Der SSHFP Resource Record (SSHFP für englisch Secure Shell (Key) Fingerprint) ist ein DNS-Resource Record für SSH-Keys. Der Eintrag ermöglicht es einem SSH-Client den öffentlichen SSH-Schlüssel des Servers zusätzlich gegen einen Fingerabdruck zu prüfen. Damit die Sicherheit des SSHFP-Records gewährleistet ist, muss die Übertragung des Eintrags über eine gesicherte DNS-Verbindung, wie zum Beispiel DNSSEC, erfolgen.
Aufbau
[ ] [] SSHFP
- Der Domänenname des Objekts, zu dem der Resource Record gehört (optional)
- Time to live (in Sekunden). Gültigkeit des Resource Records (optional)
- Protokollgruppe zu der der Resource Record gehört (optional)
- Algorithmus des öffentlichen Schlüssels (0=reserviert, 1=RSA, 2=DSA, 3=ECDSA, 4=Ed25519, 6=Ed448)
- Typ des Fingerabdrucks (0=reserviert, 1=SHA-1, 2=SHA-256)
- Hexadezimaldarstellung des Schlüssel-Fingerabdrucks
Beispiel
host.example.com. SSHFP 2 1 123456789abcdef67890123456789abcdef67890
Ein Client kann in diesem Beispiel ermitteln, dass der Host mit dem DNS-Name host.example.com einen DSA-Schlüssel mit dem SHA-1-Fingerabdruck"„123456789abcdef67890123456789abcdef67890“ verwendet.
Weblinks
- RFC: 4255 – Using DNS to Securely Publish Secure Shell (SSH) Key Fingerprints. (englisch).
- RFC: 6594 – Use of the SHA-256 Algorithm with RSA, Digital Signature Algorithm (DSA), and Elliptic Curve DSA (ECDSA) in SSHFP Resource Records. (englisch).
- RFC: 7479 – Using Ed25519 in SSHFP Resource Records. (englisch).
- RFC: 8709 – Ed25519 and Ed448 Public Key Algorithms for the Secure Shell (SSH) Protocol. (englisch).
- DNS SSHFP Resource Record Parameters. iana.org
