| 総合手引 | セクション 1 | English | オプション |
ssh-keygen は Diffle-Hellman の群交換 (DH-GEX) に使う群の生成にも使用されます。 詳細は 係数 (moduli) 生成 のセクションを参照してください。
ふつう、RSA 認証 または DSA 認証で SSH を使いたいユーザは、 一度このプログラムを実行すれば $HOME/.ssh/identity 、 $HOME/.ssh/id_dsa または $HOME/.ssh/id_rsa に鍵 (identity ファイル) を作ることができます。また /etc/rc などで見られるように、 システム管理者がホスト鍵を生成するためにこのプログラムを 使うこともできます。
通常、このプログラムは鍵を生成したあと、その鍵 (identity) をどのファイルに
格納すればよいのか尋ねます。公開鍵は、秘密鍵を含む identity
ファイルの名前に
".pub"
をつけた名前のファイルとして格納されます。またこのプログラムは
パスフレーズも尋ねてきます。
任意の長さの文字列をパスフレーズとして使用することができます。
パスフレーズをつけないときには、これは空でもかまいません
(ホスト鍵のパスフレーズは必ず空でなければいけません)。
パスフレーズはパスワードに似ていますが、パスワードとは違って
単語の列や句読点、数値、空白など、好きな文字を含めることができます。
よいパスフレーズとは、 10〜30 文字程度の長さで、簡単な文章や容易に
推測できるものではないことです (英語の散文では 1 文字あたりのエントロピは
わずか 1〜2 ビットしかなく、パスフレーズとしては非常に望ましくありません)。
また大文字と小文字が混じっているものがよいでしょう。
パスフレーズは
失われてしまったパスフレーズをもとに戻すことはできません。もし パスフレーズを忘れてしまったり、なくしてしまったときには、 新しい鍵を生成してその公開鍵を別のマシンにコピーしなくてはならないでしょう。
RSA1 鍵 (訳注: SSH1 で使う鍵) の場合、
鍵のファイルにはコメントフィールドがあります。これはユーザが
鍵を区別するためだけに便宜的に用意されているものです
(訳注: SSH2 の鍵にはコメントはありません)。コメントには
鍵の用途やその他有用な情報を書いておくことができます。
最初に鍵が作られるとき、コメントは
"user@host"
の形に初期化されますが、
鍵を生成したあと、それを使用可能にするために どこに置けばよいかは後で説明しています。
オプションには次のようなものがあります:
| | |
|
| |
| | |
| 生成する鍵のビット数を指定します。最小値は 512 ビットです。 ふつうは 1024 ビットの鍵で充分だと考えられており、 デフォルトも 1024 ビットになっています。 | |
| | |
| 秘密鍵ファイルおよび公開鍵ファイルのコメントを変更します。 このオプションは プロトコル バージョン 1 における RSA 鍵に対してのみ有効です。 まず秘密鍵の入っているファイル名を訊かれ、 パスフレーズがあればそれを入力したあとに新しいコメントを入力します。 | |
| | |
| このオプションは OpenSSH 形式の秘密鍵あるいは公開鍵ファイルを 読み、 'SECSH Public Key File Format (SECSH 公開鍵ファイル形式)' の鍵を標準出力に表示します。 このオプションを使うと、OpenSSH の鍵を いくつかの商用 SSH 実装で使われている形式の鍵に変換できます。 | |
| | |
| 通常の DNS リソースレコードのフォーマットを使用します。 | |
| | |
| 鍵を入れるファイルのファイル名を指定します。 | |
| | |
| このオプションは SSH2-互換の形式である、暗号化されていない 秘密鍵 (あるいは公開鍵) ファイルを読み、それを OpenSSH 互換の秘密鍵 (あるいは公開鍵) に変換して 標準出力に表示します。 ssh-keygen は 'SECSH Public Key File Format (SECSH 公開鍵ファイル形式)' の鍵も読み込めます。 このオプションを使うと、いくつかの商用 SSH 実装で使われている 鍵を OpenSSH で使用できます。 | |
| | |
| 指定された秘密鍵ファイルあるいは公開鍵ファイルの 指紋 (fingerprint) を表示します。プロトコル バージョン 1 における RSA 鍵 (RSA1) もサポートされています。 プロトコル バージョン 2 の RSA および DSA 鍵の場合、 ssh-keygen はそれに該当する公開鍵ファイルを探し出してその指紋を表示します。 | |
| | |
| 新しく秘密鍵をつくるのではなく、すでにある秘密鍵ファイルのパス フレーズを変更します。まず秘密鍵の入っているファイルを訊かれ、 古いパスフレーズを入力したあと、新しいパスワードを 2 回入力します。 | |
| | |
| 静かな ssh-keygen 。 /etc/rc で新しい鍵をつくるときに使われます。 | |
| | |
| このオプションは OpenSSH 形式の秘密鍵ファイルを読み、 OpenSSH 形式の公開鍵を標準出力に表示します。 | |
| | |
| 生成する鍵の種類を指定します。 とりうる値として、プロトコル バージョン 1 で使う "rsa1" 、およびプロトコル バージョン 2 で使う "rsa" または "dsa" があります。 | |
| | |
| 指定された秘密鍵あるいは公開鍵の bubblebabble ダイジェストを 表示します。 | |
| | |
| 新しいコメントを指定します。 | |
| | |
| スマートカード リーダ に格納されている RSA 公開鍵をダウンロードします。 | |
| | |
|
DH-GEX 用の素数候補を生成します。
これらの素数は使用する前に安全のために (
| |
| | |
| DH-GEX 用の係数 (moduli) となる素数候補を生成する際に使用する メモリのサイズを (メガバイト単位で) 指定します。 | |
| | |
| 新しいパスフレーズを指定します。 | |
| | |
| (古い) パスフレーズを指定します。 | |
| | |
| DH-GEX 用の係数 (moduli) となる素数候補を生成する時の開始位置を (16 進数) で指定します。 | |
| | |
|
(
| |
| | |
