ओपनएसएसएच: कुंजी-आधारित प्राधिकरण, अधिकतम कुंजी लंबाई

मैं अपने कुछ सर्वरों तक पहुँचने के लिए कुंजी-आधारित प्रमाणीकरण के साथ खिड़कियों पर पुट्टी का उपयोग कर रहा हूँ।

यह ~ 3700-बिट कुंजी के साथ पूरी तरह से ठीक काम करता है, लेकिन ~ 17000-बिट कुंजी के साथ यह क्लाइंट-साइड पर 20 सेकंड के लिए सोचता है और फिर बस "प्रवेश निषेध" और पासवर्ड के लिए पूछता है।

क्या कुंजी-आधारित प्रमाणीकरण के लिए ओपनएसएसएच में कोई महत्वपूर्ण लंबाई सीमा या समय समाप्त है?

मैं समझता हूं कि इस तरह की बड़ी चाबियों का उपयोग करने में बहुत अधिक व्यावहारिक नहीं है, खासकर जब गणना के इन 20 सेकंड को देखते हुए, बस किसी भी समस्या को हल करने की कोशिश कर रहा हूं: -) ... ...

एक बिंदु पर मैंने डिफी-हेलमैन कीज़ के लिए ओपनएसएसएल के स्रोत को देखा, और पाया कि डीएच कीज़ के आकार पर "मनमाना" 10K की सीमा थी। मैंने परीक्षण के लिए स्रोत बदल दिया, और पाया कि काम किया। मैंने लेखकों को एक बग लिखा, और उन्होंने जवाब दिया कि यह बड़े पैमाने पर कुंजियों का उपयोग करके DoS को रोकने के लिए डिजाइन का इरादा था।

OpenSSH में ऐसा ही कुछ देखने के लिए मुझे आश्चर्य नहीं होगा।

प्रोटोकॉल में परिभाषित कोई अधिकतम कुंजी आकार या टाइमआउट नहीं है (या कम से कम कोई भी जिसे आप मार रहे होंगे), लेकिन कार्यान्वयन शायद किसी लंबी कुंजी का समर्थन न करे। निजी कुंजी के साथ 20 सेकंड का प्रसंस्करण समय 17kbit RSA कुंजी के लिए उच्च ध्वनि नहीं है। तब सर्वर एक अनधिकृत उपयोगकर्ता पर बहुत अधिक कंप्यूटिंग शक्ति खर्च नहीं करना चाहता हो सकता है: बहुत बड़ी चाबियों से इनकार करना डोना के हमलों के खिलाफ एक सुरक्षा है।

वर्तमान में 2048 बिट्स को RSA कुंजी के लिए उचित माना जाता है; 4096 बिट्स आवश्यक से अधिक है लेकिन आमतौर पर समर्थित है; इससे परे आपको आश्चर्य नहीं होना चाहिए अगर कुछ कार्यक्रम कुंजी को अस्वीकार करने के लिए।

क्या आप लक्षित लक्ष्य प्रणाली पर कुंजी के उस आकार को उत्पन्न करने में सक्षम थे? आप एक सीमा में चल रहे हैं जो समर्थित है। बल्कि मेरी वर्तमान Centos प्रणाली एक 16k अधिकतम का समर्थन करती है जो बड़े पैमाने पर कुंजी के लिए पर्याप्त लगती है। यदि आप नीचे दिखाए गए अनुसार ssh-keygen के साथ ऊपर जाने की कोशिश करते हैं तो आपको अधिकतम देखना चाहिए।

[nathan@omni ~]# ssh-keygen -t rsa -b 32768
key bits exceeds maximum 16384

खुलता है सर्वर में एक LoginGraceTime सेटिंग है। आदमी पृष्ठ से:

The server disconnects after this time if the user has not suc-
cessfully logged in.  If the value is 0, there is no time limit.
The default is 120 seconds.

यह एक सीमा हो सकती है जिसे आप 20 सेकंड के लिए सेट कर रहे हैं।

जंगली अनुमान: यह भी हो सकता है कि खुद पोटीन की यह सीमा हो, यह सोचकर कि अगर सार्वजनिक कुंजी प्रमाणीकरण के ग्राहक पक्ष प्रसंस्करण में लंबा समय लगता है, तो कुछ गलत है।