SSH-KEYGEN(1)

General Commands Manual

SSH-KEYGEN(1)

الاسم¶

ssh-keygen — أداة مفاتيح الاستيثاق لـ OpenSSH

موجز¶

ssh-keygen [-q] [-a rounds] [-b bits] [-C comment] [-f output_keyfile] [-m format] [-N new_passphrase] [-O option] [-t ecdsa | ecdsa-sk | ed25519 | ed25519-sk | rsa] [-w provider] [-Z cipher] ssh-keygen -p [-a rounds] [-f keyfile] [-m format] [-N new_passphrase] [-P old_passphrase] [-Z cipher] ssh-keygen -i [-f input_keyfile] [-m key_format] ssh-keygen -e [-f input_keyfile] [-m key_format] ssh-keygen -y [-f input_keyfile] ssh-keygen -c [-a rounds] [-C comment] [-f keyfile] [-P passphrase] ssh-keygen -l [-v] [-E fingerprint_hash] [-f input_keyfile] ssh-keygen -B [-f input_keyfile] ssh-keygen -D pkcs11 ssh-keygen -F hostname [-lv] [-f known_hosts_file] ssh-keygen -H [-f known_hosts_file] ssh-keygen -K [-a rounds] [-w provider] ssh-keygen -R hostname [-f known_hosts_file] ssh-keygen -r hostname [-g] [-f input_keyfile] ssh-keygen -M generate [-O option] output_file ssh-keygen -M screen [-f input_file] [-O option] output_file ssh-keygen -I certificate_identity -s ca_key [-hU] [-D pkcs11_provider] [-n principals] [-O option] [-V validity_interval] [-z serial_number] file ... ssh-keygen -L [-f input_keyfile] ssh-keygen -A [-a rounds] [-f prefix_path] ssh-keygen -k -f krl_file [-u] [-s ca_public] [-z version_number] file ... ssh-keygen -Q [-l] -f krl_file file ... ssh-keygen -Y find-principals [-O option] -s signature_file -f allowed_signers_file ssh-keygen -Y match-principals -I signer_identity -f allowed_signers_file ssh-keygen -Y check-novalidate [-O option] -n namespace -s signature_file ssh-keygen -Y sign [-O option] -f key_file -n namespace file ... ssh-keygen -Y verify [-O option] -f allowed_signers_file -I signer_identity -n namespace -s signature_file [-r revocation_file]

الوصف¶

يولّد ssh-keygen مفاتيح الاستيثاق ويديرها ويحوّلها لـ ssh(1). يستطيع ssh-keygen إنشاء مفاتيح للاستخدام بواسطة الإصدار 2 من بروتوكول SSH.

يُحدد نوع المفتاح المراد توليده باستخدام خيار -t. إذا استُدعي بدون أي وسائط، فسيولّد ssh-keygen مفتاح Ed25519.

يُستخدم ssh-keygen أيضًا لتوليد مجموعات للاستخدام في تبادل مجموعات ديفي-هيلمان (DH-GEX). انظر قسم MODULI GENERATION لمزيد من التفاصيل.

أخيرًا، يمكن استخدام ssh-keygen لتوليد وتحديث قوائم إبطال المفاتيح، واختبار ما إذا كانت مفاتيح معينة قد أُبطلت بواسطة إحداها. انظر قسم KEY REVOCATION LISTS لمزيد من التفاصيل.

عادة ما يقوم كل مستخدم يرغب في استخدام SSH مع الاستيثاق بالمفتاح العام بتشغيل هذا مرة واحدة لإنشاء مفتاح الاستيثاق في ~/.ssh/id_ecdsa ، أو ~/.ssh/id_ecdsa_sk ، أو ~/.ssh/id_ed25519 ، أو ~/.ssh/id_ed25519_sk أو ~/.ssh/id_rsa. بالإضافة إلى ذلك، يمكن لمدير النظام استخدام هذا لتوليد مفاتيح المضيف.

عادةً ما يولّد هذا البرنامج المفتاح ويسأل عن ملف لتخزين المفتاح الخاص فيه. يُخزن المفتاح العام في ملف بنفس الاسم مع إضافة “.pub”. يسأل البرنامج أيضًا عن عبارة مرور. قد تكون عبارة المرور فارغة للإشارة إلى عدم وجود عبارة مرور (يجب أن تحتوي مفاتيح المضيف على عبارة مرور فارغة)، أو قد تكون سلسلة ذات طول اختياري. تشبه عبارة المرور كلمة المرور، إلا أنها يمكن أن تكون عبارة تتكون من سلسلة من الكلمات، أو علامات الترقيم، أو الأرقام، أو المسافات البيضاء، أو أي سلسلة من المحارف التي تريدها. عبارات المرور الجيدة يتراوح طولها بين 10 و 30 محرفًا، وليست جملًا بسيطة أو سهلة التخمين (النثر الإنجليزي يحتوي على 1-2 بت فقط من الاعتلاج لكل محرف، ويوفر عبارات مرور سيئة للغاية)، وتحتوي على مزيج من الأحرف الكبيرة والصغيرة والأرقام والمحارف غير الأبجدية الرقمية. يمكن تغيير عبارة المرور لاحقًا باستخدام خيار -p.

لا توجد طريقة لاسترداد عبارة مرور مفقودة. إذا فُقدت عبارة المرور أو نُسيت، فيجب توليد مفتاح جديد ونسخ المفتاح العام المقابل إلى الأجهزة الأخرى.

سيكتب ssh-keygen المفاتيح مبدئيًا بتنسيق خاص بـ OpenSSH. يُفضل هذا التنسيق لأنه يوفر حماية أفضل للمفاتيح الخاملة بالإضافة إلى السماح بتخزين تعليقات المفاتيح داخل ملف المفتاح الخاص نفسه. قد يكون تعليق المفتاح مفيدًا للمساعدة في تحديد المفتاح. يُهيأ التعليق إلى “user@host” عند إنشاء المفتاح، ولكن يمكن تغييره باستخدام خيار -c.

لا يزال من الممكن لـ ssh-keygen كتابة المفاتيح الخاصة بتنسيق PEM المستخدم سابقًا باستخدام علامة -m. يمكن استخدام هذا عند توليد مفاتيح جديدة، ويمكن تحويل المفاتيح الحالية ذات التنسيق الجديد باستخدام هذا الخيار بالاقتران مع علامة -p (تغيير عبارة المرور).

بعد توليد المفتاح، سيسأل ssh-keygen عن المكان الذي يجب وضع المفاتيح فيه لتفعيلها.

