ওপেনএসএইচ: কী-ভিত্তিক অনুমোদন, সর্বোচ্চ কী দৈর্ঘ্য

আমি আমার কয়েকটি সার্ভার অ্যাক্সেস করার জন্য কী-ভিত্তিক প্রমাণীকরণ সহ উইন্ডোতে পুট্টি ব্যবহার করছি।

এটি 00 3700-বিট কী দিয়ে সম্পূর্ণ সূক্ষ্মভাবে কাজ করে, তবে ~ 17000-বিট কী সহ এটি ক্লায়েন্ট-সাইডে 20 সেকেন্ডের মতো মনে করে এবং তারপরে কেবল "অ্যাক্সেস অস্বীকৃত" বলে এবং একটি পাসওয়ার্ড জিজ্ঞাসা করে।

কী-ভিত্তিক প্রমাণীকরণের জন্য ওপেনএসএইচ-তে কোনও কি দৈর্ঘ্যের সীমা বা সময়সীমা আছে?

আমি বুঝতে পেরেছি যে এই জাতীয় বৃহত কীগুলি ব্যবহার করার ক্ষেত্রে খুব বেশি ব্যবহারিক দৃষ্টিভঙ্গি নেই, বিশেষত যখন এই 20 সেকেন্ডের গণনাটি দেখার জন্য, কেবল আমার মুখোমুখি যে কোনও সমস্যা সমাধান করার চেষ্টা করা হচ্ছে: -) ...

এক পর্যায়ে আমি ডিফি-হেলম্যান কীগুলির জন্য ওপেনএসএসএল উত্সটি সন্ধান করেছি এবং দেখতে পেলাম যে ডিএইচ কীগুলির আকারের "স্বেচ্ছাচারিত" 10K সীমা ছিল। আমি একটি পরীক্ষার উত্সটি পরিবর্তন করেছি এবং দেখেছি এটি কার্যকর। আমি লেখকদের কাছে একটি বাগ লিখেছিলাম এবং তারা জবাব দিয়েছিল যে এটি বৃহত্তর কীগুলি ব্যবহার করে ডসকে প্রতিরোধ করার উদ্দেশ্যে নকশা করা উদ্দেশ্য।

ওপেনএসএইচএইচ এ জাতীয় কিছু দেখে আমাকে অবাক করে দেবে না।

প্রোটোকলটিতে কোনও সর্বোচ্চ কী আকার বা সময়সীমা সংজ্ঞায়িত করা হয়নি (বা কমপক্ষে এমন কোনও নয় যা আপনি আঘাত হানাবেন), তবে একটি বাস্তবায়ন এমন দীর্ঘ কীগুলি সমর্থন করে না। প্রাইভেট কী সহ 20 সেকেন্ডের প্রক্রিয়াকরণের সময় 17 কেবিট আরএসএ কী এর জন্য উচ্চ শোনায় না। তারপরে সার্ভারটি কোনও অলিখিতীকৃত ব্যবহারকারীর জন্য খুব বেশি কম্পিউটিং শক্তি ব্যয় করতে চায় না: খুব বড় কীগুলি প্রত্যাখ্যান করা ডস আক্রমণের বিরুদ্ধে সুরক্ষা।

বর্তমানে 2048 বিটগুলি কোনও আরএসএ কী এর পক্ষে যুক্তিসঙ্গত বলে মনে করা হয়; 4096 বিট প্রয়োজনের চেয়ে বেশি তবে সাধারণত সমর্থিত হয়; এর বাইরে আপনি যদি কিছু প্রোগ্রাম কীটি প্রত্যাখ্যান করেন তবে অবাক হবেন না।

আপনি কি লক্ষ্যযুক্ত টার্গেট সিস্টেমে কি আকারের কী তৈরি করতে সক্ষম হয়েছিলেন? আপনি যা সমর্থিত তার সীমাতে চলেছেন। বরং আমার বর্তমান সেন্টোস সিস্টেম 16k সর্বাধিক সমর্থন করে যা বিশাল কীগুলির পক্ষে যথেষ্ট বলে মনে হয়। নীচে প্রদর্শিত হিসাবে আপনি ssh-keygen এর সাথে উপরে যেতে চেষ্টা করলে আপনার সর্বাধিক দেখতে হবে।

[nathan@omni ~]# ssh-keygen -t rsa -b 32768
key bits exceeds maximum 16384

ওপেনশ সার্ভারের একটি লগইনগ্র্যাসটাইম সেটিংস রয়েছে। ম্যান পৃষ্ঠা থেকে:

The server disconnects after this time if the user has not suc-
cessfully logged in.  If the value is 0, there is no time limit.
The default is 120 seconds.

এটি যদি 20 সেকেন্ডে সেট করা থাকে তবে আপনি যে সীমাটিকে আঘাত করছেন তা এটি হতে পারে।

বন্য অনুমান: এটিও হতে পারে যে পুট্টি নিজেই এই সীমাবদ্ধতা রাখে, এই ভেবে যে পাবলিক কী প্রমাণীকরণের ক্লায়েন্ট সাইড প্রসেসিং যদি এটি দীর্ঘ সময় নেয় তবে কিছু ভুল।