একজন কি অন্যের চেয়ে বেশি সুরক্ষিত?
Id_rsa.pub এবং id_dsa.pub এর মধ্যে পার্থক্য কী?
উত্তর:
id_rsa.pubএবং id_dsa.pubসরকারী চাবি রয়েছে id_rsaএবং id_dsa।
আপনি সম্পর্ক জিজ্ঞাসা করা হয় তাহলে SSH, id_rsaএকটি হল আরএসএ কী, যেহেতু এবং SSH প্রোটোকল 1 বা 2 ব্যবহার করা যেতে পারে id_dsaএকটি হল জেলাকে কী এবং শুধুমাত্র 2., SSH প্রোটোকল ব্যবহার করা যেতে পারে উভয় অত্যন্ত নিরাপদ, কিন্তু জেলাকে হবে বলে মনে হচ্ছে না এই দিনটির মান (আপনার সমস্ত ক্লায়েন্ট / সার্ভারগুলি এসএসএইচ 2 সমর্থন করে)।
আপডেট: যেহেতু এটি লেখা হয়েছিল ডিএসএকে নিরাপত্তাহীন বলে দেখানো হয়েছে। নীচের উত্তরে আরও তথ্য উপলব্ধ।
আমি অবশ্যই এই সাথে একমত না। আজ (এবং যদিও এটি কিছুটা কম পরিমাণে, ২০১০ সালেও এটি পোস্ট করা হয়েছিল), 1024 বিট (ডিএসএর কাছে উপলব্ধ বৃহত্তম কী আকার) খুব দুর্বল হিসাবে বিবেচিত হয়। অতএব, আরএসএই আরও ভাল বিকল্প। এসএসএইচ ভি 1 হিসাবে: আমি এই সুরক্ষিতটিকে দশ বছর আগে বিবেচনা করি নি।
—
অ্যাডাম কাটজ
@ অ্যাডামক্যাটজ ডিএসএ ২০০৯ সাল থেকে 2048-বিট এবং 3072-বিট কী সমর্থন করেছে ( FIPS 186-3 অনুসারে )। বেশিরভাগ এসএসএইচ ক্লায়েন্ট / সার্ভারগুলি ওপেনএসএইচএচ এবং পুটিটি সহ বৃহত্তর ডিএসএ কী সমর্থন করে। বেশিরভাগ কী জেনারেটর বৃহত্তর ডিএসএ কীগুলিকে সমর্থন করে তবে ওপেনএসএইচএইচ-এর এস-এস-কিজেন এখনও (এসএসএস এবং এসএসডি উভয়ই করে না) করে না। লিনাক্সের জন্য, আপনি এই ব্লগ পোস্টে বর্ণিত হিসাবে ওপেনএসএসএল ব্যবহার করে বৃহত্তর ডিএসএ কী উত্পন্ন করতে পারবেন ।
—
মাইক পেলি
মজাদার! আমি এটি জানতাম না এবং এটি অবশ্যই দুজনের মধ্যে মাঠকে সমান করতে সহায়তা করে (যদিও ওপেনএসএসএইচ সমর্থনের অভাবটি বেশ ক্ষতিকারক)। তবুও, আমি এটি বলব না যে ডিএসএ হ'ল স্ট্যান্ডার্ড (হয় এখন বা ২০১০ সালে), আরএসএ একেবারে (এবং আমরা এড 25519 এর মতো উপবৃত্তাকার বক্র সিস্টেমগুলিতে রূপান্তর করছি)।
—
আদম কাটজ
, SSH ব্যবহার সর্বজনীন / ব্যক্তিগত কী জোড়া , তাই
id_rsaআপনার হয় আরএসএ ব্যক্তিগত কী (মৌলিক সংখ্যার উপর ভিত্তি করে), যা অধিক নিরাপদ আপনার চেয়ে id_dsa জেলাকে ব্যক্তিগত কী (বহিঃপ্রকাশ উপর ভিত্তি করে)। আপনার ব্যক্তিগত কীগুলি সুরক্ষিত রাখুন এবং আপনার id_rsa.pubএবং id_dsa.pubসর্বজনীন কীগুলি ব্যাপকভাবে ভাগ করুন ।
ডিএসএ নিরাপত্তাহীন