الخيارات هي كما يلي:

-A

يولّد مفاتيح المضيف من جميع أنواع المفاتيح المبدئية (rsa و ecdsa و ed25519) إذا لم تكن موجودة بالفعل. تُوَلَّد مفاتيح المضيف بالمسار المبدئي لملف المفتاح، وعبارة مرور فارغة، والبتات المبدئية لنوع المفتاح، وتعليق مبدئي. إذا حُدّد الخيار -f أيضًا، تُستخدم وسيطته كبادئة للمسار المبدئي لملفات مفاتيح المضيف الناتجة. يُستخدم هذا بواسطة سكربتات إدارة النظام لتوليد مفاتيح مضيف جديدة.

-a rounds

عند حفظ مفتاح خاص، يحدد هذا الخيار عدد دورات KDF (دالة اشتقاق المفتاح، حاليًا bcrypt_pbkdf(3)) المستخدمة. تؤدي الأرقام الأعلى إلى استيثاق أبطأ لعبارة المرور وزيادة المقاومة لكسر كلمة المرور بالقوة الغاشمة (في حال سُرقت المفاتيح). المبدئي هو 16 دورة.

-B

يعرض ملخص bubblebabble لملف المفتاح الخاص أو العام المحدد.

-b bits

يحدد عدد البتات في المفتاح المراد إنشاؤه. بالنسبة لمفاتيح RSA، الحد الأدنى للحجم هو 1024 بت والمبدئي هو 3072 بت. عمومًا، يُعتبر 3072 بت كافيًا. بالنسبة لمفاتيح ECDSA، تحدد علامة -b طول المفتاح عن طريق الاختيار من بين ثلاثة أحجام للمنحنى الإهليلجي: 256 أو 384 أو 521 بت. ستفشل محاولة استخدام أطوال بت أخرى غير هذه القيم الثلاث لمفاتيح ECDSA. مفاتيح ECDSA-SK و Ed25519 و Ed25519-SK لها طول ثابت وسيُتجاهل خيار -b.

-C comment

يوفر تعليقًا جديدًا.

-c

يطلب تغيير التعليق في ملفات المفاتيح الخاصة والعامة. سيطلب البرنامج الملف الذي يحتوي على المفاتيح الخاصة، وعبارة المرور إذا كان للمفتاح واحدة، والتعليق الجديد.

-D pkcs11

ينزل المفاتيح العامة التي توفرها مكتبة PKCS#11 المشتركة pkcs11. عند استخدامه بالاقتران مع -s ، يشير هذا الخيار إلى أن مفتاح المرجع المصدق (CA) موجود في رمز PKCS#11 (انظر قسم CERTIFICATES لمزيد من التفاصيل).

-E fingerprint_hash

يحدد خوارزمية التجزئة المستخدمة عند عرض بصمات المفاتيح. الخيارات الصالحة هي: “md5” و “sha256”. المبدئي هو “sha256”.

-e

سيقرأ هذا الخيار ملف مفتاح OpenSSH خاص أو عام ويطبع إلى المخرج القياسي (stdout) مفتاحًا عامًا بأحد التنسيقات المحددة بواسطة خيار -m. تنسيق التصدير المبدئي هو “RFC4716”. يسمح هذا الخيار بتصدير مفاتيح OpenSSH للاستخدام بواسطة برامج أخرى، بما في ذلك العديد من تطبيقات SSH التجارية.

-F hostname | [hostname]:port

يبحث عن hostname المحدد (مع رقم منفذ اختياري) في ملف known_hosts ، ويُدرج أي حالات عُثر عليها. هذا الخيار مفيد للعثور على أسماء مضيفين أو عناوين مُجزأة وقد يُستخدم أيضًا بالاقتران مع خيار -H لطباعة المفاتيح التي عُثر عليها بتنسيق مُجزأ.

-f filename

يحدد اسم ملف ملف المفتاح.

-g

استخدم تنسيق DNS العام عند طباعة سجلات موارد البصمة باستخدام أمر -r.

-H

يجزئ ملف known_hosts. يستبدل هذا جميع أسماء المضيفين والعناوين بتمثيلات مُجزأة داخل الملف المحدد؛ ويُنقل المحتوى الأصلي إلى ملف بلاحقة .old. يمكن استخدام هذه التجزئات بشكل طبيعي بواسطة ssh و sshd ، لكنها لا تكشف عن معلومات تعريفية في حال كُشف عن محتويات الملف. لن يعدل هذا الخيار أسماء المضيفين المُجزأة الموجودة، وبالتالي فهو آمن للاستخدام في الملفات التي تخلط بين الأسماء المُجزأة وغير المُجزأة.

-h

عند توقيع مفتاح، يُنشئ شهادة مضيف بدلًا من شهادة مستخدم. انظر قسم CERTIFICATES لمزيد من التفاصيل.

-I certificate_identity

حدد هوية المفتاح عند توقيع مفتاح عام. انظر قسم CERTIFICATES لمزيد من التفاصيل.

-i

سيقرأ هذا الخيار ملف مفتاح خاص (أو عام) غير مُعمى بالتنسيق المحدد بواسطة خيار -m ويطبع مفتاحًا خاصًا (أو عامًا) متوافقًا مع OpenSSH إلى stdout. يسمح هذا الخيار باستيراد المفاتيح من برامج أخرى، بما في ذلك العديد من تطبيقات SSH التجارية. تنسيق الاستيراد المبدئي هو “RFC4716”.

-K

ينزل المفاتيح المقيمة من مستوثق FIDO. ستُكتب ملفات المفاتيح العامة والخاصة في الدليل الحالي لكل مفتاح مُنزل. إذا كانت هناك عدة مستوثقات FIDO متصلة، فستُنزل المفاتيح من أول مستوثق يُلمس. انظر قسم FIDO AUTHENTICATOR لمزيد من المعلومات.

-k

يولّد ملف KRL. في هذا الوضع، سيولّد ssh-keygen ملف KRL في الموقع المحدد عبر علامة -f والذي يُبطل كل مفتاح أو شهادة تُقدم على سطر الأوامر. يمكن تحديد المفاتيح/الشهادات المراد إبطالها بواسطة ملف المفتاح العام أو باستخدام التنسيق الموصوف في قسم KEY REVOCATION LISTS.

-L

يطبع محتويات شهادة واحدة أو أكثر.

-l

يعرض بصمة ملف المفتاح العام المحدد. سيحاول ssh-keygen العثور على ملف المفتاح العام المطابق ويطبع بصمته. إذا دُمج مع -v ، فسيُقدم تمثيل بصري بفن ASCII للمفتاح مع البصمة.

