SSH公钥格式校验：多算法支持与健壮正则表达式实践

本文深入探讨ssh公钥的格式校验，强调支持多种密钥算法（如ed25519、rsa、ecdsa等）的重要性。文章详细解析了ssh公钥的结构，并提供了一个功能全面的正则表达式，用于验证公钥的算法类型、base64编码主体及可选注释。同时，本文还涵盖了如何在php等环境中正确应用此正则表达式，并提出了进一步的安全性考虑。

1. SSH公钥结构概述

SSH公钥是用于身份验证的关键组成部分，其基本结构通常遵循以下模式：

[算法类型] [Base64编码的密钥数据] [可选注释]

例如：

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC... user@example.com

其中：

• 算法类型 (Algorithm Type)：指定密钥使用的加密算法，如 ssh-rsa、ssh-ed25519 等。
• Base64编码的密钥数据 (Base64 Encoded Key Data)：密钥的实际内容，经过Base64编码，通常以 AAAA 开头。
• 可选注释 (Optional Comment)：通常包含生成密钥的用户和主机信息，例如 user@example.com，这部分是可选的。

2. 支持的SSH密钥算法

在SSH密钥的实践中，推荐支持多种密钥算法，而非仅限于旧的RSA算法。目前，一些常见的、被广泛支持和推荐的算法包括：

飞书多维表格

表格形态的AI工作流搭建工具，支持批量化的AI创作与分析任务，接入DeepSeek R1满血版

26

查看详情

• ed25519: 一种现代、高效且安全的椭圆曲线算法。
• rsa: 传统的RSA算法，虽然仍在使用，但其安全性已不如新型算法推荐。
• ecdsa: 椭圆曲线数字签名算法，提供多种密钥长度选择。
• dss: 数字签名标准，通常与DSA算法相关联，目前较少使用。

您可以通过在终端运行 ssh -Q key 命令来查看您的SSH客户端当前支持的密钥算法列表。为了确保兼容性和安全性，在进行公钥校验时，应考虑支持这些主流算法。

3. 构建健壮的SSH公钥正则表达式

为了有效验证SSH公钥的格式，我们需要构建一个能够识别上述结构并兼容多种算法的正则表达式。在PHP等语言中使用正则表达式时，需要注意选择合适的定界符，以避免与正则表达式内部字符（如 /）冲突。

以下是一个推荐的、功能健壮的SSH公钥校验正则表达式：

/^ssh-(ed25519|rsa|dss|ecdsa) AAAA(?:[A-Za-z0-9+\/]{4})*(?:[A-Za-z0-9+\/]{2}==|[A-Za-z0-9+\/]{3}=|[A-Za-z0-9+\/]{4})( [^@]+@[^@]+)?$/

让我们分解这个正则表达式的各个部分：

1. ^: 匹配字符串的开始。
2. ssh-(ed25519|rsa|dss|ecdsa):
   • ssh-: 匹配固定的前缀。
   • (ed25519|rsa|dss|ecdsa): 匹配括号中列出的任一密钥算法类型。这是一个捕获组，可以提取算法类型。
3. ` `: 匹配算法类型后的一个空格。
4. AAAA: 匹配Base64编码密钥数据开头的固定前缀。值得注意的是，这个 AAAA 前缀实际上是密钥算法名称本身的Base64编码表示的一部分。例如，echo "AAAAC3NzaC1lZDI1NTE5AAAA" | base64 --decode 会输出 ssh-ed25519。
5. (?:[A-Za-z0-9+\/]{4})*(?:[A-Za-z0-9+\/]{2}==|[A-Za-z0-9+\/]{3}=|[A-Za-z0-9+\/]{4}):
   • 这是匹配Base64编码密钥主体的核心部分。
   • [A-Za-z0-9+\/]：匹配Base64字符集中的任意字符。
   • {4}：匹配四个Base64字符。
   • (?:...)*：非捕获组，匹配零个或多个四字符块。
   • (?:[A-Za-z0-9+\/]{2}==|[A-Za-z0-9+\/]{3}=|[A-Za-z0-9+\/]{4})：处理Base64编码末尾的填充字符 =。Base64编码的数据长度必须是4的倍数，不足时会用1个或2个 = 填充。此部分精确匹配了没有填充、一个 = 填充或两个 = 填充的Base64字符串结尾。
6. ( [^@]+@[^@]+)?:
   • ` `: 匹配可选注释前的空格。
   • [^@]+@[^@]+: 匹配典型的 user@host 格式的注释。
   • ?: 表示整个注释部分是可选的（匹配零次或一次）。
7. $: 匹配字符串的结束。

4. 示例代码与使用

在PHP中，由于正则表达式中包含 / 字符，为了避免与 preg_match 函数的默认定界符 / 冲突，我们通常会选择其他字符作为定界符，例如 # 或 ~。

<?php

function validateSshPublicKey(string $publicKey): bool
{
    // 使用 # 作为定界符，避免与正则表达式内部的 / 冲突
    $pattern = '#^ssh-(ed25519|rsa|dss|ecdsa) AAAA(?:[A-Za-z0-9+\/]{4})*(?:[A-Za-z0-9+\/]{2}==|[A-Za-z0-9+\/]{3}=|[A-Za-z0-9+\/]{4})( [^@]+@[^@]+)?$#';

    return (bool) preg_match($pattern, $publicKey);
}

// 示例公钥
$validKey1 = 'ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC... user@example.com';
$validKey2 = 'ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIC...'; // 没有注释的ed25519密钥
$invalidKey1 = 'ssh-rsa AAAAinvalidkey'; // Base64格式错误
$invalidKey2 = 'invalid-algo AAAAB3NzaC1yc2EAAAADAQABAAABAQC...'; // 算法类型错误
$invalidKey3 = 'ssh-rsa AAAAthis/is/a/test=='; // 假设这是一个有效的Base64编码，但缺少完整的结构

echo "Valid Key 1: " . (validateSshPublicKey($validKey1) ? 'Valid' : 'Invalid') . "\n";
echo "Valid Key 2: " . (validateSshPublicKey($validKey2) ? 'Valid' : 'Invalid') . "\n";
echo "Invalid Key 1: " . (validateSshPublicKey($invalidKey1) ? 'Valid' : 'Invalid') . "\n";
echo "Invalid Key 2: " . (validateSshPublicKey($invalidKey2) ? 'Valid' : 'Invalid') . "\n";
echo "Invalid Key 3: " . (validateSshPublicKey($invalidKey3) ? 'Valid' : 'Invalid') . "\n";

?>

5. 进一步的验证与注意事项

1. 算法一致性检查 (Paranoid Check)： 如前所述，Base64编码密钥数据中的 AAAA 前缀实际上包含了算法的Base64编码。如果您需要更严格的校验，可以解析公钥字符串，提取算法类型（例如 `ssh-ed25519

以上就是SSH公钥格式校验：多算法支持与健壮正则表达式实践的详细内容，更多请关注php中文网其它相关文章！