanionul .Fl U și, din nou, cheia CA trebuie să fie identificată prin jumătatea sa publică. .Pp .Dl $ ssh-keygen -Us ca_key.pub -I key_id cheie_utilizator.pub .Pp În toate cazurile, .Ar id_cheie este un „identificator de cheie” care este înregistrat de server atunci când certificatul este utilizat pentru autentificare. .Pp Certificatele pot fi limitate pentru a fi valabile pentru un set de nume principale (utilizator/gazdă). În mod implicit, certificatele generate sunt valabile pentru toți utilizatorii sau gazdele. Pentru a genera un certificat pentru un set specificat de principali: .Pp .Dl $ ssh-keygen -s cheie_CA -I id_cheie -n utilizator1,utilizator2 cheie_utilizator.pub .Dl "$ ssh-keygen -s cheie_CA -I id_cheie -h -n gazdă.domeniu cheie_gazdă.pub" .Pp Limitările suplimentare privind valabilitatea și utilizarea certificatelor de utilizator pot fi specificate prin intermediul opțiunilor de certificat. O opțiune de certificat poate dezactiva caracteristici ale sesiunii SSH, poate fi valabilă numai atunci când este prezentată de la anumite adrese sursă sau poate forța utilizarea unei comenzi specifice. .Pp Opțiunile care sunt valabile pentru certificatele de utilizator sunt: .Pp .Bl -tag -width Ds -compact .It Ic clear Anulează toate permisiunile activate. Acest lucru este util pentru a șterge setul implicit de permisiuni, astfel încât permisiunile să poată fi adăugate individual. .Pp .It Ic critical : Ns Ar nume Ns Op Ns = Ns Ar conținut .It Ic extension : Ns Ar nume Ns Op Ns = Ns Ar conținut Include o opțiune sau o extensie critică de certificat arbitrară. .Ar numele specificat trebuie să includă un sufix de domeniu, de exemplu: \& .Dq nume@example.com . Dacă este specificat .Ar conținut , atunci este inclus conținutul extensiei/opțiunii codificat ca un șir de caractere, în caz contrar extensia/opțiunea este creată fără conținut (indicând de obicei un fanion). Extensiile pot fi ignorate de un client sau server care nu le recunoaște, în timp ce opțiunile critice necunoscute vor determina refuzul certificatului. .Pp .It Ic force-command Ns = Ns Ar comanda Forțează executarea comenzii .Ar comanda în loc de orice shell sau comandă specificată de utilizator atunci când certificatul este utilizat pentru autentificare. .Pp .It Ic no-agent-forwarding Dezactivează redirecționarea .Xr ssh-agent 1 (permisă în mod implicit). .Pp .It Ic no-port-forwarding Dezactivați redirecționarea porturilor (permisă în mod implicit). .Pp .It Ic no-pty Dezactivează alocarea PTY (permisă în mod implicit). .Pp .It Ic no-user-rc Dezactivează executarea .Pa ~/.ssh/rc de către .Xr sshd 8 (permisă în mod implicit). .Pp .It Ic no-x11-forwarding Dezactivează redirecționarea X11 (permisă în mod implicit). .Pp .It Ic permit-agent-forwarding Permite redirecționarea .Xr ssh-agent 1 . .Pp .It Ic permit-port-forwarding Permite redirecționarea porturilor. .Pp .It Ic permit-pty Permite alocarea PTY. .Pp .It Ic permit-user-rc Permite executarea .Pa ~/.ssh/rc de către .Xr sshd 8 . .Pp .It Ic permit-X11-forwarding Permite redirecționarea X11. .Pp .It Ic no-touch-required Nu solicită ca semnăturile realizate cu această cheie să includă demonstrarea prezenței utilizatorului (de exemplu, prin atingerea autentificatorului de către utilizator). Această opțiune are sens numai pentru algoritmii de autentificare FIDO .Cm ecdsa-sk și .Cm ed25519-sk . .Pp .It Ic source-address Ns = Ns Ar listă-adrese Restricționează adresele sursă de la care certificatul este considerat valabil. .Ar listă-adrese este o listă de una sau mai