| DH-GEX 群用の係数 (moduli) となる素数候補を検査するときに 使いたいジェネレータを指定します。 | |
| | |
| すでに存在している RSA 公開鍵をスマートカード リーダ にアップロードします。 | |
| | |
|
冗長モード。
ssh-keygen
に進行状況のデバッグメッセージを表示させます。
これは係数 (moduli) 生成のデバッグにたいへん役に立ちます。
複数の (最大 3)
| |
| | |
| hostname で指定された DNS リソースレコードを表示します。 | |
素数は
ssh-keygen -G moduli-2048.candidates -b 2048
デフォルトでは、素数の探索は、指定された長さの範囲内の
ランダムな位置から開始されます。
開始位置は
候補となる集合が生成できたら、適合性の検査を行う必要があります。
これは
ssh-keygen -T moduli-2048 -f moduli-2048.candidates
デフォルトでは、各候補は 100 回の素数判定検査にかけられます。
この回数は
スクリーニングされた DH 群は、 /etc/moduli にインストールできます。 このファイルがある範囲のビット長の係数 (moduli) を格納しており、 通信の両端で共通の係数を共有していることが重要です。
| $HOME/.ssh/identity | |
| そのユーザの、プロトコル バージョン 1 における RSA 認証用秘密鍵を格納します。このファイルはその ユーザ以外の誰にも見せてはいけません。この鍵を生成するときに パスフレーズを指定することもできます。パスフレーズは、3DES を使って ファイル中の秘密鍵の部分を暗号化するのに用いられます。このファイルは ssh-keygen によって自動的にアクセスされるわけではありませんが、 秘密鍵ファイルのデフォルトの名前としてこれが提案されます。 ssh(1) はログイン要求があった際にこのファイルを読み込みます。 | |
| $HOME/.ssh/identity.pub | |
| プロトコル バージョン 1 における RSA 認証用の公開鍵を格納します。 そのユーザが RSA 認証でログインしたいすべてのマシンの $HOME/.ssh/authorized_keys にこのファイルの内容を追加しておいてください。 このファイルの内容を秘密にしておく必要はありません。 | |
| $HOME/.ssh/id_dsa | |
| そのユーザの、プロトコル バージョン 2 における DSA 認証用秘密鍵を格納します。このファイルはその ユーザ以外の誰にも見せてはいけません。この鍵を生成するときに パスフレーズを指定することもできます。パスフレーズは、3DES を使って ファイル中の秘密鍵の部分を暗号化するのに用いられます。このファイルは ssh-keygen によって自動的にアクセスされるわけではありませんが、 秘密鍵ファイルのデフォルトの名前としてこれが提案されます。 ssh(1) はログイン要求があった際にこのファイルを読み込みます。 | |
| $HOME/.ssh/id_dsa.pub | |
| プロトコル バージョン 2 における DSA 認証用の公開鍵を格納します。 そのユーザが DSA 認証でログインしたいすべてのマシンの $HOME/.ssh/authorized_keys にこのファイルの内容を追加しておいてください。 このファイルの内容を秘密にしておく必要はありません。 | |
| $HOME/.ssh/id_rsa | |
| そのユーザの、プロトコル バージョン 2 における RSA 認証用秘密鍵を格納します。このファイルはその ユーザ以外の誰にも見せてはいけません。この鍵を生成するときに パスフレーズを指定することもできます。パスフレーズは、3DES を使って ファイル中の秘密鍵の部分を暗号化するのに用いられます。このファイルは ssh-keygen によって自動的にアクセスされるわけではありませんが、 秘密鍵ファイルのデフォルトの名前としてこれが提案されます。 ssh(1) はログイン要求があった際にこのファイルを読み込みます。 | |
| $HOME/.ssh/id_rsa.pub | |
| プロトコル バージョン 2 における RSA 認証用の公開鍵を格納します。 そのユーザが RSA 認証でログインしたいすべてのマシンの $HOME/.ssh/authorized_keys にこのファイルの内容を追加しておいてください。 このファイルの内容を秘密にしておく必要はありません。 DH-GEX に使用される Diffie-Hellman 群が記録されています。 このファイルのフォーマットは moduli(5) [英語] に記述されています。 | |
, , draft-ietf-secsh-publickeyfile-01.txt, work in progress material, SECSH Public Key File Format, March 2001.
当マニュアルページは氏のご好意により FreeBSD 向けに修正を加えて FreeBSD 日本語マニュアルに収録させていただいています。 翻訳についてのご意見、ご指摘がありましたら FreeBSD jpman プロジェクト <man-jp@jp.FreeBSD.org> または新山氏 (yusuke at cs . nyu . edu) までお送りください。
| SSH-KEYGEN (1) | September 25, 1999 |
| 総合手引 | セクション 1 | English | オプション |
このマニュアルページサービスについてのご意見は Ben Bullock にお知らせください。 Privacy policy.
| “ | Ken Thompson has an automobile which he helped design. Unlike most automobiles, it has neither speedometer, nor gas gauge, nor any of the other numerous idiot lights which plague the modern driver. Rather, if the driver makes a mistake, a giant “?” lights up in the center of the dashboard. “The experienced driver,” says Thompson, “will usually know what's wrong.” | ” |