-M generate

يولّد معلمات مرشحة لتبادل مجموعات ديفي-هيلمان (DH-GEX) للاستخدام النهائي بواسطة طرق تبادل المفاتيح ‘diffie-hellman-group-exchange-*’. يجب فحص الأرقام المتولدة من هذه العملية بشكل أكبر قبل الاستخدام. انظر قسم MODULI GENERATION لمزيد من المعلومات.

-M screen

يفحص المعلمات المرشحة لتبادل مجموعات ديفي-هيلمان. سيقبل هذا قائمة من الأرقام المرشحة ويختبر أنها أعداد أولية آمنة (صوفي جيرمان) مع مولدات مجموعة مقبولة. قد تُضاف نتائج هذه العملية إلى ملف /etc/ssh/moduli. انظر قسم MODULI GENERATION لمزيد من المعلومات.

-m key_format

يحدد تنسيق المفتاح لتوليد المفاتيح، وخيارات التحويل -i (استيراد) و -e (تصدير)، وعملية تغيير عبارة المرور -p. يمكن استخدام الأخيرة للتحويل بين تنسيقات المفتاح الخاص لـ OpenSSH والمفتاح الخاص لـ PEM. تنسيقات المفاتيح المدعومة هي: “RFC4716” (مفتاح RFC 4716/SSH2 عام أو خاص)، أو “PKCS8” (مفتاح PKCS8 عام أو خاص) أو “PEM” (مفتاح PEM عام). سيكتب OpenSSH مبدئيًا المفاتيح الخاصة المولدة حديثًا بتنسيقه الخاص، ولكن عند تحويل المفاتيح العامة للتصدير، يكون التنسيق المبدئي هو “RFC4716”. سيؤدي ضبط تنسيق “PEM” عند توليد أو تحديث نوع مفتاح خاص مدعوم إلى تخزين المفتاح بتنسيق PEM القديم للمفتاح الخاص.

-N new_passphrase

يوفر عبارة المرور الجديدة.

-n principals

حدد واحدًا أو أكثر من الأصلاء (أسماء المستخدمين أو المضيفين) ليُدرجوا في شهادة عند توقيع مفتاح. يمكن تحديد عدة أصلاء، مفصولين بفاصلات. انظر قسم CERTIFICATES لمزيد من التفاصيل.

-O option

يحدد خيار مفتاح/قيمة. هذه خاصة بالعملية التي طُلب من ssh-keygen تنفيذها.

عند توقيع الشهادات، يمكن تحديد أحد الخيارات المدرجة في قسم CERTIFICATES هنا.

عند إجراء توليد أو فحص المعاملات، يمكن تحديد أحد الخيارات المدرجة في قسم MODULI GENERATION.

عند توليد مفاتيح مدعومة بمستوثق FIDO، يمكن تحديد الخيارات المدرجة في قسم FIDO AUTHENTICATOR.

عند إجراء الخيارات المتعلقة بالتوقيع باستخدام علامة -Y ، تُقبل الخيارات التالية:

hashalg=algorithm: يختار خوارزمية التجزئة لاستخدامها لتجزئة الرسالة المراد توقيعها. الخوارزميات الصالحة هي “sha256” و “sha512.” المبدئي هو “sha512.”
print-pubkey: يطبع المفتاح العام الكامل إلى المخرج القياسي بعد استيثاق التوقيع.
verify-time=timestamp: يحدد وقتًا لاستخدامه عند التحقق من صحة التوقيعات بدلًا من الوقت الحالي. يمكن تحديد الوقت كـ تاريخ أو وقت بتنسيقات YYYYMMDD[Z] أو YYYYMMDDHHMM[SS][Z]. سيُفسر التاريخ والوقت في المنطقة الزمنية الحالية للنظام ما لم يُلحق بمحرف Z، مما يؤدي إلى تفسيرهم في المنطقة الزمنية UTC.

عند توليد سجلات SSHFP DNS من المفاتيح العامة باستخدام علامة -r ، تُقبل الخيارات التالية:

hashalg=algorithm: يختار خوارزمية تجزئة لاستخدامها عند طباعة سجلات SSHFP باستخدام علامة -D. الخوارزميات الصالحة هي “sha1” و “sha256”. المبدئي هو طباعة كليهما.

يمكن تحديد خيار -O عدة مرات.

-P passphrase

يوفر عبارة المرور (القديمة).

-p

يطلب تغيير عبارة المرور لملف مفتاح خاص بدلًا من إنشاء مفتاح خاص جديد. سيطلب البرنامج الملف الذي يحتوي على المفتاح الخاص، وعبارة المرور القديمة، وعبارة المرور الجديدة مرتين.

-Q

يختبر ما إذا كانت المفاتيح قد أُبطلت في KRL. إذا حُدد خيار -l أيضًا، فستُطبع محتويات KRL.

-q

يصمت ssh-keygen.

-R hostname | [hostname]:port

يزيل جميع المفاتيح التي تنتمي إلى hostname المحدد (مع رقم منفذ اختياري) من ملف known_hosts. هذا الخيار مفيد لحذف المضيفين المُجزئين (انظر خيار -H أعلاه).

-r hostname

يطبع سجل موارد بصمة SSHFP المسمى hostname لملف المفتاح العام المحدد.

-s ca_key

يصادق على (يوقع) مفتاح عام باستخدام مفتاح المرجع المصدق (CA) المحدد. انظر قسم CERTIFICATES لمزيد من التفاصيل.

عند توليد KRL، يحدد -s مسارًا لملف المفتاح العام للمرجع المصدق (CA) المستخدم لإبطال الشهادات مباشرة عن طريق معرف المفتاح أو الرقم التسلسلي. انظر قسم KEY REVOCATION LISTS لمزيد من التفاصيل.

-t ecdsa | ecdsa-sk | ed25519 | ed25519-sk | rsa

يحدد نوع المفتاح المُراد إنشاؤه. القيم الممكنة هي “ecdsa” ، أو “ecdsa-sk” ، أو “ed25519 (المبدئي)” ، أو “ed25519-sk” ، أو “rsa”.

يمكن استخدام هذا العلم أيضًا لتحديد نوع التوقيع المطلوب عند توقيع الشهادات باستخدام مفتاح RSA CA. متغيرات توقيع RSA المتاحة هي “ssh-rsa” (توقيعات SHA1، لا يُنصح بها)، و “rsa-sha2-256” ، و “rsa-sha2-512” (المبدئي لمفاتيح RSA).

-U

عند استخدامه مع -s أو -Y sign ، يشير هذا الخيار إلى أن مفتاح CA يقيم في ssh-agent(1). انظر قسم الشهادات (CERTIFICATES) لمزيد من المعلومات.