multe perechi adresă/mască de rețea în format CIDR, separate prin virgule. .Pp .It Ic verify-required Cererile de semnături realizate cu această cheie indică faptul că utilizatorul a fost verificat pentru prima dată. Această opțiune are sens numai pentru algoritmii de autentificare FIDO .Cm ecdsa-sk și .Cm ed25519-sk . În prezent, autentificarea prin PIN este singura metodă de verificare acceptată, dar este posibil ca în viitor să fie acceptate și alte metode. .El .Pp În prezent, nicio opțiune standard nu este valabilă pentru cheile gazdă. .Pp În cele din urmă, certificatele pot fi definite cu o durată de valabilitate. Opțiunea .Fl V permite specificarea orelor de început și de sfârșit ale certificatului. Un certificat care este prezentat la o oră în afara acestui interval nu va fi considerat valabil. În mod implicit, certificatele sunt valabile de la Epoca .Ux până în viitorul îndepărtat. .Pp Pentru ca certificatele să fie utilizate pentru autentificarea utilizatorului sau a gazdei, cheia publică a autorității de certificare (CA) trebuie să fie de încredere pentru .Xr sshd 8 sau .Xr ssh 1 . Consultați paginile de manual respective pentru detalii. .Sh Autentificator FIDO .Nm ssh-keygen este capabil să genereze chei FIDO bazate pe autentificatorul FIDO, după care acestea pot fi utilizate la fel ca orice alt tip de cheie acceptat de OpenSSH, atât timp cât autentificatorul hardware este atașat atunci când sunt utilizate cheile. Autentificatorii FIDO necesită, în general, ca utilizatorul să autorizeze în mod explicit operațiile prin atingerea sau acoperirea acestora. Cheile FIDO sunt formate din două părți: o parte de tip gestionar de chei stocată în fișierul de chei private de pe disc și o cheie privată pentru fiecare dispozitiv, care este unică pentru fiecare autentificator FIDO și care nu poate fi exportată de pe hardware-ul autentificatorului. Acestea sunt combinate de hardware în momentul autentificării pentru a obține cheia reală care este utilizată pentru a semna provocările de autentificare. Tipurile de chei acceptate sunt .Cm ecdsa-sk și .Cm ed25519-sk . .Pp Opțiunile care sunt valabile pentru cheile FIDO sunt: .Bl -tag -width Ds .It Cm application Substituie șirul implicit de aplicație/origine FIDO de .Dq ssh: . Acest lucru poate fi util atunci când se generează chei rezidente specifice gazdei sau domeniului. Șirul de aplicații specificat trebuie să înceapă cu .Dq ssh: . .It Cm challenge Ns = Ns Ar ruta Specifică o rută către un șir de provocare care va fi transmis autentificatorului FIDO în timpul generării cheii. Șirul de provocare poate fi utilizat ca parte a unui protocol în afara benzii pentru înscrierea cheii (în mod implicit, se utilizează o provocare aleatorie). .It Cm device Specifică în mod explicit un dispozitiv .Xr fido 4 care să fie utilizat, în loc să lase intermedierea selectării unuia în seama autentificatorului. .It Cm no-touch-required Indică faptul că cheia privată generată nu trebuie să necesite evenimente de atingere (prezența utilizatorului) atunci când se realizează semnăturile. Rețineți că .Xr sshd 8 va refuza în mod implicit astfel de semnături, cu excepția cazului în care nu este suprascrisă prin intermediul unei opțiuni authorized_keys. .It Cm resident Indică faptul că gestionarul de chei ar trebui să fie stocat chiar în autentificatorul FIDO. Acest lucru facilitează utilizarea autentificatorului pe mai multe calculatoare. Cheile rezidente pot fi acceptate pe autentificatorii FIDO2 și necesită, de obicei, ca un PIN să fie stabilit pe