ডিএসএর একটি অনুমানযোগ্য প্যারামিটার রয়েছে যদি আপনার কম্পিউটারের এলোমেলো নম্বর জেনারেটর সাব পার হয়, যা আপনার গোপন কীটি প্রকাশ করবে। ইসিডিএসএ (ডিএসএর উপবৃত্তাকার বক্ররেখা আপগ্রেড) একইভাবে দুর্বল । এমনকি ভাল এলোমেলো সংখ্যার সাথেও ডিএসএর অন্যান্য শক্তির উদ্বেগ রয়েছে
(এগুলি ডিফি-হেলম্যানেও পাওয়া যায় )।
ওপেনএসএইচটি অনিরাপদ 1024 বিট কী ( ওয়ার্কআরাউন্ড ) তৈরি করে এবং এখন ডিএসএএ ডিফল্টরূপে অক্ষম করে ।
সম্ভব হলে এড 25519 ব্যবহার করুন
উপবৃত্তাকার কার্ভ ক্রিপ্টোগ্রাফি ছোট কী আকারের সাথে জটিলতা বাড়ায়। এড 25519 ( প্লেন-মডেলিং উপবৃত্তাকার কার্ভগুলির জটিলতার উপর ভিত্তি করে ) হস্তক্ষেপের অনুমানের অভাবের কারণে পছন্দসই বাস্তবায়ন (ফাঁস হওয়া নথিগুলি দেখায় যে মার্কিন এনএসএ ক্রিপ্টো মানকে দুর্বল করে )।
দুর্ভাগ্যক্রমে, এড 25519 এর পরিবর্তে এখনও নতুন, ওপেনএসএসএইচ 6.5 বা জেনুপিজি 2.1 প্রয়োজন ( সম্পূর্ণ তালিকা দেখুন )।
এডি 25519 অনুপলব্ধ থাকে তখন 4096 বিট সহ আরএসএ ব্যবহার করুন
4096 বিটের আরএসএ কী আকারের এডি 25519 এর সাথে তুলনীয় জটিলতা থাকা উচিত।
আরএসএ-তে ডিএসএর মতো একই শক্তির উদ্বেগের ঝুঁকির মধ্যে পড়তে পারে এমন উদ্বেগের কারণে এখনও এড 25519 আরএসএকে অগ্রাধিকার দেওয়া হয়েছে, যদিও আরএসএতে এই শোষণটি প্রয়োগ করা যথেষ্ট কঠিন বলে আশা করা হচ্ছে।
কেবলমাত্র একটি সংশোধন: ডিএসএ 2009-এর পরে 2048-বিট এবং 3072-বিট কীগুলিকে সমর্থন করেছে ( FIPS 186-3 অনুসারে )। উপরে আমার মন্তব্যে আরও তথ্য।
—
মাইক পেলে
ইনফোসেক এসই এর এই প্রশ্নের একটি দুর্দান্ত উত্তর রয়েছে যা আরও গভীরতায় যায়। এটি একটি ব্ল্যাক হ্যাট ২০১৩ টকের উদ্ধৃতি দিয়েছে যা প্রস্তাব দেয় যে ডিএসএ আর নিরাপদ নয় এমনকি বৃহত্তর কী আকারেও।
—
অ্যাডাম কাটজ
ডিএসএ-র সমস্যাগুলি সম্পর্কে আরও বিস্তৃত হওয়ার জন্য আমি এই উত্তরটি আপডেট করেছি। এটি এখন (সমানভাবে বৈধ) ইনফোসেক এসই উত্তরের চেয়ে আরও বিশদ। আপনি কয়েকটি লিংকের উপর দিয়ে যখন আপনার মাউসকে ঘোরাবেন তখন আরও বিশদ রয়েছে।
—
অ্যাডাম কাটজ
এই পোস্টে আমাকে এত কিছু শিখিয়েছে, আরও অনেক বেশি উন্নতির দরকার আছে।
—
liljoshu
আরএসএ আরও সুরক্ষিত হিসাবে বিবেচিত হয়।
আর না (মে 2020, দশ বছর পর), সঙ্গে OpenSSH- র 8.2 , যেমন রিপোর্ট দ্বারা জুলিও
ভবিষ্যত অবমূল্যায়নের বিজ্ঞপ্তি
SHA-1 হ্যাশ অ্যালগরিদমের বিরুদ্ধে মার্কিন ডলার $ 50K এর চেয়ে কম দামের জন্য বেছে নেওয়া-উপসর্গ আক্রমণ করা এখন 1 টি সম্ভব ।
এই কারণে, আমরা "ssh-rsa" সর্বজনীন কী স্বাক্ষর অ্যালগরিদম অক্ষম করব যা নিকট ভবিষ্যতের প্রকাশে ডিফল্টরূপে SHA-1 এর উপর নির্ভর করে ।