-u

تحديث KRL. عند تحديده مع -k ، تُضاف المفاتيح المدرجة عبر سطر الأوامر إلى KRL الحالي بدلاً من إنشاء KRL جديد.

-V validity_interval

تحديد فترة صلاحية عند توقيع الشهادة. قد تتكون فترة الصلاحية من وقت واحد، مما يشير إلى أن الشهادة صالحة بدءًا من الآن وتنتهي في ذلك الوقت، أو قد تتكون من وقتين يفصل بينهما نقطتان رأسيتان للإشارة إلى فاصل زمني صريح.

يمكن تحديد وقت البدء كـ:

السلسلة “always” للإشارة إلى أن الشهادة ليس لها وقت بدء محدد.
تاريخ أو وقت في المنطقة الزمنية للنظام بصيغة YYYYMMDD أو YYYYMMDDHHMM[SS].
تاريخ أو وقت في المنطقة الزمنية العالمية (UTC) كـ YYYYMMDDZ أو YYYYMMDDHHMM[SS]Z.
وقت نسبي قبل وقت النظام الحالي يتكون من علامة ناقص متبوعة بفاصل زمني بالصيغة الموصوفة في قسم صيغ الوقت (TIME FORMATS) في sshd_config(5).
عدد الثواني الخام منذ البداية (1 يناير 1970 00:00:00 UTC) كرقم سداسي عشري يبدأ بـ “0x”.

يمكن تحديد وقت الانتهاء بشكل مشابه لوقت البدء:

السلسلة “forever” للإشارة إلى أن الشهادة ليس لها وقت انتهاء محدد.
تاريخ أو وقت في المنطقة الزمنية للنظام بصيغة YYYYMMDD أو YYYYMMDDHHMM[SS].
تاريخ أو وقت في المنطقة الزمنية العالمية (UTC) كـ YYYYMMDDZ أو YYYYMMDDHHMM[SS]Z.
وقت نسبي بعد وقت النظام الحالي يتكون من علامة زائد متبوعة بفاصل زمني بالصيغة الموصوفة في قسم صيغ الوقت (TIME FORMATS) في sshd_config(5).
عدد الثواني الخام منذ البداية (1 يناير 1970 00:00:00 UTC) كرقم سداسي عشري يبدأ بـ “0x”.

على سبيل المثال:

+52w1d: صالح من الآن وحتى 52 أسبوعًا ويوم واحد من الآن.
-4w:+4w: صالح من قبل أربعة أسابيع وحتى بعد أربعة أسابيع من الآن.
20100101123000:20110101123000: صالح من 12:30 مساءً، 1 يناير 2010 إلى 12:30 مساءً، 1 يناير 2011.
20100101123000Z:20110101123000Z: مماثل، ولكن يُفسر في المنطقة الزمنية العالمية (UTC) بدلاً من المنطقة الزمنية للنظام.
-1d:20110101: صالح من أمس إلى منتصف ليل 1 يناير 2011.
0x1:0x2000000000: صالح من وقت مبكر من عام 1970 تقريبًا إلى مايو 2033.
-1m:forever: صالح منذ دقيقة واحدة ولا تنتهي صلاحيته أبدًا.

-v

الوضع المسهب. يجعل ssh-keygen يطبع رسائل تنقيح حول تقدمه. هذا مفيد لتنقيح توليد المعاملات. تكرار خيارات -v يزيد من درجة الإسهاب. الحد الأقصى هو 3.

-w provider

يحدد مسارًا لمكتبة ستُستخدم عند إنشاء مفاتيح مستضافة على مصادق FIDO، متجاوزًا الوضع المبدئي المتمثل في استخدام دعم USB HID الداخلي.

-Y find-principals

البحث عن الموكل (أو الموكلين) المرتبطين بالمفتاح العام لتوقيع ما، والمزود باستخدام علم -s في ملف الموقعين المعتمدين المزود باستخدام علم -f. تنسيق ملف الموقعين المسموح بهم موثق في قسم الموقعون المسموح بهم (ALLOWED SIGNERS) أدناه. إذا وُجد موكل مطابق واحد أو أكثر، تُعاد إلى المخرج القياسي.

-Y match-principals

البحث عن موكل يطابق اسم الموكل المزود باستخدام علم -I في ملف الموقعين المعتمدين المحدد باستخدام علم -f. إذا وُجد موكل مطابق واحد أو أكثر، تُعاد إلى المخرج القياسي.

-Y check-novalidate

يتحقق من أن التوقيع المولد باستخدام ssh-keygen -Y sign له بنية صالحة. هذا لا يستوثق مما إذا كان التوقيع صادرًا عن موقع معتمد. عند اختبار توقيع، يقبل ssh-keygen رسالة من المدخل القياسي وفضاء اسم توقيع باستخدام -n. يجب أيضًا توفير ملف يحتوي على التوقيع المقابل باستخدام علم -s. يُشار إلى نجاح اختبار التوقيع من خلال إرجاع ssh-keygen لحالة خروج صفر.

-Y sign

توقيع ملف أو بعض البيانات تعمويًا باستخدام مفتاح SSH. عند التوقيع، يقبل ssh-keygen صفرًا أو أكثر من الملفات لتوقيعها على سطر الأوامر - إذا لم تُحدد أي ملفات فسيقوم ssh-keygen بتوقيع البيانات المقدمة على المدخل القياسي. تُكتب التوقيعات إلى مسار ملف المدخل مع إلحاق “.sig” ، أو إلى المخرج القياسي إذا قُرئت الرسالة المُراد توقيعها من المدخل القياسي.

يُحدد المفتاح المستخدم للتوقيع باستخدام خيار -f وقد يشير إلى مفتاح خاص، أو مفتاح عام مع توفر النصف الخاص عبر ssh-agent(1). يجب توفير فضاء اسم توقيع إضافي، يستخدم لمنع خلط التوقيعات عبر مجالات الاستخدام المختلفة (مثل توقيع الملفات مقابل توقيع البريد الإلكتروني) عبر علم -n. فضاءات الأسماء هي سلاسل عشوائية، وقد تشمل: “file” لتوقيع الملفات، و “email” لتوقيع البريد الإلكتروني. للاستخدامات المخصصة، يُنصح باستخدام أسماء تتبع نمط NAMESPACE@YOUR.DOMAIN لإنشاء فضاءات أسماء غير غامضة.

