是否有签名的SSH密钥对之类的东西？

我们正在将文件传输到应用程序中的远程服务器，并且所需的身份验证方法是使用SSH密钥。

因此，我使用ssh-keygen创建了密钥对，并提交了公共密钥以将其插入到远程主机的authorized_keys文件中。但是，这被IT安全部门拒绝，后者说他们将为我生成密钥对并将私钥发送给我。原因：“我们需要SSH密钥由IT安全团队签名。这是为了确保我们在跟踪和问责制方面具有领先优势。”

显然，我对此有疑问。由别人生成私钥意味着我可以让那个人在我不知情的情况下伪装成我。我正在尝试找到反驳此论点的方法。

据我所知，似乎没有任何已知的方法来对密钥进行签名，从而有助于跟踪登录者。我提交了公共密钥的事实意味着我拥有该密钥，并且使用该密钥登录到远程服务器的任何人默认都被标识为我本人。签名有什么帮助？以及他们将如何签名？

如果我错了，请有人帮助我，谢谢！

好的，既然我们已经确定无法对SSH密钥进行签名，那么我需要向IT Security展示如何真正跟踪谁在登录（如果不是那么高手的话，那应该是建设性的） ）。在我自己的服务器上，我将sshd的LogLevel设置为DEBUG。因此，现在登录时，可以看到以下代码段：

Found matching DSA key: xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx

这似乎是一个哈希值。我如何将其与使用authorized_keys文件中的哪个公钥相关联？我知道还有另一行说：

debug1: matching key found: file /home/bofh/.ssh/authorized_keys2, line 1

但这没有用，因为如果我要在文件顶部插入一个键，然后向下推原始键，则可以轻松更改行号。

谢谢！

自从您问了问题以来，宇宙已经发生了变化。

Openssh5.4添加了对您所要求的证书的完全支持。有关更多信息，请参见http://www.openssh.org/txt/release-5.4（和手册页）上的发行说明，或者如果您确实想发疯，请查看PROTOCOL.certkeys以获取更多详细信息。

在阅读您的问题时，我的第一印象是IT人员混用了SSH和SSL（必须由我们签名），并且也不了解SSL签名的真正工作原理。

无论如何，无法对SSH密钥进行签名（据我所知）。

此请求中有错误的地方。

如果它将已签名的文件传递到服务器，
我希望可以做到这一点。

1. 您为自己创建一个密钥对（称为“我的密钥”）
   • 当您想发送东西时，
   • 您首先使用 my-key-private
   • 然后将此加密文件上传到服务器
   • 服务器上的某人必须逆转这样的过程，
   • 他们用你my-key-pub来解密文件
   • 如果您已发送文件，解密将恢复它
   • 否则，他们将不会获得任何可用文件
   • 实际上，您已经使用私钥对文件进行了签名
   • 他们已经用您的公钥验证了签名
   • 问责制由他们确认您已发送文件来实现

还有其他方法可以执行此类操作，
但是，获取由他人生成的密钥对作为身份验证方案是没有用的。
它对您的信任与对自己的信任一样重要。

这些是您可以向IT部门提出的开放性问题。
如果问责制是 IT部门关心的问题，

1. 他们如何确保您不共享/丢失他们给您的密钥对？和，
   • “ IT密钥对”的概念与IT给您的密码有什么不同。
     在这种情况下，为什么还要打扰密钥对呢？

没有理由不能使用X.509证书而不是裸键进行SSH身份验证-实际上，如果OpenSSH如此工作，我会更喜欢它！但是，OpenSSH的普通版没有，这是当今的主要实现方式。

我已经看到了一些修补版本的OpenSSH随处可见，并且商业SSH.com实现也似乎支持X.509身份验证。因此，如果您的组织正在使用其中之一，则要求密钥由中央机构签名将很有意义。

就是说，没有任何借口要求私钥必须由第三方生成！如果他们要使用X.509路由，那么他们应该让您生成一个密钥对和一个证书签名请求，就像处理用于SSL的任何其他X.509证书一样。