SSH-KEYGEN(1) SSH SSH-KEYGEN(1)
JMENO
ssh-keygen - generator paru autentizacnich klicu
POUZITI
ssh-keygen [-b bitu] [-f soubor] [-N nove-pristup-heslo] [-C komentar]
ssh-keygen -p [-P stare-pristup-heslo] [-N nove-pristup-heslo]
ssh-keygen -c [-P pristupove-heslo] [-C komentar]
ssh-keygen -u [-f soubor] [-P pristupove-heslo]
POPIS
Program ssh-keygen generuje a spravuje autentizacni klice pro ssh(1).
Normalne kazdy uzivatel, ktery si preje pouzivat ssh s RSA autentizaci,
spusti jednou prikaz ssh-keygen pro vytvoreni autentizacniho klice a
jeho ulozeni do $HOME/.ssh/identity. Spravce systemu muze pouzivat
ssh-keygen pro generovani klicu pocitace.
Program normalne vygeneruje klic a zepta se na jmeno souboru, do
ktereho ma ulozit soukromy klic. Verejny klic ulozi do souboru se
stejnym jmenem, ale s pripojenym ".pub". Program se take zepta na
pristupove heslo (passphrase). Pristupove heslo muze byt prazdne (klic
pocitace musi mit prazdne pristupove heslo), nebo to muze byt retezec
libovolne delky. Dobra pristupova hesla maji delku 10-30 znaku a nejsou
tvorena vetou nebo cimkoli, co jde snadno uhodnout (anglicky text ma
entropii pouze 1-2 bity na slovo, takze poskytuje velmi spatna pristu-
pova hesla). Pristupove heslo muze byt zmeneno pozdeji pouzitim volby
-p.
Neexistuje zadny zpusob, jak zjistit zapomenute pristupove heslo.
Pokud zapomenete nebo ztratite pristupove heslo, budete muset vygenero-
vat novy klic a zkopirovat prislusny verejny klic na ostatni stroje.
JE DURAZNE DOPORUCENO POUZITI DOBREHO, NEUHODNUTELNEHO PRISTUPOVEHO
HESLA. NEPOUZIVEJTE PRAZDNE PRISTUPOVE HESLO POKUD NEVITE, CO DELATE.
V souboru s klici je take polozka komentar. Tato polozka slouzi uziva-
teli pro snadnejsi identifikaci klice. Komentar muze informovat, k cemu
klic je nebo jak je uzitecny. Pri vytvareni klice je komentar iniciali-
zovan na uzivatel@pocitac, ale muze byt kdykoli zmenen pouzitim volby
-c.
Sifra pouzita na zasifrovani klice pristupovym heslem je definovana v
ssh.h. Pouzitim volby -u mohou byt klice zasifrovane jakoukoli podporo-
vanou sifrou zmeneny na tuto implicitni sifru.
VOLBY
-b bitu
Urcuje delku vytvareneho klice v bitech. Minimum je 512 bitu.
Obecne se za dostacujici poklada 1024 bitu; klice s vetsi delkou
neprinaseji zadne dalsi zlepseni bezpecnosti, ale pouze zpoma-
luji. Implicitni delka je 1024 bitu.
-c Zmeni komentar v souborech se soukromymi a verejnymi klici. Pro-
gram ze zepta na jmeno souboru, ktery obsahuje soukromy klic, na
pristupove heslo (jestlize jej klic ma), a na novy komentar.
-f Urcuje jmeno souboru, do nehoz bude ulozen nebo z nehoz bude cten
klic.
-p Zmeni pristupove heslo k souboru se soukromym klicem misto
vytvoreni noveho soukromeho klice. Program se zepta na jmeno sou-
boru, ktery obsahuje soukromy klic, na stare pristupove heslo, a
dvakrat na nove pristupove heslo.
-u Zmeni sifru klice na implicitni (urcena pri prekladu programu v
soucasnosti 3DES).
-C Definuje novy komentar.
-N Definuje nove pristupove heslo.
-P Definuje (stare) pristupove heslo.
SOUBORY
$HOME/.ssh/random_seed
Soubor je pouzit pro inicializaci generatoru nahodnych cisel.
Tento soubor nesmi byt citelny kymkoli krome uzivatele. Tento
soubor je vytvoreny pri prvnim spusteni programu a pokazde je
updatovan.
$HOME/.ssh/identity
Obsahuje RSA autentizacni identity uzivatele. Soubor nesmi byt
citelny pro nikoho krome vlastnika. Pri generovani klice je mozne
zadat pristupove heslo, ktere bude pouzito pro zasifrovani sou-
krome casti souboru sifrou 3DES. Tento soubor neni automaticky
pouzivan prikazem ssh-keygen, ale je poskytovan jako implicitni
soubor pro soukromy klic.
$HOME/.ssh/identity.pub
Obsahuje verejny klic pro autentizaci. Obsah tohoto souboru musi
byt pridan do $HOME/.ssh/authorized_keys na vsech strojich, kam
se budete chtit prihlasovat s pouzitim RSA autentizace. Obsah
tohoto souboru neni nutne udrzovat v tajnosti.
AUTOR
Tatu Ylonen <ylo@ssh.fi>
VIZ TEZ
ssh(1), sshd(8), ssh-agent(1), ssh-add(1)
SSH 8. listopadu 1995 SSH-KEYGEN(1)
