ED25519 für SSH nutzen – warum der Schlüsseltyp sinnvoll ist und warum eine Passphrase gesetzt sein sollte

Wer SSH-Keys neu anlegt, landet heute schnell bei ED25519. Das ist auch sinnvoll, denn der Schlüsseltyp ist modern, schnell und im Alltag meist die bessere Wahl als alte RSA-Standardkonfigurationen. Noch wichtiger ist aber ein zweiter Punkt: Der private Schlüssel sollte nicht ungeschützt auf der Festplatte liegen. Genau hier kommt die Passphrase ins Spiel.

In diesem Artikel schauen wir uns an, warum ED25519 empfehlenswert ist, warum eine Passphrase gesetzt sein sollte und wie man sie auch nachträglich hinzufügen oder ändern kann.

Wenn du den generellen Ablauf mit Schlüsselpaaren erst einmal grundsätzlich aufsetzen willst, passt dazu auch der Beitrag Login via SSH Key.

• Was ist ED25519?
• Warum man ED25519 verwenden sollte
• 1. Moderne und sichere Standardwahl
• 2. Kürzere Schlüssel, gute Sicherheit
• 3. Schnellere Operationen
• 4. Weniger Konfigurationsaufwand
• 5. Gute Wahl für neue Setups
• Warum eine Passphrase sinnvoll ist
• Warum die Passphrase gesetzt sein sollte
• ED25519-Schluessel direkt mit Passphrase erzeugen
• Passphrase nachträglich setzen oder ändern
• Was nach dem Setzen der Passphrase zu beachten ist
• Wann man ausnahmsweise keine Passphrase setzen würde
• ED25519 auf den Server übertragen
• Fazit

Was ist ED25519?

ED25519 ist ein modernes Public-Key-Verfahren auf Basis elliptischer Kurven. Im SSH-Kontext wird es verwendet, um ein Schlüsselpaar aus privatem und öffentlichem Schlüssel zu erzeugen.

• Der private Schlüssel bleibt auf deinem System.
• Der öffentliche Schlüssel kommt auf den Server, meist nach ~/.ssh/authorized_keys.

SSH nutzt dieses Schlüsselpaar, damit du dich ohne klassisches Benutzerpasswort anmelden kannst.

Warum man ED25519 verwenden sollte

ED25519 hat gegenüber älteren Verfahren mehrere praktische Vorteile:

1. Moderne und sichere Standardwahl

ED25519 gilt heute als zeitgemäßer Standard für SSH-Schlüssel. Das Verfahren ist für den praktischen Einsatz gut untersucht und vermeidet einige typische Stolperfallen älterer Verfahren, etwa schlecht gewählte Schlüssellängen.

2. Kürzere Schlüssel, gute Sicherheit

Im Vergleich zu RSA sind ED25519-Schlüssel deutlich kompakter. Das macht die Handhabung einfacher, ohne dass man im Alltag auf ein gutes Sicherheitsniveau verzichten muss.

3. Schnellere Operationen

ED25519 ist beim Erzeugen und Verwenden der Schlüssel in der Regel schneller als RSA. Das fällt auf modernen Systemen nicht immer massiv auf, ist aber technisch trotzdem ein Vorteil.

4. Weniger Konfigurationsaufwand

Bei RSA steht oft direkt die nächste Frage im Raum: 2048 Bit, 3072 Bit oder 4096 Bit? Bei ED25519 entfällt diese Unsicherheit. Der Algorithmus bringt sinnvolle Standardwerte bereits mit.

5. Gute Wahl für neue Setups

Wenn du heute einen neuen SSH-Key fuer Admin-Zugriffe, Server-Logins oder Git-Zugriffe erstellst, ist ED25519 normalerweise die beste erste Wahl.

Warum eine Passphrase sinnvoll ist

Viele erzeugen einen SSH-Key ohne Passphrase, weil der Login dann besonders bequem ist. Das funktioniert, ist aber nicht die beste Idee.

Die Passphrase schützt deinen privaten Schlüssel zusätzlich. Das ist wichtig, falls:

• dein Laptop verloren geht
• dein Benutzerkonto kompromittiert wird
• jemand Zugriff auf dein Backup bekommt
• der private Schlüssel versehentlich kopiert oder exfiltriert wird

Ohne Passphrase ist ein gestohlener privater Schlüssel sofort einsatzfähig. Mit Passphrase reicht der Dateizugriff allein nicht mehr aus. Ein Angreifer braucht dann zusätzlich noch das richtige Kennwort.

Praktisch ist das dieselbe Idee wie bei verschlüsselten Passwortdatenbanken oder einem geschützten Zertifikat: Der Besitz der Datei allein soll nicht genügen.

Warum die Passphrase gesetzt sein sollte

Gerade bei SSH-Keys wird oft argumentiert, dass ein starkes Linux-Passwort oder die Dateiberechtigung 600 bereits genug seien. Das ist zu kurz gedacht.