(দেখুন " SHA-1 একটি শাম্বলস: SHA-1 এ প্রথম নির্বাচিত-উপসর্গের সংঘাত এবং পিজিপি ওয়েব অফ ট্রাস্টের কাছে আবেদন " লরেন্ট, জি এবং পিয়ারিন, টি (2020))
মূল এসএসএইচ আরএফসি দ্বারা বর্ণিত একমাত্র জনসাধারণের কী স্বাক্ষর অ্যালগরিদম হিসাবে দুর্ভাগ্যক্রমে এই অ্যালগরিদম আরও ভাল বিকল্পের অস্তিত্ব থাকা সত্ত্বেও ব্যাপকভাবে ব্যবহৃত হয়।
আরও ভাল বিকল্পের মধ্যে রয়েছে:
আরএফসি 8332 আরএসএ SHA-2 স্বাক্ষর অ্যালগরিদম আরএসএ-শ 2-256 / 512।
এই অ্যালগরিদমগুলিতে "ssh-rsa" হিসাবে একই কী প্রকারের ব্যবহারের সুবিধা রয়েছে তবে নিরাপদ SHA-2 হ্যাশ অ্যালগরিদম ব্যবহার করুন।
এগুলি ওপেনএসএসএইচ 7.2-এর পরে সমর্থিত হয়েছে এবং ক্লায়েন্ট এবং সার্ভার তাদের সমর্থন করলে ডিফল্টরূপে ইতিমধ্যে ব্যবহৃত হয়।Ssh-ed25519 স্বাক্ষর অ্যালগরিদম।
এটি ওপেনএসএসএইচে 6.5 মুক্তির পরে সমর্থনযোগ্য।আরএফসি 5656 ইসিডিএসএ আলগোরিদিম: ecdsa-sha2-nistp256 / 384/521।
এগুলি মুক্তির 5.7 সাল থেকে ওপেনএসএসএইচ দ্বারা সমর্থিত।কোনও সার্ভার হোস্ট প্রমাণীকরণের জন্য দুর্বল ssh-rsa সর্বজনীন কী অ্যালগরিদম ব্যবহার করছে কিনা তা যাচাই করতে,
ssh-rsassh (1) এর অনুমোদিত তালিকা থেকে অ্যালগরিদম অপসারণের পরে এটির সাথে সংযোগ স্থাপনের চেষ্টা করুন :ssh -oHostKeyAlgorithms=-ssh-rsa user@hostহোস্ট কী যাচাইকরণ ব্যর্থ হয় এবং অন্য কোনও সমর্থিত হোস্ট কী ধরণের উপলভ্য না থাকলে সেই হোস্টের সার্ভার সফ্টওয়্যার আপগ্রেড করা উচিত।
ভবিষ্যতে ওপেনএসএইচ-এর মুক্তির
UpdateHostKeysফলে ক্লায়েন্টটি স্বয়ংক্রিয়ভাবে আরও ভাল অ্যালগরিদমে মাইগ্রেট করতে দেয়।
ব্যবহারকারীরা নিজেই এই বিকল্পটি সক্ষম করার কথা বিবেচনা করতে পারেন ।
হ্যাঁ, আরএসএকে আরও সুরক্ষিত মনে করা হয়।
অক্টোবর 2014 এ, ওপেনএসএইচ 7 (উবুন্টু 16.04LTS সহ ডিফল্ট) ডিএসএর জন্য ডিফল্ট সমর্থন অক্ষম করেছে। এটিকে দৃ sign় লক্ষণ হিসাবে গ্রহণ করুন যে ডিএসএ কোনও প্রস্তাবিত পদ্ধতি নয়।
https://www.gentoo.org/support/news-items/2015-08-13-openssh-weak-keys.html
ধরে নিই যে আপনি কেবল ডিফল্ট নামগুলি ব্যবহার করছেন (যা যৌক্তিকভাবে এটির মতো দেখাচ্ছে), থিয়েটার এটিকে একেবারে মাথার উপরে আঘাত করেছে।
—
ডেভিড লাররাবি
আপনি প্রশ্নের আসল অংশটির উত্তর দেননি: যা আরও সুরক্ষিত। ডাউনটিভোটিং যেহেতু এটি ছিল শীর্ষতম উত্তর। হওয়ার দরকার নেই।
—
akauppi