मुझे कैसे पता चलेगा कि GitHub सर्वर rsa2 कुंजी फ़िंगरप्रिंट ssh-rsa 2048 16:27:ac:a5:76:28:2d:36:63:1b:56:4d:eb:df:a6:48 उनके वेबसाइट SHA256:nThbg6kXUpJWGl7E1IGOCspRomTxdCARLviKw6E5SY8 (RSA) के रूप में क्योंकि वे एक जैसे नहीं दिखते?

मैं कोड करने के लिए एसएसएच का उपयोग करने के लिए अपना गिटहब खाता स्थापित कर रहा हूं। सवाल पहली पहुंच के प्रयास के दौरान आता है और पुटी कुंजी को कैश करना चाहता है। वेब पर पर्याप्त स्रोतों से मुझे विश्वास है कि यह वास्तव में गिटहब है, लेकिन मैं इसे व्यक्तिगत रूप से कैसे सत्यापित करूं? स्पूफिंग जोखिम आदि के बारे में पता है, लेकिन यह सवाल नहीं है।

पहली बार git clone [repository ssh url] प्रयास करने के बाद मुझे पुटी से ssh-rsa 2048 फिंगरप्रिंट मिला।

1
Nelumbo 23 नवम्बर 2020, 17:26

1 उत्तर

सबसे बढ़िया उत्तर

आप इसे इसलिए देख रहे हैं क्योंकि आप एक पुराने, अप्रचलित SSH क्लाइंट का उपयोग कर रहे हैं।

कुंजी का फ़िंगरप्रिंट केवल कुंजी निकाय का हैश है। OpenSSH के पुराने संस्करणों ने इसके लिए MD5 का उपयोग किया, और आप जिस फॉर्म का उपयोग कॉलन के साथ कर रहे हैं वह MD5 प्रारूप है। हालाँकि, MD5 टक्करों के प्रति इतना संवेदनशील है कि CMU ने कहा है कि यह "आगे उपयोग के लिए अनुपयुक्त है।" जिम्मेदार पार्टियों ने इसे पूरी तरह से छोड़ दिया है, क्योंकि इसे 2004 से असुरक्षित माना जाता है। भले ही एसएसएच जिस उद्देश्य के लिए इसका इस्तेमाल कर रहा है, वह असुरक्षित नहीं है, फिर भी किसी भी उद्देश्य के लिए एमडी 5 का उपयोग करने का कोई अच्छा कारण नहीं है।

OpenSSH ने कुछ समय पहले उसके लिए SHA-256 पर स्विच किया, और साथ ही, उन्होंने बेस 64 में हैश को एन्कोडिंग करने के लिए स्विच किया। उसी समय, उन्होंने हैश एल्गोरिथम को नाम से जोड़ दिया, इसलिए यह स्पष्ट है। SHA-256 को व्यापक रूप से सुरक्षित माना जाता है, और GitHub अब MD5 फ़िंगरप्रिंट प्रदर्शित नहीं करता है क्योंकि अधिकांश क्लाइंट SHA-256 को संभालते हैं।

पुट्टी, दुर्भाग्य से, 2000 के दशक की शुरुआत में वापस आ गई है और MD5 से दूर नहीं गई है। GitHub अभी भी https://api.github.com/meta पर अपनी कुंजियों का MD5 हैश प्रकाशित करता है। आप इसे देख सकते हैं, लेकिन अधिकांश लोग अब MD5 फ़िंगरप्रिंट प्रकाशित नहीं करते हैं।

यदि आप विंडोज़ पर हैं, तो आप ओपनएसएसएच के संस्करण का उपयोग कर सकते हैं जो विंडोज़ के लिए गिट के साथ आता है; अन्यथा, अधिकांश यूनिक्स सिस्टम पर ओपनएसएसएच पहले से ही उपलब्ध होना चाहिए। हाल ही में पर्याप्त संस्करण आपको सामान्य रूप से SHA-256 उंगलियों के निशान दिखाएगा।

2
bk2204 24 नवम्बर 2020, 00:19