-Y verify

طلب التحقق من توقيع مولد باستخدام ssh-keygen -Y sign كما هو موضح أعلاه. عند التحقق من توقيع، يقبل ssh-keygen رسالة من المدخل القياسي وفضاء اسم توقيع باستخدام -n. يجب أيضًا توفير ملف يحتوي على التوقيع المقابل باستخدام علم -s ، بالإضافة إلى هوية الموقع باستخدام -I وقائمة بالموقعين المسموح بهم عبر علم -f. تنسيق ملف الموقعين المسموح بهم موثق في قسم الموقعون المسموح بهم (ALLOWED SIGNERS) أدناه. يمكن تمرير ملف يحتوي على مفاتيح ملغاة باستخدام علم -r. قد يكون ملف الإلغاء KRL أو قائمة مفاتيح عامة (واحد في كل سطر). يُشار إلى نجاح التحقق من قبل موقع معتمد من خلال إرجاع ssh-keygen لحالة خروج صفر.

-y

سيقرأ هذا الخيار ملفًا بصيغة OpenSSH الخاصة ويطبع مفتاح OpenSSH عام إلى المخرج القياسي.

-Z cipher

يحدد التعمية المراد استخدامها للتشفير عند كتابة ملف مفتاح خاص بصيغة OpenSSH. يمكن الحصول على قائمة التعميات المتاحة باستخدام "ssh -Q cipher". المبدئي هو “aes256-ctr”.

-z serial_number

يحدد رقمًا تسلسليًا ليُضمن في الشهادة لتمييز هذه الشهادة عن غيرها من نفس CA. إذا سُبق serial_number بحرف ‘+’ ، فسيُزاد الرقم التسلسلي لكل شهادة تُوقع على سطر أوامر واحد. الرقم التسلسلي المبدئي هو صفر.

عند توليد KRL، يُستخدم علم -z لتحديد رقم إصدار KRL.

توليد المعاملات¶

يمكن استخدام ssh-keygen لتوليد مجموعات لبروتوكول تبادل مجموعات ديفي-هيلمان (DH-GEX). توليد هذه المجموعات هو عملية من خطوتين: أولاً، تُولد الأعداد الأولية المرشحة باستخدام عملية سريعة ولكنها تستهلك الذاكرة. ثم تُختبر هذه الأعداد الأولية المرشحة لمدى ملاءمتها (عملية تستهلك المعالج).

يُنفذ توليد الأعداد الأولية باستخدام خيار -M generate. يمكن تحديد الطول المطلوب للأعداد الأولية بواسطة خيار -O bits. على سبيل المثال:

# ssh-keygen -M generate -O bits=2048
  moduli-2048.candidates

بشكل مبدئي، يبدأ البحث عن الأعداد الأولية عند نقطة عشوائية في نطاق الطول المطلوب. يمكن تجاوز ذلك باستخدام خيار -O start ، الذي يحدد نقطة بدء مختلفة (بالسداسي عشر).

بمجرد توليد مجموعة من المرشحين، يجب فحصهم للتأكد من ملاءمتهم. يمكن القيام بذلك باستخدام خيار -M screen. في هذا الوضع سيقرأ ssh-keygen المرشحين من المدخل القياسي (أو من ملف محدد باستخدام خيار -f). على سبيل المثال:

# ssh-keygen -M screen -f
  moduli-2048.candidates moduli-2048

بشكل مبدئي، سيخضع كل مرشح لـ 100 اختبار أولية. يمكن تجاوز ذلك باستخدام خيار -O prime-tests. ستُختار قيمة مولد DH آليًا للعدد الأولي قيد النظر. إذا كان هناك مولد محدد مطلوب، يمكن طلبه باستخدام خيار -O generator. قيم المولد الصالحة هي 2 و 3 و 5.

يمكن تثبيت مجموعات DH المفحوصة في /etc/ssh/moduli. من المهم أن يحتوي هذا الملف على معاملات بمجموعة من أطوال البتات.

يتوفر عدد من الخيارات لتوليد المعاملات وفحصها عبر علم -O:

lines=number: الخروج بعد فحص عدد محدد من الأسطر أثناء إجراء فحص مرشحي DH.
start-line=line-number: بدء الفحص عند رقم السطر المحدد أثناء إجراء فحص مرشحي DH.
checkpoint=filename: كتابة آخر سطر تمت معالجته إلى الملف المحدد أثناء إجراء فحص مرشحي DH. سيُستخدم هذا لتخطي الأسطر في ملف المدخل التي عولجت بالفعل إذا استؤنفت المهمة.
start=hex-value: تحديد نقطة البدء (بالسداسي عشر) عند توليد المعاملات المرشحة لـ DH-GEX.
generator=value: تحديد المولد المطلوب (بالعشري) عند اختبار المعاملات المرشحة لـ DH-GEX.

الشهادات¶

يدعم ssh-keygen توقيع المفاتيح لإنتاج شهادات يمكن استخدامها لاستيثاق المستخدم أو المضيف. تتكون الشهادات من مفتاح عام، وبعض معلومات الهوية، وصفر أو أكثر من أسماء الموكلين (مستخدم أو مضيف) ومجموعة من الخيارات الموقعة بواسطة مفتاح سلطة الشهادات (CA). يمكن للعملاء أو الخوادم بعد ذلك الوثوق بمفتاح CA فقط والتحقق من توقيعه على الشهادة بدلاً من الوثوق بالعديد من مفاتيح المستخدم/المضيف. لاحظ أن شهادات OpenSSH هي تنسيق مختلف، وأبسط بكثير، من شهادات X.509 المستخدمة في ssl(8).

يدعم ssh-keygen نوعين من الشهادات: مستخدم ومضيف. تستوثق شهادات المستخدم من المستخدمين لدى الخوادم، بينما تستوثق شهادات المضيف من خوادم المضيفين لدى المستخدمين. لتوليد شهادة مستخدم:

$ ssh-keygen -s /path/to/ca_key -I id
  -n user \

/path/to/user_key.pub

سوف توضع الشهادة الناتجة في /path/to/user_key-cert.pub. المعطى لـ -I هو معرف مفتاح سيُستخدم في السجلات ويمكن استخدامه لإلغاء المفاتيح. المعطى لـ -n هو موكل واحد أو أكثر (مفصولة بفاصلة)، عادة ما تكون أسماء مستخدمين، تمثلهم الشهادة. تتطلب شهادة المضيف خيار -h:

$ ssh-keygen -s /path/to/ca_key -I id
  -h -n foo.example.org \

/path/to/host_key.pub

بالنسبة لشهادات المضيف، الموكلون المحددون باستخدام معطى -n هم أسماء مضيفين وقد تحتوي على أحرف بديلة (wildcard).

سوف تُخرج شهادة المضيف إلى /path/to/host_key-cert.pub.