autentificator înainte de generare. Cheile rezidente pot fi încărcate de pe autentificator utilizând .Xr ssh-add 1 . Stocarea ambelor părți ale unei chei pe un autentificator FIDO crește probabilitatea ca un atacator să poată utiliza un dispozitiv autentificator furat. .It Cm user Un nume de utilizator care urmează să fie asociat unei chei rezidente, înlocuind numele de utilizator implicit gol. Specificarea unui nume de utilizator poate fi utilă atunci când se generează mai multe chei rezidente pentru același nume de aplicație. .It Cm verify-required Indică faptul că această cheie privată trebuie să necesite verificarea utilizatorului pentru fiecare semnătură. Nu toți autentificatorii FIDO acceptă această opțiune. În prezent, autentificarea prin PIN este singura metodă de verificare acceptată, dar este posibil ca în viitor să fie acceptate și alte metode. .It Cm write-attestation Ns = Ns Ar ruta Poate fi utilizată în momentul generării cheilor pentru a înregistra datele de atestare returnate de către autentificatorii FIDO în timpul generării cheilor. Aceste informații sunt potențial sensibile. În mod implicit, aceste informații sunt eliminate. .El .Sh LISTE DE REVOCARE A CHEILOR .Nm ssh-keygen este capabil să gestioneze listele de revocare a cheilor (KRL) în format OpenSSH. Aceste fișiere binare specifică cheile sau certificatele care urmează să fie revocate folosind un format compact, necesitând doar un singur bit pentru fiecare certificat, dacă acestea sunt revocate după numărul de serie. .Pp KRL-urile pot fi generate utilizând fanionul .Fl k . Această opțiune citește unul sau mai multe fișiere din linia de comandă și generează un nou KRL. Fișierele pot conține fie o specificație KRL (a se vedea mai jos), fie chei publice, enumerate una pe linie. Cheile publice simple sunt revocate prin enumerarea sumei lor de control sau a conținutului lor în KRL, iar certificatele sunt revocate prin numărul de serie sau ID-ul cheii (dacă numărul de serie este zero sau nu este disponibil). .Pp Revocarea cheilor utilizând o specificație KRL oferă un control explicit asupra tipurilor de înregistrări utilizate pentru revocarea cheilor și poate fi utilizată pentru a revoca direct certificatele în funcție de numărul de serie sau de ID-ul cheii fără a avea la îndemână certificatul original complet. O specificație KRL constă în linii care conțin una dintre următoarele directive, urmată de două puncte și de unele informații specifice directivei. .Bl -tag -width Ds .It Cm serial : Ar număr-serie Ns Op - Ns Ar număr-serie Revocă un certificat cu numărul de serie specificat. Numerele de serie sunt valori pe 64 de biți, fără zero și pot fi exprimate în zecimal, hexazecimal sau octal. În cazul în care se specifică două numere de serie separate de o cratimă, atunci se revocă intervalul de numere de serie care include și se află între ele. Cheia CA trebuie să fi fost specificată în linia de comandă .Nm ssh-keygen cu ajutorul opțiunii .Fl s . .It Cm id : Ar id-cheie Revocă un certificat cu șirul de identificare a cheii specificat. Cheia CA trebuie să fi fost specificată în linia de comandă .Nm ssh-keygen cu ajutorul opțiunii .Fl s . .It Cm key : Ar cheie-publică Revocă cheia specificată. Dacă este listat un certificat, atunci acesta este revocat ca o cheie publică simplă. .It Cm sha1 : Ar cheie-publică Revocă cheia specificată prin includerea sumei de control SHA1 a acesteia în KRL. .It Cm sha256 : Ar cheie-publică Revocă cheia specificată prin includerea sumei de control SHA256 a acesteia în