Voltar para todos os artigos
O Gerador de Chaves SSH de Classe Mundial: Teoria, Prática e Workflows Testados em Batalha

O Gerador de Chaves SSH de Classe Mundial: Teoria, Prática e Workflows Testados em Batalha

Um guia profundo e prático sobre a teoria das chaves SSH e uso no mundo real, além de um passo a passo completo do Gerador de Chaves SSH gsstk: RSA,...

Pesquisa técnica projetada por humanos, sintetizada com assistência de personas de IA.
Athena (AI)
11 min de leitura
Security
Crypto
SSH
DevOps
Developer Tools

TL;DR / Sumário Executivo

Um guia profundo e prático sobre a teoria das chaves SSH e uso no mundo real, além de um passo a passo completo do Gerador de Chaves SSH gsstk: RSA,...

TL;DR (Muito Longo; Não Li)

Este guia explica as chaves SSH da matemática à memória muscular. Em seguida, mostra como usar o Gerador de Chaves SSH gsstk para criar chaves RSA/ECDSA/Ed25519, exportar chaves privadas PKCS8 ou OpenSSH, criptografar chaves privadas (PBKDF2 + AES-GCM), computar fingerprints SHA256/MD5, construir entradas known_hosts e ssh_config, gerar PPK para PuTTY, validar chaves e verificar pares de chaves. Tudo roda localmente no seu navegador.

O SSH é uma daquelas tecnologias tão onipresentes que você pode facilmente esquecer que é uma maravilha criptográfica. Dependemos dele para proteger pushes no Git, servidores de produção, pipelines de dados, CI/CD e frotas inteiras de dispositivos. Mas muitas equipes ainda tratam chaves SSH como blobs misteriosos e cultos de carga de copiar e colar.

Este artigo é um guia completo e longo sobre chaves SSH que você pode compartilhar com sua equipe. Ele cobre a teoria, as trocas (trade-offs) e os workflows do mundo real que você precisa para operar com confiança. E usa o Gerador de Chaves SSH gsstk como a espinha dorsal prática para exemplos práticos.

Se você quer uma ferramenta que seja rápida, segura e prática, você está no lugar certo. Se você quer entender por que a ferramenta funciona, você também está no lugar certo.

1) O modelo mental: o que realmente é uma chave SSH

Um par de chaves SSH consiste em duas chaves relacionadas:

  • Uma chave privada que nunca sai da sua máquina.
  • Uma chave pública que você pode compartilhar com servidores ou serviços (GitHub, GitLab, servidores, provedores de nuvem).

O SSH usa criptografia de chave pública. A ideia básica:

  1. Seu cliente prova que tem a chave privada sem revelá-la.
  2. O servidor compara essa prova com sua chave pública.
  3. Se a prova for válida, o servidor deixa você entrar.

O aperto de mão (muito simplificado)

  • O servidor envia um desafio.
  • O cliente assina o desafio com a chave privada.
  • O servidor verifica a assinatura usando a chave pública.

O servidor nunca precisa da sua chave privada. Ele só precisa da sua chave pública.

2) Algoritmos de chave: RSA vs ECDSA vs Ed25519

Você verá três algoritmos em ambientes SSH:

RSA

  • Mais antigo e mais compatível.
  • Chaves maiores para segurança equivalente.
  • Tamanhos típicos: 2048, 3072, 4096 bits.
  • Ainda aceito em quase todos os lugares.

ECDSA

  • Criptografia de curva elíptica (curvas NIST).
  • Chaves menores, assinatura rápida.
  • Suportado no OpenSSH moderno e na maioria dos ambientes corporativos.

Ed25519

  • Curva moderna projetada para segurança e velocidade.
  • Ótimo desempenho e chaves compactas.
  • Não suportado em sistemas muito antigos.

Regra geral:

  • Se você precisa de compatibilidade máxima, RSA (3072 ou 4096) ainda é seguro.
  • Se você controla o ambiente, Ed25519 é o padrão moderno.
  • ECDSA pode ser um ótimo meio-termo quando o Ed25519 não está disponível.

O Gerador de Chaves SSH gsstk suporta todos os três para que você possa escolher com base no seu ambiente.

3) Formatos de chave privada: PKCS8 vs OpenSSH

Existem dois formatos comuns de chave privada:

  • PKCS8 (PEM): um formato de chave privada amplamente suportado.
  • Formato OpenSSH: um formato mais novo específico do OpenSSH.

A maioria das ferramentas entende PKCS8. O formato OpenSSH é nativo do OpenSSH e frequentemente preferido para workflows modernos.

O Gerador de Chaves SSH gsstk permite exportar qualquer formato e bloqueia o formato automaticamente quando você ativa a criptografia, para que você não crie acidentalmente combinações inválidas.

4) Passphrases e criptografia local

Uma passphrase não é apenas uma senha. É um segundo fator acima da sua chave privada. Se o seu laptop for comprometido, a passphrase ainda pode salvá-lo.

