কোন হোস্ট কী ব্যবহার করবেন তা ওপেনএসএইচ কীভাবে সিদ্ধান্ত নেবে?


7

ডিফল্টরূপে, আমার বর্তমান সংস্করণে ( 6.9p1), ওপেনএসএসএইচ সার্ভার চার ধরণের হোস্ট কী তৈরি করবে:

$ ls /etc/ssh/ssh_host_*_key.pub
/etc/ssh/ssh_host_dsa_key.pub
/etc/ssh/ssh_host_ecdsa_key.pub
/etc/ssh/ssh_host_ed25519_key.pub
/etc/ssh/ssh_host_rsa_key.pub

পরীক্ষার মাধ্যমে, আমি লক্ষ্য করেছি, কমপক্ষে ওপেনএসএসএইচ ক্লায়েন্টের একই সংস্করণটি ব্যবহার করে ( 6.9p1ক্লায়েন্টের কী প্রকার নির্বিশেষে) ইসিডিএসএ কী হোস্ট দ্বারা ব্যবহৃত হবে।

সমর্থিত অ্যালগরিদমগুলির কোন অগ্রাধিকারের বিষয়ে ওপেনএসএইচ কোথায় সিদ্ধান্ত নেবে? এই তথ্যটি কি সম্পাদনাযোগ্য, বা বর্তমান সংস্করণের উত্স কোডটিতে হার্ডকোডযুক্ত?

এবং আরও গুরুত্বপূর্ণ, ওপেনএসএসএইচ কেন ইসিডিএসএ আলগোরিদমকে প্রথম অগ্রাধিকার দেওয়ার সিদ্ধান্ত নিয়েছে?

উত্তর:


7

অর্ডারটি ক্লায়েন্ট দ্বারা HostKeyAlgorithmsকনফিগার বিকল্পটি ব্যবহার করে নির্বাচন করা হয়েছে । আমার সিস্টেমে ডিফল্ট (ম্যানপেজ অনুযায়ী):

  1. ecdsa-sha2-nistp256-cert-v01@openssh.com
  2. ecdsa-sha2-nistp384-cert-v01@openssh.com
  3. ecdsa-sha2-nistp521-cert-v01@openssh.com
  4. ssh-ed25519-cert-v01@openssh.com
  5. ssh-rsa-cert-v01@openssh.com
  6. ssh-dss-cert-v01@openssh.com
  7. ssh-rsa-cert-v00@openssh.com
  8. ssh-dss-cert-v00@openssh.com
  9. ECDSA-sha2-nistp256
  10. ECDSA-sha2-nistp384
  11. ECDSA-sha2-nistp521
  12. SSH-ed25519
  13. SSH-RSA
  14. SSH-DSS

এটিকে ওভাররাইড করতে, এমন কিছু করুন:

ssh -oHostKeyAlgorithms=ssh-ed25519 user@foo.com


4

এবং আরও গুরুত্বপূর্ণ, ওপেনএসএসএইচ কেন ইসিডিএসএ আলগোরিদমকে প্রথম অগ্রাধিকার দেওয়ার সিদ্ধান্ত নিয়েছে?

ইসিডিএসএ 5.7 সংস্করণ সহ ওপেনশায় প্রবর্তিত হয়েছিল, আপনি এখানে প্রকাশের নোটগুলি পেতে পারেন । বিশেষত, এটি বলা হয়েছে:

আরএফসি 5656 দ্বারা উল্লিখিত কী এক্সচেঞ্জ (ইসিডিএইচ) এবং হোস্ট / ইউজার কী (ইসিডিএসএ) জন্য উপবৃত্তাকার কার্ভ ক্রিপ্টোগ্রাফি মোডগুলি প্রয়োগ করুন। ইসিডিএইচ এবং ইসিডিএসএ একই সমতুল্য প্রতিসাম্য কী দৈর্ঘ্যে, পাশাপাশি আরও সংক্ষিপ্ত কীগুলিতে প্লেইন ডিএইচ এবং ডিএসএর চেয়ে আরও ভাল পারফরম্যান্স সরবরাহ করে।

.......

নতুন ইসিডিএসএ কী প্রকারগুলি ব্যবহার করে শংসাপত্রের হোস্ট এবং ব্যবহারকারী কীগুলি সমর্থিত - একটি ইসিডিএসএ কী প্রত্যয়িত হতে পারে, এবং একটি ইসিডিএসএ কী শংসাপত্রগুলিতে স্বাক্ষর করতে সিএ হিসাবে কাজ করতে পারে।

যখন ক্লায়েন্ট এবং সার্ভার উভয়ই সমর্থন করে 256 বিট বক্ররেখার ক্ষেত্রে ECDH হ'ল পছন্দসই মূল চুক্তির অ্যালগরিদম। প্রথমবারের মতো হোস্টের কীগুলি শেখার সময় ইসিডিএসএ হোস্ট কীগুলি অগ্রাধিকার দেওয়া হয় বা ssh-keycan (1) ব্যবহার করে শেখা যায়।

এছাড়াও, আরএফসি 5656 জানিয়েছে:

অনেক অনুমান বিবেচনা করে যে 2 ^ 80-2 ^ 90 ক্রিয়াকলাপগুলি সম্ভাব্য beyond এই নথিতে প্রয়োজনীয় বক্ররেখাগুলি 256-, 384- এবং 521-বিট বক্ররেখা; বাস্তবায়ন 160 বিট এর চেয়ে কম বক্ররেখা ব্যবহার করা উচিত নয়

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.