SSH-Schlüsselpaar erzeugen

Update: 11. April 2023 - Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) schreibt mit dem Ablauf des Jahres 2023 bei dem RSA Verfahren eine Schlüssellänge von mindestens 3000 Bit verbindlich vor. Am Institut für Kernphysik werden deshalb ab sofort keine RSA Schlüssel mit 2048 Bit bei Neuanträgen mehr akzeptiert. Altnutzer wurden aufgefordert, neue, BSI konforme Schlüssel zu erzeugen.

Update: 15. Mai 2020 - Auf Grund eines schwerwiegenden Sicherheitsvorfall auf den HPC-Systemen der Universität verlieren alle bislang verwendeten SSH-Schlüssel ab sofort ihre Gültigkeit.

Wenn Sie Zugang zum Computernetz des Instituts für Kernphysik benötigen, generieren Sie bitte ein *neues* SSH-Schlüsselpaar. Verwenden Sie eine besonders gute Passphrase, Ihre Email-Adresse (Uni-Mainz oder Heimatinstitut) als Kommentar.

Auf gar keinen Fall darf die Passphrase weggelassen werden. Wie Sie sehen, reicht eine einzige nachlässige Person aus, um der ganzen Universität Unannehmlichkeiten zu bereiten. Seien Sie nicht diese Person!

Wenn möglich, erzeugen Sie einen ed25519 Schlüssel:

  ssh-keygen -t ed25519 -C <UNI E-Mail Adresse>

Es werden zwei Dateien erzeugt:

  • Ihren öffentlichen Schlüssel ~/.ssh/id_ed25519.pub schicken Sie an kph-edv@uni-mainz.de , mit der Bitte, Sie auf dem ssh-Gateway einzutragen.
  • Ihr privater Schlüssel ~/.ssh/id_ed25519 wird mit Ihrer Passphrase aktiviert. Passphrase und privater Schlüssel sind geheim zu halten und auf gar keinen Fall weiterzugeben - auch nicht an uns.

Als Alternative können Sie auch rsa Schlüssel erzeugen. Das bietet sich allerdings nur an, wenn Sie Zugang zu älteren Systemen brauchen. Die Schlüssellänge sollte mindestens 3072 Bit, aber höchstens 4096 Bit betragen. Es ist nicht sinnvoll die rsa-Schlüssellänge weiter zu erhöhen. Die Gewinn an Sicherheit ist minimal, das Handling ist sehr schwer und der Algorithmus wird noch langsamer. Wenn Sie Sicherheitsbedenken haben, benutzen Sie die ed25519-Schlüssel.

Wenn Sie selbst Zugang zu einem Rechner haben, für den Sie Fernzugriff einrichten wollen, dann können Sie auch selbst Ihren öffentlichen Schlüssel in die Datei ~/.ssh/authorized_keys eintragen.

Alternative für ältere Windowsversionen:

Bitte folgen Sie unserer Anleitung SSH Schlüssel mit PuTTY generieren.

Veröffentlicht am | Veröffentlicht in Allgemein | Verschlagwortet ,