من الممكن التوقيع باستخدام مفتاح CA مخزن في رمز PKCS#11 من خلال توفير مكتبة الرمز باستخدام -D وتحديد مفتاح CA من خلال تقديم نصفه العام كمعطى لـ -s:

$ ssh-keygen -s ca_key.pub -D
  libpkcs11.so -I id -n user \

user_key.pub

بالمثل، من الممكن أن يكون مفتاح CA مستضافًا في ssh-agent(1). يُشار إلى ذلك بواسطة علم -U ، ومرة أخرى، يجب تحديد مفتاح CA بنصفه العام.

$ ssh-keygen -Us ca_key.pub -I id -n
  user user_key.pub

في جميع الحالات، key_id هو "معرف مفتاح" يُسجله الخادم عند استخدام الشهادة للاستيثاق.

الشهادات محدودة لتكون صالحة لمجموعة من أسماء الموكلين (مستخدم/مضيف). لتوليد شهادة لمجموعة محددة من الموكلين:

$ ssh-keygen -s ca_key -I id -n
  user1,user2 user_key.pub

$ ssh-keygen -s ca_key -I id -h -n
  host.domain host_key.pub

يمكن تحديد قيود إضافية على صلاحية واستخدام شهادات المستخدم من خلال خيارات الشهادة. قد يعطل خيار الشهادة ميزات جلسة SSH، أو قد يكون صالحًا فقط عند تقديمه من عناوين مصدر معينة أو قد يفرض استخدام أمر محدد.

الخيارات الصالحة لشهادات المستخدم هي:

clear: مسح جميع الأذونات الممكنة. هذا مفيد لمسح مجموعة الأذونات المبدئية بحيث يمكن إضافة الأذونات بشكل فردي.
critical:name[=contents]
extension:name[=contents]: يُضمن خيارًا حرجًا أو امتدادًا تعسفيًا للشهادة. يجب أن يتضمن name المحدد لاحقة نطاق، مثل “name@example.com”. إذا حُدد contents فسيُدرج كمحتويات للامتداد/الخيار مرمزة كسلسلة نصية، وإلا فسيُنشأ الامتداد/الخيار بلا محتويات (مما يشير عادةً إلى علامة). قد يتجاهل العميل أو الخادم الامتدادات التي لا يتعرف عليها، في حين أن الخيارات الحرجة غير المعروفة ستؤدي إلى رفض الشهادة.
force-command=command: يفرض تنفيذ command بدلًا من أي صدفة أو أمر يحدده المستخدم عند استخدام الشهادة للاستيثاق.
no-agent-forwarding: يعطل تمرير ssh-agent(1) (مسموح به مبدئيًا).
no-port-forwarding: يعطل تمرير المنفذ (مسموح به مبدئيًا).
no-pty: يعطل تخصيص PTY (مسموح به مبدئيًا).
no-user-rc: يعطل تنفيذ ~/.ssh/rc بواسطة sshd(8) (مسموح به مبدئيًا).
no-x11-forwarding: يعطل تمرير X11 (مسموح به مبدئيًا).
permit-agent-forwarding: يسمح بتمرير ssh-agent(1).
permit-port-forwarding: يسمح بتمرير المنفذ.
permit-pty: يسمح بتخصيص PTY.
permit-user-rc: يسمح بتنفيذ ~/.ssh/rc بواسطة sshd(8).
permit-X11-forwarding: يسمح بتمرير X11.
no-touch-required: لا يتطلب أن تتضمن التوقيعات التي تُجرى باستخدام هذا المفتاح إثباتًا لوجود المستخدم (على سبيل المثال عن طريق قيام المستخدم بلمس المصدق). هذا الخيار منطقي فقط لخوارزميات مصدق FIDO وهما ecdsa-sk و ed25519-sk.
source-address=address_list: يقيد عناوين المصدر التي تُعتبر الشهادة صالحة منها. address_list هي قائمة مفصولة بفاصلة لزوج واحد أو أكثر من العناوين/أقنعة الشبكة بتنسيق CIDR.
verify-required: يتطلب أن تشير التوقيعات التي تُجرى باستخدام هذا المفتاح إلى أنه تم التحقق من المستخدم أولًا، على سبيل المثال بواسطة رمز PIN أو المقاييس الحيوية الموجودة على الرمز. هذا الخيار منطقي فقط لخوارزميات مصدق FIDO وهما ecdsa-sk و ed25519-sk.

في الوقت الحاضر، لا توجد خيارات قياسية صالحة لمفاتيح المضيف.

أخيرًا، يمكن تعريف الشهادات بفترة صلاحية. يسمح الخيار -V بتحديد أوقات بدء وانتهاء الشهادة. لن تُعتبر الشهادة التي تُقدم في وقت خارج هذا النطاق صالحة. مبدئيًا، تكون الشهادات صالحة من حقبة UNIX إلى المستقبل البعيد.

لكي تُستخدم الشهادات لاستيثاق المستخدم أو المضيف، يجب أن يكون مفتاح CA العام موثوقًا به بواسطة sshd(8) أو ssh(1). ارجع إلى صفحات الدليل تلك للحصول على التفاصيل.

مصدق FIDO¶

يستطيع ssh-keygen توليد مفاتيح مدعومة بمصدق FIDO، وبعد ذلك يمكن استخدامها مثل أي نوع مفتاح آخر يدعمه OpenSSH، طالما أن المصدق العتادي متصل عند استخدام المفاتيح. تتطلب مصدقات FIDO عمومًا من المستخدم تفويض العمليات صراحةً عن طريق لمسها أو النقر عليها. تتكون مفاتيح FIDO من جزأين: جزء مقبض المفتاح المخزن في ملف المفتاح الخاص على القرص، ومفتاح خاص لكل جهاز فريد لكل مصدق FIDO ولا يمكن تصديره من عتاد المصدق. يُدمج هذان الجزءان بواسطة العتاد في وقت الاستيثاق لاشتقاق المفتاح الحقيقي المستخدم لتوقيع تحديات الاستيثاق. أنواع المفاتيح المدعومة هي ecdsa-sk و ed25519-sk.

