Ssh dsa হোস্ট কীগুলির বর্তমান প্রয়োজন কী?

যখন আমি * নিক্স সার্ভারগুলির সাথে ডিল করতে শুরু করি, ওপেনশ সার্ভারগুলি ডিএসএ পাশাপাশি আরএসএ হোস্ট কীগুলি নিয়ে আসে, ওপেনশায় ক্লায়েন্টরা আরএসএ কীকে অগ্রাধিকার দেয়। আজকাল ওপেনশ সার্ভারে ডিএসএ, আরএসএ পাশাপাশি একডসা হোস্ট কী রয়েছে, ওপেনশাহ ক্লায়েন্টদের সাথে এক্সডিএসএ হোস্ট কী পছন্দ হয়।

ডিএসএ হোস্ট কীগুলি সরবরাহ করতে আমার এখনও কতখানি ওপেনশ কনফিগার করতে চাই / চাই?

খোলামেলা ক্লায়েন্ট প্রয়োগের ক্ষেত্রে বেশিরভাগ ক্ষেত্রেই ভাবছি।

আমি কমপক্ষে আরএসএর পক্ষে সমর্থন না থাকা এমন কোনও বিস্তৃত ব্যবহারের কথা ভাবতে পারি না এবং আপনি যদি উইন্ডোতে টার্মিনাল এমুলেটর ব্যবহার করেন (উদাহরণস্বরূপ) যা কেবল ডিএসএ সমর্থন করে আপনার এটি ব্যবহার বন্ধ করা উচিত এবং পুটি ডাউনলোড করা উচিত, বা আপডেট করা উচিত।

সামঞ্জস্যতা সরবরাহ করতে বিকল্প রয়েছে। তবে এটি আপনার সুরক্ষা পৃষ্ঠকে যুক্ত করে; একজন আক্রমণকারী কেবলমাত্র ডিএসএর জন্য সমর্থন ঘোষণা করার জন্য ক্লায়েন্টকে বোঝাতে আপনার ক্রিপ্টোগ্রাফিটি দুর্বল করতে পারে। এই দৃশ্যটি বরং সুদূরপ্রসারী। যদি এটি আপনার উদ্বেগ প্রকাশ করে তবে আপনার ডিএসএ অক্ষম করা উচিত।

কেবলমাত্র আমি যে দৃশ্যের কল্পনা করতে পারি এটি সম্ভবত মারাত্মক আপোষের ফলাফল হতে পারে যদি আপনার ব্যবহারকারীদের মধ্যে থেকে ডিএসএ কিপাইয়ারটি অবিশ্বস্ত বা আপোশযুক্ত কম্পিউটারে ব্যবহার করা হয় যা সর্বদা ডিএসএর সাথে আলোচনা করে এবং ডিএসএ স্বাক্ষর তৈরির জন্য সদৃশ মূখ্য তৈরি করে; ফলাফলটি হ'ল ব্যবহারকারীর কীটি আপোস করা যেতে পারে তবে আক্রমণকারীর পক্ষে এটি সর্বনিম্ন প্রতিরোধের পথ বলে মনে হয় না। আপনার সিস্টেমটি আন্তর্জাতিক গুপ্তচরদের দ্বারা ব্যবহৃত না হলে আপনার সম্ভবত এটি সম্পর্কে চিন্তা করার দরকার নেই। এই প্রশ্নটি আমাদের একটি বোন সাইটে দেখুন: /security//q/29262/12223 ।

ডিএসএ অক্ষম করার সরাসরি কোনও উপায় নেই। দেবিয়ান বাগ 528046 এটি প্রস্তাব করে এবং একটি প্যাচ সরবরাহ করে (একটি বিকল্পের জন্য পাবকি টাইপস), এবং সমর্থন সহ মিলিত হয়েছিল, তবে ২০০৯ সাল থেকে কার্যকর হয়নি, কোনও প্রবাহের প্রমাণ নেই।

আপনার উত্তর সম্ভবত এখানে পাওয়া যায়:

/security/5096/rsa-vs-dsa-for-ssh-authentication-keys

বেশিরভাগ প্রস্তাবনাগুলি বিভিন্ন কারণে আরএসএ কীগুলির জন্য, সুতরাং ডিএসএ কীগুলি মূলত পিছনের সামঞ্জস্যের জন্য রয়েছে। এসএসএইচ 2 বেরিয়ে আসার পরে ডিএসএ চালু হয়েছিল যখন তখন থেকে আরএসএ এখনও পেটেন্ট ছিল এবং ডিএসএ আরও উন্মুক্ত ছিল। সেই থেকে পরিবর্তন হয়েছে।

এই সমস্তগুলির কারণে, ডিএসএ কীগুলি অনেক বেশি অকেজো। তারা কাজ করবে, এবং ssh-keygen এমনকি যদি আপনি এটি জিজ্ঞাসা করেন তবে এগুলি উত্পাদন করতে পারে তবে কাউকে বিশেষভাবে এটি জিজ্ঞাসা করতে হবে এবং এর অর্থ আপনি যদি তাদের বাধ্য করেন তবে তারা আরএসএ ব্যবহার করতে পারে। আমার জ্ঞানের সর্বোপরি, কিছুই ডিএসএ-কেবল করেনি। ডিএসএ কীগুলি নিষেধ করা ঠিক আছে।

সুরক্ষা-ভিত্তিতে আমি আসতে পারার একমাত্র কারণটি হ'ল যদি প্রধান ফ্যাক্টরিয়েশন পড়ে তবে আলাদা লগ হয় না তবে আরএসএ পড়ে তবে ডিএসএ দাঁড়িয়ে। সেক্ষেত্রে আপনি কীভাবে আরএসএ অক্ষম করবেন তা জিজ্ঞাসা করবেন। যদি পৃথক লগ আরএসএ এবং ডিএসএ উভয়ের পতনের চেয়ে পড়ে। তবে আপনার এসএসএর ডিএসএর জন্য এখনও যদি 1024 বিট প্রয়োজন হয় তবে এখনই এটি ঠিক করুন।