O gerador gsstk pode criptografar a chave privada localmente usando:

  • PBKDF2 com SHA-256 (100.000 iterações)
  • AES-GCM 256-bit

Ele então envolve o payload criptografado em um formato criptografado GSSTK para armazenamento seguro e posterior descriptografia dentro da ferramenta.

Isso torna prático criar chaves privadas criptografadas mesmo para usuários que não querem lidar com ferramentas de CLI.

5) Fingerprints: o checksum para confiança

Fingerprints são hashes curtos que representam sua chave pública. Eles são usados para:

  • Verificar se você copiou a chave certa.
  • Confirmar o fingerprint de uma chave de servidor.
  • Comparar chaves sem escanear blobs longos.

O gerador cria:

  • Fingerprint SHA256 (moderno)
  • Fingerprint MD5 (legado, ainda usado em alguns sistemas mais antigos)

Você pode copiá-los diretamente para auditorias e documentação.

6) known_hosts: o livro-razão de identidade do servidor

O arquivo ~/.ssh/known_hosts é o registro do lado do cliente das chaves do servidor. Ele previne ataques man-in-the-middle avisando quando uma chave de servidor muda.

O gerador pode construir uma entrada known_hosts para você usando:

  • Hostnames (único ou múltiplos)
  • Porta (para portas SSH não padrão)
  • Uma chave pública (gerada ou fornecida)

Isso é crítico para equipes gerenciando acesso SSH a serviços internos ou servidores Git privados.

7) ssh_config: torne seu uso de SSH humano

O arquivo ~/.ssh/config permite definir aliases amigáveis e configurações para que você não precise lembrar comandos longos.

O gerador constrói um bloco ssh_config pronto para copiar, com campos como:

  • Host (alias)
  • HostName (endereço do servidor)
  • User
  • Port
  • IdentityFile
  • AddKeysToAgent
  • IdentitiesOnly

Isso significa que você pode conectar com ssh prod em vez de digitar um comando de 120 caracteres.

8) PPK: PuTTY ainda existe

Equipes Windows e alguns workflows legados ainda usam PuTTY, que depende do formato PPK. Converter chaves à mão é propenso a erros.

O gerador pode construir um arquivo PPK (apenas RSA), e permite baixá-lo diretamente. Ele também inclui o PPK no ZIP bundle se você o tiver gerado.

9) Validação de chave e verificação de par

Dois problemas clássicos:

  1. Você recebeu uma chave de outra pessoa. Ela é válida?
  2. Essas duas chaves realmente correspondem?

A ferramenta resolve ambos:

  • Validação: cole uma chave pública ou privada. Ela detecta o tipo, avisa sobre tamanhos RSA ou uso de SHA1 e computa fingerprints.
  • Verificação de par: cole a chave pública + chave privada e a ferramenta derivará a chave pública da privada e comparará.

Isso é incrivelmente útil em resposta a incidentes, rotação de chaves ou ao depurar falhas de acesso SSH.

O Gerador de Chaves SSH gsstk: o passo a passo completo

Esta seção é o guia prático completo. Se você quiser apenas usar a ferramenta, pode pular a teoria acima e começar aqui.

Passo 1: Escolha seu tipo de chave

Abra o Gerador de Chaves SSH e selecione um de:

  • RSA (com tamanho 2048, 3072, 4096)
  • ECDSA (P-256, P-384, P-521)
  • Ed25519

Orientação:

  • Use RSA 3072 se compatibilidade for necessária.
  • Use Ed25519 se seus sistemas suportarem.

Passo 2: Adicione um comentário

Chaves públicas SSH suportam comentários. Use-os para identificar a origem da chave:

  • alice@laptop
  • deploy@ci-runner-01
  • prod-rotation-2026

Este comentário aparece na chave pública OpenSSH e ajuda durante auditorias.

Passo 3: Escolha o formato da chave privada

  • PKCS8 (PEM) para compatibilidade universal.
  • OpenSSH para uso moderno do OpenSSH.

Se você ativar a criptografia, a ferramenta bloqueia o formato para manter a saída segura e consistente.

Passo 4: Criptografe (opcional, mas recomendado)

Ative Criptografar chave privada e defina uma passphrase (mínimo de 8 caracteres). A ferramenta criará uma chave privada criptografada GSSTK.

Isso é ideal para:

  • Membros da equipe que armazenam chaves em laptops
  • Engenheiros rotacionando chaves em sistemas compartilhados
  • Qualquer workflow que mova chaves entre máquinas

Passo 5: Gere as chaves

Clique em Gerar. A ferramenta criará:

  • Chave privada (PKCS8 ou OpenSSH ou criptografada GSSTK)
  • Chave pública (OpenSSH)
  • Fingerprints (SHA256 e MD5)

Copie ou baixe conforme necessário.

Passo 6: Baixe um bundle

O Bundle ZIP inclui:

  • Chave privada
  • Chave pública
  • known_hosts (se criado)
  • ssh_config (se criado)
  • PPK (se gerado)

Isso é perfeito para onboarding, migrações e entregas seguras.

