ssh与gpg区别

我们许多人都熟悉Secure Shell（SSH），它使我们可以使用密钥而不是密码连接到其他系统。 本指南将说明如何消除SSH密钥并改用GNU Privacy Guard（GPG）子密钥。

使用GPG不会使SSH连接更安全。 SSH是安全协议，SSH密钥是安全的。 相反，它使某些形式的密钥分发和备份管理更加容易。 它还不会更改使用SSH的工作流程。 所有命令将继续按您期望的方式工作，除了您将不再具有SSH私钥，而改为解锁GPG密钥。

通过GPG密钥对SSH进行身份验证，您将减少需要保护和备份的密钥文件的数量。 这意味着您的密钥管理卫生仍然必须良好，这意味着选择好的密码短语并使用适当的密钥保存策略。 请记住，您不应该将私钥备份到云中！

此外，今天SSH密钥是手工分发的，通常是直接分发的。 如果要授予我访问计算机的权限，则必须要求我提供SSH密钥。 您可能会很幸运，并在我的网站上找到了一个。 但是，您仍然必须决定是否信任我的网站。 如果我将GPG密钥用于SSH，则可以使用来自公共密钥服务器的GPG信任网为我选择一个已知的好密钥。 这就是Monkeysphere项目正在开展的工作。 否则，您在这里所做的任何事情都不会影响用于GPG加密和签名的信任网络。

GPG密钥实际上是密钥的集合。 有一个主密钥，通常仅用于签名和认证。 GPG建议的用法是创建一个用于加密的子项。 该子密钥是一个单独的密钥，出于所有目的和目的，该子密钥由您的主密钥签名并同时传输。 通过这种做法，您可以在保持主密钥有效的同时自行撤消加密子密钥（例如，加密子密钥遭到破坏）。

要意识到的重要一点是，一个GPG密钥包含多个密钥。 为了备份和存储，您可以将它们当作一个键来操作，但是当需要使用一个键时，可以单独使用它们。

本练习将使用为身份验证创建的子项来完成SSH连接。 该身份验证子项将完全用ssh key-gen替换您过去生成的密钥对。 如果需要多个SSH密钥，则可以根据需要创建任意多个。

您应该已经有一个GPG密钥。 如果不这样做，请阅读与此主题相关的许多优质教程之一。 您将通过编辑现有密钥来创建子密钥。 您需要在专家模式下编辑密钥，才能访问相应的选项。

工作流添加了一个新密钥，您可以在其中选择其功能-具体来说，您希望将其功能切换为仅具有身份验证。 SSH通常使用不会过期的2048位RSA密钥（在以下选项中键入8）。

以下是工作流程的编辑版本。 该命令和所有其他命令已在Fedora 29上进行了测试。

使用SSH时，将使用一个名为ssh-agent的程序来管理密钥。 要使用GPG密钥，您将使用类似的程序gpg-agent ，该程序管理GPG密钥。 要使gpg-agent处理来自SSH的请求，您需要通过在〜/ .gnupg / gpg-agent.conf中添加enable-ssh-support行来启用支持。

（可选）您可能希望预先指定要用于SSH的密钥，这样就不必使用ssh-add来加载密钥。 为此，请在〜/ .gnupg / sshcontrol文件中指定键。 该文件中的条目是键手柄-gpg -agent用于引用键的内部标识符。 与密钥散列不同，密钥抓取既指公共密钥，也指私有密钥。 要找到按键，请使用gpg2 -K --with-keygrip ，如下所示。 然后将该行添加到sshcontrol文件中。

最后，您需要告诉SSH如何访问gpg-agent 。 这可以通过更改SSH_AUTH_SOCK环境变量的值来完成。 将以下两行添加到〜/ .bashrc时 ，将确保正确设置变量，并确保代理已启动并可以使用。

要继续，请在当前会话中执行这些命令。

为了使用SSH，您需要与远程主机共享公用密钥。 您有两个选择。 首先，您可以运行ssh-add -L列出您的公钥并将其手动复制到远程主机。 您也可以使用ssh-copy-id 。 从这个角度来看，什么都没有改变。

现在，您已使用GPG密钥启用SSH访问以进行身份​​验证！ SSH将继续按预期运行，并且您要连接的计算机无需任何配置更改。 您减少了需要管理和安全备份的密钥文件的数量，同时使您有机会参与不同形式的密钥分发。 保持安全并保持良好的关键卫生习惯！

在下一篇文章中，我将分享一些有关如何导入现有SSH密钥的技巧，以便您可以通过GPG身份验证继续使用它们。

翻译自: https://opensource.com/article/19/4/gpg-subkeys-ssh

ssh与gpg区别