الخيارات الصالحة لمفاتيح FIDO هي:

application: يتجاوز سلسلة التطبيق/الأصل المبدئية لـ FIDO وهي “ssh:”. قد يكون هذا مفيدًا عند توليد مفاتيح مقيمة خاصة بالمضيف أو النطاق. يجب أن تبدأ سلسلة التطبيق المحددة بـ “ssh:”.
challenge=path: يحدد مسارًا لسلسلة تحدي ستُمرر إلى مصدق FIDO أثناء توليد المفتاح. يمكن استخدام سلسلة التحدي كجزء من بروتوكول خارج النطاق لتسجيل المفتاح (يُستخدم تحدٍ عشوائي مبدئيًا).
device: يحدد صراحةً جهاز fido(4) لاستخدامه، بدلًا من ترك البرمجية الوسيطة للمصدق تختار واحدًا.
no-touch-required: يشير إلى أن المفتاح الخاص المولد لا ينبغي أن يتطلب أحداث لمس (وجود المستخدم) عند إجراء التوقيعات. لاحظ أن sshd(8) سيرفض مثل هذه التوقيعات مبدئيًا، ما لم يتم تجاوز ذلك عبر خيار authorized_keys.
resident: يشير إلى وجوب تخزين مقبض المفتاح على مصدق FIDO نفسه. هذا يسهل استخدام المصدق على حواسيب متعددة. قد تُدعم المفاتيح المقيمة على مصدقات FIDO2 وتتطلب عادةً تعيين رمز PIN على المصدق قبل التوليد. يمكن تحميل المفاتيح المقيمة من المصدق باستخدام ssh-add(1). إن تخزين كلا جزئي المفتاح على مصدق FIDO يزيد من احتمالية تمكن المهاجم من استخدام جهاز مصدق مسروق.
user: اسم مستخدم ليُربط بمفتاح مقيم، متجاوزًا اسم المستخدم المبدئي الفارغ. قد يكون تحديد اسم مستخدم مفيدًا عند توليد مفاتيح مقيمة متعددة لنفس اسم التطبيق.
verify-required: يشير إلى أن هذا المفتاح الخاص يجب أن يتطلب تحقق المستخدم لكل توقيع. لا تدعم جميع مصدقات FIDO هذا الخيار. حاليًا الاستيثاق برمز PIN هو طريقة التحقق الوحيدة المدعومة، ولكن قد تُدعم طرق أخرى في المستقبل.
write-attestation=path: يمكن استخدامه في وقت توليد المفتاح لتسجيل بيانات التصديق التي ترجعها مصدقات FIDO أثناء توليد المفتاح. هذه المعلومات قد تكون حساسة. يتم تجاهل هذه المعلومات مبدئيًا.

قوائم إبطال المفاتيح¶

يستطيع ssh-keygen إدارة قوائم إبطال المفاتيح (KRLs) بتنسيق OpenSSH. تحدد هذه الملفات الثنائية المفاتيح أو الشهادات المراد إبطالها باستخدام تنسيق مضغوط، لا يشغل سوى بت واحد لكل شهادة إذا تم إبطالها حسب الرقم التسلسلي.

يمكن توليد قوائم KRL باستخدام العلامة -k. يقرأ هذا الخيار ملفًا واحدًا أو أكثر من سطر الأوامر ويولد قائمة KRL جديدة. قد تحتوي الملفات إما على مواصفات KRL (انظر أدناه) أو مفاتيح عامة، مدرجة واحدًا لكل سطر. تُبطل المفاتيح العامة المجردة عن طريق إدراج بصمتها أو محتوياتها في KRL وتُبطل الشهادات بالرقم التسلسلي أو معرف المفتاح (إذا كان الرقم التسلسلي صفرًا أو غير متاح).

يوفر إبطال المفاتيح باستخدام مواصفات KRL تحكمًا صريحًا في أنواع السجلات المستخدمة لإبطال المفاتيح ويمكن استخدامه لإبطال الشهادات مباشرةً حسب الرقم التسلسلي أو معرف المفتاح دون وجود الشهادة الأصلية الكاملة في المتناول. تتكون مواصفات KRL من أسطر تحتوي على أحد التوجيهات التالية متبوعة بنقطتين وبعض المعلومات الخاصة بالتوجيه.

serial: serial_number[-serial_number]: يُبطل شهادة بالرقم التسلسلي المحدد. الأرقام التسلسلية هي قيم 64 بت، لا تشمل الصفر ويمكن التعبير عنها بالنظام العشري أو الست عشرى أو الثماني. إذا حُدد رقمان تسلسليان بينهما وصلة، فسيُبطل نطاق الأرقام التسلسلية بما في ذلك وبينهما. يجب أن يكون قد حُدد مفتاح CA على سطر أوامر ssh-keygen باستخدام الخيار -s.
id: key_id: يُبطل شهادة بسلسلة معرف المفتاح المحددة. يجب أن يكون قد حُدد مفتاح CA على سطر أوامر ssh-keygen باستخدام الخيار -s.
key: public_key: يُبطل المفتاح المحدد. إذا أُدرجت شهادة، فستُبطل كمفتاح عام مجرد.
sha1: public_key: يُبطل المفتاح المحدد بتضمين بصمة SHA1 الخاصة به في KRL.
sha256: public_key: يُبطل المفتاح المحدد بتضمين بصمة SHA256 الخاصة به في KRL. قوائم KRL التي تبطل المفاتيح ببصمة SHA256 غير مدعومة في إصدارات OpenSSH الأقدم من 7.9.
hash: fingerprint: يُبطل مفتاحًا باستخدام بصمة، كما هو موضح من رسالة سجل استيثاق sshd(8) أو العلامة -l لـ ssh-keygen. تُدعم بصمات SHA256 فقط هنا، وقوائم KRL الناتجة غير مدعومة في إصدارات OpenSSH الأقدم من 7.9.

يمكن تحديث قوائم KRL باستخدام العلامة -u بالإضافة إلى -k. عند تحديد هذا الخيار، تُدمج المفاتيح المدرجة عبر سطر الأوامر في KRL، وتُضاف إلى تلك الموجودة بالفعل.

من الممكن أيضًا، في حال وجود قائمة KRL، اختبار ما إذا كانت تبطل مفتاحًا (أو مفاتيح) معينة. ستقوم العلامة -Q بالاستعلام في KRL موجودة، واختبار كل مفتاح محدد في سطر الأوامر. إذا أُبطل أي مفتاح مدرج في سطر الأوامر (أو حدث خطأ) فسيخرج ssh-keygen بحالة خروج غير صفرية. لن تُرجع حالة خروج صفرية إلا إذا لم يُبطل أي مفتاح.

الموقعون المسموح بهم¶

عند التحقق من التوقيعات، يستخدم ssh-keygen قائمة بسيطة من الهويات والمفاتيح لتحديد ما إذا كان التوقيع يأتي من مصدر مفوض. يستخدم ملف "الموقعون المسموح بهم" هذا تنسيقًا يحاكي تنسيق ملف AUTHORIZED_KEYS الموصوف في sshd(8). يحتوي كل سطر في الملف على الحقول التالية المفصولة بمسافات: الأصلاء، والخيارات، ونوع المفتاح، والمفتاح مرمزا بـ base64. يتم تجاهل الأسطر الفارغة والأسطر التي تبدأ بـ ‘#’ كتعليقات.

