SSH鍵フィンガープリント表示｜公開鍵のSHA-256/MD5を確認

OpenSSH形式の公開鍵を貼り付けると、SHA-256とMD5のフィンガープリント、鍵タイプ、ビット長、コメントを表示します。サーバーやGitHubに登録した鍵が手元の鍵と一致するかを、コマンドを叩かずに照合できます。

💡 このツールについて

新しいサーバーに初めて接続するとき、ターミナルに「The authenticity of host ... can't be established」と表示され、ED25519 key fingerprint is SHA256:... の一文が出ます。このときに表示される文字列が、本ツールが計算するSHA-256フィンガープリントです。手元の公開鍵から同じ文字列が出れば、接続先が正しいサーバーである確認になります。

GitHubやGitLab、各種サーバーに鍵を登録した後、「登録した鍵が本当に自分の手元の鍵か」を確かめたい場面でも使えます。ssh-keygen -lf を覚えていなくても、.pub ファイルの中身を貼り付けるだけでフィンガープリントが出ます。MD5形式（xx:xx:... のコロン区切り16進）は古い表示形式ですが、いまも一部の管理画面やログに残っているため、両方を並べて見られるようにしています。

貼り付けた鍵はブラウザの中だけで解析され、サーバーには送信されません。フィンガープリントの計算はすべてお使いの端末上で行われます。

🧐 よくある質問

Q. 秘密鍵を貼り付けても大丈夫ですか？ 公開鍵（ssh-ed25519 AAAA... や ssh-rsa AAAA... で始まる1行）を貼り付けてください。秘密鍵（-----BEGIN OPENSSH PRIVATE KEY----- で始まるもの）は対象外です。フィンガープリントは公開鍵から計算されるため、秘密鍵を貼る必要はありません。

Q. SHA-256とMD5のどちらを見ればいいですか？ 現在のOpenSSHは既定でSHA-256（SHA256: で始まるBase64文字列）を表示します。MD5（コロン区切りの16進32桁）は古い形式で、レガシーなツールや過去のドキュメントとの照合用です。新しく照合するならSHA-256を使ってください。

Q. 対応している鍵タイプは？ RSA、Ed25519、Ed448、ECDSA（P-256 / P-384 / P-521）、DSA、およびFIDO系のEd25519-SK・ECDSA-SKに対応しています。ビット長はRSAでは鍵本体から、楕円曲線系では曲線から判定します。

Q. ssh-keygen -lf の結果と一致しますか？ 一致します。SHA-256はWeb標準の暗号APIで計算し、ssh-keygen と同じBase64形式（末尾パディングなし）で表示します。MD5も ssh-keygen -E md5 と同じコロン区切り形式です。

📚 フィンガープリントが指紋と呼ばれる理由

フィンガープリントは公開鍵全体（数百〜数千ビット）を、短い固定長の文字列に圧縮したものです。鍵そのものを毎回見比べるのは現実的でないため、ハッシュ関数で「指紋」を作り、その一致だけを確認します。SSHが長年MD5を使っていたのは、鍵の照合という用途では短さと判読性が重視されていたためです。OpenSSH 6.8からは既定がSHA-256に切り替わり、より長い44文字前後のBase64文字列で表示されるようになりました。指紋が一致しても鍵の中身を復元できるわけではない、という一方向性がこの仕組みの肝です。