Passo 7: Gere uma entrada known_hosts

Preencha:

  • Hosts: github.com gitlab.com
  • Porta: 22 ou porta customizada
  • Use a chave pública gerada ou cole outra

A saída será algo como:

text
[github.com]:22 ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAA...

Baixe ou copie para ~/.ssh/known_hosts.

Passo 8: Gere um bloco ssh_config

Forneça:

  • Host: prod
  • HostName: prod.minhaempresa.com
  • User: ubuntu
  • Port: 2222
  • IdentityFile: ~/.ssh/prod_rsa

Saída:

text
Host prod
  HostName prod.minhaempresa.com
  User ubuntu
  Port 2222
  IdentityFile ~/.ssh/prod_rsa
  AddKeysToAgent yes
  IdentitiesOnly yes

Cole isso em ~/.ssh/config e aproveite o acesso instantâneo.

Passo 9: Gere PPK para PuTTY

Se você precisa de compatibilidade com PuTTY:

  • Gere chaves RSA
  • Clique em Gerar PPK
  • Baixe o .ppk

Agora o PuTTY pode usar sua chave sem etapas extras de conversão.

Passo 10: Valide uma chave

Cole uma chave na seção de validação:

  • Se for uma chave pública, a ferramenta detecta o algoritmo, comentário e fingerprints.
  • Se for uma chave privada, a ferramenta valida a estrutura PEM.
  • Se for uma chave criptografada GSSTK, a ferramenta permite descriptografia com uma passphrase.

Isso é extremamente útil em auditorias ou depuração de acesso SSH quebrado.

Passo 11: Verifique um par de chaves

Cole uma chave pública e sua chave privada. A ferramenta deriva a chave pública da privada e confirma se elas correspondem.

Isso reduz o risco de implantar chaves incompatíveis (um erro comum e custoso).

Exemplos práticos que você pode copiar hoje

Exemplo A: Criar uma chave de CI para GitHub

  1. Selecione Ed25519
  2. Comentário: ci@runner-01
  3. Gerar
  4. Copie a chave pública para as GitHub Deploy Keys

Benefícios: handshakes rápidos, tamanho de chave mínimo, trilha de auditoria limpa.

Exemplo B: Sistema legado com RSA

  1. Selecione RSA 4096
  2. Comentário: prod@legacy-server
  3. Use PKCS8
  4. Gerar e baixar

Isso garante compatibilidade sem sacrificar a segurança.

Exemplo C: Entrega segura de equipe

  1. Ative criptografia
  2. Use uma passphrase longa
  3. Baixe o bundle

Agora sua entrega inclui:

  • Chave privada criptografada
  • Chave pública
  • ssh_config
  • known_hosts
  • PPK (se necessário)

Erros comuns (e como evitá-los)

  1. Usar RSA 2048 para chaves de longa vida

    • Prefira RSA 3072 ou 4096 ao usar RSA.

  2. Compartilhar chaves privadas em chat ou tickets

    • Use chaves criptografadas e canais de transferência seguros.

  3. Ignorar avisos de known_hosts

    • Mudanças de chave podem significar um ataque real, não apenas uma atualização benigna.

  4. Pares de chaves incompatíveis

    • Use a seção de verificação da ferramenta para confirmar.

  5. Sem política de rotação de chaves

    • Crie uma cadência e rastreie os donos das chaves via comentários.

Checklist de postura de segurança

Use este checklist com sua equipe:

  • Chaves usam Ed25519 ou RSA 3072+.
  • Chaves privadas são criptografadas.
  • Comentários identificam o dono da chave e propósito.
  • known_hosts é curado e validado.
  • ssh_config usa IdentityFile e IdentitiesOnly.
  • Chaves antigas são rotacionadas e removidas.

Por que esta ferramenta é de classe mundial

Uma ferramenta não é de classe mundial porque tem uma UI brilhante. Ela se torna de classe mundial quando reduz o risco, remove a ambiguidade e acelera os workflows corretos.

O Gerador de Chaves SSH gsstk faz isso combinando:

  • Geração multi-algoritmo
  • Criptografia segura
  • Validação de fingerprint
  • Geração de known_hosts e ssh_config
  • Conversão PPK
  • Verificação de par
  • Empacotamento ZIP para entregas no mundo real

Este não é um gerador de brinquedo. É um kit de ferramentas completo de workflow SSH.

Pensamento final

O SSH é a espinha dorsal oculta da engenharia moderna. Quando você o trata como um sistema de primeira classe, você elimina lacunas de segurança e caos operacional.

Se sua equipe usa SSH todos os dias (e usa), então ter um gerador e workflow de classe mundial não é um luxo. É o básico.

Use este guia como sua referência interna, compartilhe com sua equipe e torne o SSH entediante novamente.

Se você quiser mais mergulhos profundos como este, confira o resto do blog gsstk e explore a suíte completa de ferramentas.

Receba novos artigos

Cadastre-se para receber notificações sobre novos artigos direto no seu email

Não enviaremos spam. Você pode cancelar a inscrição a qualquer momento.