KRL. KRL-urile care revocă cheile prin intermediul sumelor de control SHA256 nu sunt acceptate de versiunile OpenSSH anterioare la versiunea 7.9. .It Cm hash : Ar amprentă-digitală Revocă o cheie folosind o sumă de control de amprentă digitală, așa cum este obținută dintr-un mesaj de jurnal de autentificare .Xr sshd 8 sau din fanionul .Nm ssh-keygen .Fl l . Numai amprentele SHA256 sunt acceptate aici, iar KRL-urile rezultate nu sunt acceptate de versiunile OpenSSH anterioare la versiunea 7.9. .El .Pp KRL-urile pot fi actualizate utilizând fanionul .Fl u în plus față de .Fl k . Atunci când este specificată această opțiune, cheile listate prin intermediul liniei de comandă sunt încorporate în KRL, adăugându-se la cele deja existente. .Pp De asemenea, este posibil, având în vedere un KRL, să se testeze dacă acesta revocă o anumită cheie (sau chei). Fanionul .Fl Q va interoga un KRL existent, testând fiecare cheie specificată în linia de comandă. Dacă una dintre cheile enumerate în linia de comandă a fost revocată (sau dacă s-a întâlnit o eroare), atunci .Nm ssh-keygen va ieși cu o stare de ieșire diferită de zero. O stare de ieșire zero va fi returnată numai dacă nicio cheie nu a fost revocată. .Sh SEMNATARI AUTORIZAȚI La verificarea semnăturilor, .Nm ssh-keygen utilizează o listă simplă de identități și chei pentru a determina dacă o semnătură provine dintr-o sursă autorizată. Acest fișier „semnatari autorizați” utilizează un format asemănător cu cel al FORMATULUI FIȘIERULUI AUTHORIZED_KEYS descris în .Xr sshd 8 . Fiecare linie a fișierului conține următoarele câmpuri separate prin spații: principals, options, keytype, keytype, base64-encoded key. Liniile goale și liniile care încep cu un .Ql # sunt ignorate ca fiind comentarii. .Pp Câmpul „principals” este o listă de modele (a se vedea MODELE în .Xr ssh_config 5 ) constând din unul sau mai multe modele de identitate UTILIZATOR@DOMENIU separate prin virgule care sunt acceptate pentru semnare. La verificare, identitatea prezentată prin intermediul opțiunii .Fl I trebuie să se potrivească cu un model de „principals” pentru ca cheia corespunzătoare să fie considerată acceptabilă pentru verificare. .Pp Opțiunile (dacă sunt prezente) constau în specificații de opțiuni separate prin virgule. Nu sunt permise spațiile, cu excepția celor între ghilimele duble. Sunt acceptate următoarele specificații ale opțiunilor (a se observa că cuvintele cheie ale opțiunilor nu țin cont de majuscule și minuscule): .Bl -tag -width Ds .It Cm cert-authority Indică faptul că această cheie este acceptată ca autoritate de certificare (CA) și că certificatele semnate de această CA pot fi acceptate pentru verificare. .It Cm namespaces Ns = Ns listă-spații-nume Specifică o listă de spații de nume acceptate pentru această cheie. Dacă această opțiune este prezentă, spațiul de nume al semnăturii încorporat în obiectul semnătură și prezentat în linia de comandă de verificare trebuie să corespundă listei specificate pentru ca cheia să fie considerată acceptabilă. .It Cm valid-after Ns = Ns marcaj-de-timp Indică faptul că cheia este valabilă pentru utilizare la sau după data și ora specificate, care poate fi o dată sau o oră în formatul AAAALLZZ[Z] sau AAAALLZZHHMM[SS][Z]. Datele și orele vor fi interpretate în fusul orar curent al sistemului, cu excepția cazului în care sunt sufixate cu un caracter Z, ceea ce face ca acestea să fie interpretate în fusul orar UTC. .It Cm valid-before Ns = Ns marcaj-de-timp Indică faptul că cheia este valabilă pentru utilizare