È uguale a una chiave pubblica in RSA, tranne che lo rende più adatto agli host autofirmati? Cosa succede dietro le quinte quando il nostro client ssh ce lo presenta?
L '"impronta digitale" è un hash della chiave pubblica del server. Non è la chiave pubblica stessa; tuttavia, le funzioni di hash sono così che non è possibile calcolare effettivamente due chiavi pubbliche con la stessa impronta digitale. Quindi, se vuoi sapere se stai parlando con il server giusto (e non con qualche imitatore), allora hai "solo" bisogno di calcolare l'impronta digitale della chiave del server (dalla chiave pubblica che il server ti ha appena inviato) e confrontarla con una "impronta digitale di riferimento".
Le impronte digitali sono utilizzate perché sono abbastanza piccole per essere gestite dagli umani: il controllo di un'impronta digitale comporta la verifica di 40 caratteri esadecimali; non è qualcosa che vuoi fare dieci volte al giorno, ma è fattibile. Quando il client SSH presenta l'impronta digitale, ha ricevuto la chiave pubblica dal server e ha notato che si tratta di un nuovo server, mai rilevato da quel client, e pertanto la chiave pubblica del server non può essere confrontata con il valore conosciuto e previsto . Il cliente calcola quindi l'impronta digitale e la visualizza all'utente, in modo che l'utente finisca l'attività di convalida.
Hai ancora bisogno di una "impronta digitale di riferimento" con cui confrontare ciò che viene calcolato e stampato dal cliente. Ad esempio, è possibile telefonare al sysadmin del server previsto e chiedergli di specificare l'impronta digitale al telefono. In questo modo, puoi ancora connetterti alle tue macchine di laboratorio principali mentre sei in viaggio in una conferenza a due continenti di distanza e usare il portatile di un altro ricercatore amichevole (perché il tuo laptop si è rotto quando l'hai lasciato mentre scendevi dall'aereo) .
Leggi altre domande sui tag ssh