楕円曲線暗号の一種であるED25519のキーペアを作成できるようになりました
こんにちは、岩城です。
キーペア作成時に指定するタイプは、これまでRSAのみでしたが今回アップデートにより、ED25519を選択できるようになりました。
ED25519の具体的な内容には触れませんが、RSAと同程度の安全性であり、RSAよりも鍵長が短く高速に処理できパフォーマンスが良いとされています。
今後はED25519のキーペア作成だけで良さそうに思ってしまうかも知れませんが、すべてに利用できるものではないのでポイントを以下にまとめます。
- Windowsインスタンス、EC2 Instance Connect、またはEC2シリアルコンソールではサポートされない
- 秘密鍵形式はデフォルトでpemとなり、ppkは選択できない
以下より、ED25519のキーペア登場でどのように変わったのか試してみたいと思います。
やってみた
キーペアの作成
キーペアのタイプにED25519が追加されていました。
ED25519を選択するとプライベートキーファイル形式の選択項目は非表示になります。つまり、pem形式でしか作成できません。
コンソールからみたキーペアのリストですが、タイプ列が増えていました。(間違ってたらすみません)
EC2インスタンス起動時のキーペアの作成
試しにAmazon Linux 2のAMIを選択して、最後にキーペアを作成してみると、ED25519を選択できるようになっていました。
また、既存のキーペアを選択する場合、キーペア名とキーペアタイプの組み合わせで表示されていました。
ちなみに、対応していないWindowsインスタンスでED25519を選択するとエラーが出力されました。
AWS外で作成した公開鍵をキーペアにインポート
RSAと変わらずssh-keygenコマンドで作成したED25519の公開鍵をインポート可能です。
ssh-keygen -t ed25519
手順はRSAと変わりませんでしたので割愛しますが、問題なくインポートできました。
既に起動しているEC2インスタンスで利用している公開鍵を入れ替える
ED25519の公開鍵だからといってRSAの時と手順が変わるわけではありません。
/home/ec2-user/.ssh/authorized_keysの内容を先ほど作成した公開鍵の内容に書き換えるだけです。
おわりに
これからキーペアを作成する際にED25519を選択できる場合は、ED25519で作成しようと思います。
ですが、キーペアを作成せずに済むに越したことはありませんので、Session Managerの利用を検討してみてください。
IAMを使えますし、鍵管理不要、操作ログも取れます。
本エントリがどなたかのお役に立てれば幸いです。
