如何在每次连接时生成客户端 ssh 密钥？

Question

目前，我认为在客户端使用的公钥会被重复使用多次（也许只要我认为配置不改变）。我假设我们使用密码方法。

这让我很担心。我希望我的 ssh 客户端在每个连接上自动生成 RSA 密钥（但客户端密钥必须保持不变以确保真实性，

这可能吗？

谢谢。

编辑：请参阅评论 #3。

Answer 1

SSH 中的公钥用于识别客户端。
私钥用于证明用户不是冒名顶替者。

服务器只知道公钥。如果您为每个连接更改它，就像为每个连接更改您的用户名一样。所以服务器知道用户“john”，但你说“我是 Joe”。你能否证明你是 Joe 并不重要，服务器不认识你，所以不会让你进入。

它不像 SSL，你使用签名证书来证明你是谁，所以你可以随时更改密钥。这里的公钥是您身份的一部分，因此您必须为每个连接使用相同的公钥。

Answer 2

您缺少的是公钥和私钥以加密方式相互绑定。当私钥生成时，相应的公钥也随之生成。用一个密钥加密某些东西，只能用另一个密钥解密。由于这种加密关系，拥有公钥的任何人都可以验证消息只能来自拥有私钥的人。

当 SSH 会话启动时，每一方都使用此属性来验证对方的身份。在握手过程中，秘密（从技术上讲，它被称为“随机数”，基本上是一个随机数）使用接收者的公钥进行加密，然后使用发送者的私钥进行签名。收到此消息后，接收者 a) 可以使用发送者的公钥验证签名； b) 是唯一可能解密该消息的人。这验证了交换。如果握手发生在两个方向，双方就可以互相验证。这称为相互认证。

因此，重要的不是密钥的值，而是绑定公钥和私钥的加密原理。此过程提供了创建随机会话密钥并使用公钥/私钥对安全地交换它的能力，并且是 SSH（或 SSL 或 TLS）如何启动会话的核心。

这意味着您的问题的答案是，如果 SSH 设置为相互身份验证（即您不需要输入密码），则您的客户端的公钥必须位于服务器的密钥库中。由于您无法在不更改私钥的情况下更改公钥，因此每次进行密钥更改时都需要在服务器上重新加载公钥。

Answer 3

如果您使用密码身份验证，则不会使用客户端 RSA 密钥。如果您使用公钥身份验证，则客户端密钥显然不能每次都更改，因为服务器需要知道它才能对您进行身份验证。

您似乎对 SSH 协议有很深的误解。我只能建议阅读 RFC 4252 来澄清问题。