Dateirechte schützen nur innerhalb eines funktionierenden Systems. Sobald der private Schlüssel kopiert wurde, greifen diese Rechte nicht mehr. Die Passphrase schützt dagegen direkt den Schlüssel selbst.

Das ist besonders sinnvoll, wenn du:

• denselben Laptop auch mobil nutzt
• Backups in der Cloud oder auf externen Datenträgern hast
• mehrere Systeme administrierst
• den Key auch für Git-Hosting oder sensible Infrastruktur verwendest

Kurz gesagt: Die Passphrase ist die zweite Schutzschicht für den wichtigsten Teil deiner SSH-Anmeldung.

ED25519-Schluessel direkt mit Passphrase erzeugen

Ein neuer ED25519-Key ist schnell erstellt:

1

ssh-keygen -t ed25519 -a 100 -C "user@hostname"

Die Parameter bedeuten:

• -t ed25519 wählt den Schlüsseltyp
• -a 100 erschwert das Durchprobieren der Passphrase
• -C “user@hostname” setzt einen Kommentar zur besseren Zuordnung

Danach fragt ssh-keygen nach Speicherort und Passphrase.

Typisch ist der Standardpfad:

1

~/.ssh/id_ed25519

Den öffentlichen Schlüssel findest du anschließend unter:

1

~/.ssh/id_ed25519.pub

Passphrase nachträglich setzen oder ändern

Falls dein Schlüssel bereits existiert und noch keine Passphrase hat, kannst du das nachträglich korrigieren. Dasselbe gilt, wenn du eine bestehende Passphrase ändern willst.

Der passende Befehl lautet:

1

ssh-keygen -p -f ~/.ssh/id_ed25519

Die Parameter bedeuten hier:

• -p steht für Passphrase ändern
• -f gibt die Schlüsseldatei an

Wenn bisher keine Passphrase gesetzt war, fragt SSH zuerst nach der alten Passphrase. Diese Eingabe bleibt dann einfach leer und wird mit Enter bestätigt. Danach kannst du die neue Passphrase setzen.

Beispielhafter Ablauf:

1
2
3
4
5

Enter old passphrase:
Key has comment 'user@hostname'
Enter new passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved with the new passphrase.

Was nach dem Setzen der Passphrase zu beachten ist

Ab diesem Moment musst du die Passphrase eingeben, wenn du den privaten Schlüssel verwendest. Damit das nicht bei jeder Verbindung nervt, solltest du einen SSH-Agent nutzen.

Unter Linux läuft oft bereits ein Agent im Hintergrund. Den Key kannst du dann mit folgendem Befehl laden:

1

ssh-add ~/.ssh/id_ed25519

Danach gibst du die Passphrase in der Regel nur einmal pro Sitzung ein.

Falls du dir den Verbindungsaufbau insgesamt vereinfachen willst, kannst du das gut mit einer SSH-Config kombinieren. Der passende Einstieg dazu ist der Artikel schneller SSH Login.

Wann man ausnahmsweise keine Passphrase setzen würde

Es gibt Fälle, in denen eine Passphrase unpraktisch sein kann, etwa bei vollautomatischen Deployments, Containern oder technischen Service-Accounts ohne Benutzerinteraktion.

Dann sollte man aber nicht einfach seinen normalen Admin-Key ohne Passphrase verwenden. Besser ist:

• ein eigener Key nur für diesen Zweck
• möglichst eingeschränkte Berechtigungen
• klare Trennung zwischen Benutzer-Login und Automatisierung

Das Ziel ist also nicht, auf Schutz zu verzichten, sondern das Risiko sauber zu begrenzen.

ED25519 auf den Server übertragen

Wenn der Schlüssel erstellt ist, kannst du den öffentlichen Teil wie gewohnt auf den Server kopieren:

1

ssh-copy-id -i ~/.ssh/id_ed25519.pub user@server

Der grundsätzliche Ablauf für das Hinterlegen eines Schlüssels auf dem Zielsystem wird auch im Beitrag Login via SSH Key beschrieben, dort allerdings noch mit RSA als Beispiel.

Danach erfolgt der Login mit:

1

ssh user@server

Fazit

ED25519 ist für neue SSH-Keys meist die richtige Wahl: modern, kompakt, schnell und ohne unnötige Konfigurationsfragen. Wer den privaten Schlüssel ernsthaft schützen will, sollte zusätzlich immer eine Passphrase setzen.

Der entscheidende Punkt ist einfach: Ohne Passphrase ist ein kopierter privater Schlüssel oft sofort nutzbar. Mit Passphrase entsteht eine wichtige zweite Schutzschicht. Und falls der Key bereits existiert, lässt sich das mit ssh-keygen -p problemlos nachträglich nachrüsten.