A "Exportar chave OpenSSH" do Windows PuTTYgen faz criptografar a chave com 3DES-CBC. Se a senha não estiver vazia, o arquivo de saída diz:
-----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,157A04D5AE43F45B NiGUXnTOhATzg4dGvyXs8rzetF7KpplJJIKrZvQunXuVcZhVS+NTpnTgwJb+zOCm ...
Eu testei isso em várias versões nos últimos 4 anos. Se a frase secreta estiver vazia, eu até recebo uma mensagem "Tem certeza?" pronto.
O Linux puttygen
também usa sempre a mesma frase secreta ao converter.
Para RSA & Chaves DSA, o OpenSSH usa o mesmo formato de chave "bruta" do OpenSSL. Portanto, se o 3DES-CBC não for suficiente, você poderá usar a ferramenta de linha de comando openssl
para criptografá-los novamente:
openssl rsa -aes-128-cbc < old.key > new.key
No Unix, é claro, o ssh-keygen
do OpenSSH é melhor:
ssh-keygen -p -f old.key