la sau înainte de data și ora specificate. .El .Pp Atunci când se verifică semnăturile realizate prin certificate, numele principalului așteptat trebuie să corespundă atât cu modelul principalilor din fișierul cu semnatari autorizați, cât și cu principalii încorporați în certificatul propriu-zis. .Pp Un exemplu de fișier de semnatari autorizați: .Bd -literal -offset 3n # Comentarii permise la începutul liniei utilizator1@example.com,utilizator2@example.com ssh-rsa AAAAX1... # O autoritate de certificare, de încredere pentru toți principalii dintr-un domeniu. *@example.com cert-authority ssh-ed25519 AAAB4... # O cheie care este acceptată numai pentru semnarea fișierelor. utilizator2@example.com namespaces="file" ssh-ed25519 AAA41... .Ed .Sh MEDIU .Bl -tag -width Ds .It Ev SSH_SK_PROVIDER Specifică o rută către o bibliotecă care va fi utilizată la încărcarea oricăror chei găzduite de autentificatorul FIDO, înlocuind opțiunea implicită de utilizare a suportului USB HID încorporat. .El .Sh FIȘIERE .Bl -tag -width Ds -compact .It Pa ~/.ssh/id_ecdsa .It Pa ~/.ssh/id_ecdsa_sk .It Pa ~/.ssh/id_ed25519 .It Pa ~/.ssh/id_ed25519_sk .It Pa ~/.ssh/id_rsa Conține identitatea de autentificare ECDSA,găzduită de autentificatorul ECDSA , identitatea de autentificare Ed25519, găzduită de autentificatorul Ed25519 sau identitatea de autentificare RSA a utilizatorului. Acest fișier nu trebuie să poată fi citit decât de utilizator. Este posibil să se specifice o frază de acces atunci când se generează cheia; această frază de acces va fi utilizată pentru a cripta partea privată a acestui fișier utilizând AES pe 128 de biți. Acest fișier nu este accesat automat de .Nm ssh-keygen , dar este oferit ca fișier implicit pentru cheia privată. .Xr ssh 1 va citi acest fișier atunci când se face o încercare de conectare. .Pp .It Pa ~/.ssh/id_ecdsa.pub .It Pa ~/.ssh/id_ecdsa_sk.pub .It Pa ~/.ssh/id_ed25519.pub .It Pa ~/.ssh/id_ed25519_sk.pub .It Pa ~/.ssh/id_rsa.pub Conține cheia publică ECDSA, găzduită de autentificatorul ECDSA, cheia publică Ed25519, găzduită de autentificatorul Ed25519 sau cheia publică RSA pentru autentificare. Conținutul acestui fișier trebuie adăugat la .Pa ~/.ssh/authorized_keys pe toate mașinile la care utilizatorul dorește să se conecteze folosind autentificarea cu cheie publică. Nu este necesar să păstrați secret conținutul acestui fișier. .Pp .It Pa /etc/ssh/moduli Conține grupurile Diffie-Hellman utilizate pentru DH-GEX. Formatul fișierului este descris în .Xr moduli 5 . .El .Sh CONSULTAȚI ȘI .Xr ssh 1 , .Xr ssh-add 1 , .Xr ssh-agent 1 , .Xr moduli 5 , .Xr sshd 8 .Rs .%R RFC 4716 .%T "The Secure Shell (SSH) Public Key File Format" .%D 2006 .Re .Sh AUTORI OpenSSH este un derivat al versiunii originale și libere ssh 1.2.12 de Tatu Ylonen. Aaron Campbell, Bob Beck, Markus Friedl, Niels Provos, Theo de Raadt și Dug Song au eliminat multe erori, au adăugat din nou caracteristici noi și au creat OpenSSH. Markus Friedl a contribuit la suportul pentru versiunile 1.5 și 2.0 ale protocolului SSH. .Pp .Sh TRADUCERE Traducerea în limba română a acestui manual a fost făcută de Remus-Gabriel Chelu . .Pp Această traducere este documentație gratuită; citiți .Lk https://www.gnu.org/licenses/gpl-3.0.html Licența publică generală GNU Versiunea 3 sau o versiune ulterioară cu privire la condiții privind drepturile de autor. NU se asumă NICIO RESPONSABILITATE. .Pp Dacă găsiți erori în traducerea acestui manual, vă rugăm să trimiteți un e-mail la .Mt translation-team-ro@lists.sourceforge.net .Me .