حقل الأصلاء هو قائمة أنماط (انظر PATTERNS في ssh_config(5)) تتكون من نمط هوية USER@DOMAIN واحد أو أكثر مفصولة بفاصلة والمقبولة للتوقيع. عند التحقق، يجب أن تطابق الهوية المقدمة عبر الخيار -I نمط الأصلاء لكي يُعتبر المفتاح المقابل مقبولًا للتحقق.

تتكون الخيارات (إن وجدت) من مواصفات خيارات مفصولة بفاصلة. لا يُسمح بمسافات، إلا داخل علامات الاقتباس المزدوجة. مواصفات الخيارات التالية مدعومة (لاحظ أن الكلمات المفتاحية للخيارات غير حساسة لحالة الأحرف):

cert-authority: يشير إلى أن هذا المفتاح مقبول كسلطة شهادات (CA) وأن الشهادات الموقعة من قبل هذه CA قد تُقبل للتحقق.
namespaces=namespace-list: يحدد قائمة أنماط مساحات الأسماء المقبولة لهذا المفتاح. إذا كان هذا الخيار موجودًا، فيجب أن تطابق مساحة اسم التوقيع المضمنة في كائن التوقيع والمقدمة في سطر أوامر التحقق القائمة المحددة قبل اعتبار المفتاح مقبولًا.
valid-after=timestamp: يشير إلى أن المفتاح صالح للاستخدام في أو بعد الطابع الزمني المحدد، والذي قد يكون تاريخًا أو وقتًا بتنسيقات YYYYMMDD[Z] أو YYYYMMDDHHMM[SS][Z]. ستُفسر التواريخ والأوقات في المنطقة الزمنية الحالية للنظام ما لم تُلحق بحرف Z، مما يؤدي إلى تفسيرها في المنطقة الزمنية العالمية المنسقة (UTC).
valid-before=timestamp: يشير إلى أن المفتاح صالح للاستخدام في أو قبل الطابع الزمني المحدد.

عند التحقق من التوقيعات التي تُجرى بواسطة الشهادات، يجب أن يطابق اسم الأصيل المتوقع كلًا من نمط الأصلاء في ملف الموقعين المسموح بهم والأصلاء المضمنين في الشهادة نفسها.

مثال لملف موقعين مسموح بهم:

# التعليقات مسموح بها في بداية السطر
user1@example.com,user2@example.com ssh-rsa AAAAX1...
# سلطة شهادات، موثوق بها لجميع الأصلاء في نطاق ما.
*@example.com cert-authority ssh-ed25519 AAAB4...
# مفتاح مقبول فقط لتوقيع الملفات.
user2@example.com namespaces="file" ssh-ed25519 AAA41...

البيئة¶

SSH_SK_PROVIDER: يحدد مسارًا لمكتبة ستُستخدم عند تحميل أي مفاتيح مستضافة على مصدق FIDO، متجاوزًا الوضع المبدئي لاستخدام دعم USB HID المدمج.

الملفات¶

~/.ssh/id_ecdsa
~/.ssh/id_ecdsa_sk
~/.ssh/id_ed25519
~/.ssh/id_ed25519_sk
~/.ssh/id_rsa: يحتوي على هوية استيثاق ECDSA، أو ECDSA المستضاف على مصدق، أو Ed25519، أو Ed25519 المستضاف على مصدق، أو RSA للمستخدم. يجب ألا يكون هذا الملف قابلاً للقراءة من قبل أي شخص باستثناء المستخدم. من الممكن تحديد عبارة مرور عند توليد المفتاح؛ ستُستخدم عبارة المرور تلك لتعمية الجزء الخاص من هذا الملف باستخدام AES 128 بت. لا يتم الوصول إلى هذا الملف آليًا بواسطة ssh-keygen ولكن يُعرض كملف مبدئي للمفتاح الخاص. سيقوم ssh(1) بقراءة هذا الملف عند إجراء محاولة تسجيل دخول.
~/.ssh/id_ecdsa.pub
~/.ssh/id_ecdsa_sk.pub
~/.ssh/id_ed25519.pub
~/.ssh/id_ed25519_sk.pub
~/.ssh/id_rsa.pub: يحتوي على المفتاح العام لـ ECDSA، أو ECDSA المستضاف على مصدق، أو Ed25519، أو Ed25519 المستضاف على مصدق، أو RSA للاستيثاق. يجب إضافة محتويات هذا الملف إلى ~/.ssh/authorized_keys على جميع الأجهزة التي يرغب المستخدم في تسجيل الدخول إليها باستخدام استيثاق المفتاح العام. لا داعي للحفاظ على سرية محتويات هذا الملف.
/etc/ssh/moduli: يحتوي على مجموعات Diffie-Hellman المستخدمة لـ DH-GEX. تنسيق الملف موضح في moduli(5).

انظر أيضًا¶

ssh(1) ، ssh-add(1) ، ssh-agent(1) ، moduli(5) ، sshd(8) The Secure Shell (SSH) Public Key File Format, RFC 4716, 2006.

المؤلفون¶

OpenSSH هو مشتق من إصدارة ssh 1.2.12 الأصلية والحرة التي كتبها Tatu Ylonen. قام كل من Aaron Campbell و Bob Beck و Markus Friedl و Niels Provos و Theo de Raadt و Dug Song بإزالة العديد من العلل وإعادة إضافة ميزات أحدث وإنشاء OpenSSH. ساهم Markus Friedl بدعم بروتوكول SSH بالإصدارين 1.5 و 2.0.

ترجمة¶

تُرجمت هذه الصفحة من الدليل بواسطة زايد السعيدي <zayed.alsaidi@gmail.com>

هذه الترجمة هي وثيقة مجانية؛ راجع رخصة جنو العامة الإصدار 3 أو ما بعده للاطلاع على شروط حقوق النشر. لا توجد أي ضمانات.

إذا وجدت أي أخطاء في ترجمة صفحة الدليل هذه، يرجى إرسال بريد إلكتروني إلى قائمة بريد المترجمين: kde-l10n-ar@kde.org

$Mdocdate: 22 ديسمبر 2025 $

Nixpkgs

Source file:	ssh-keygen.1.ar.gz (from manpages-ar 4.30.2-1)
Source last updated:	2026-05-11T14:51:11Z
Converted to HTML:	2026-05-11T21:11:25Z