OpenSSH: Anahtar tabanlı yetkilendirme, maksimum anahtar uzunluğu

Bazı mayın sunucularına erişmek için anahtar tabanlı kimlik doğrulaması olan pencerelerde Putty kullanıyorum.

~ 3700 bit anahtarla tamamen iyi çalışır, ancak ~ 17000 bit anahtarla istemci tarafında 20 saniye gibi düşünür ve daha sonra "Erişim reddedildi" der ve bir şifre ister.

Anahtar tabanlı kimlik doğrulaması için OpenSSH'de herhangi bir anahtar uzunluğu sınırı veya zaman aşımı var mı?

Bu büyük anahtarları kullanmanın, özellikle bu 20 saniyelik hesaplamalara bakarken, sadece karşılaştığım sorunları çözmeye çalışırken çok pratik bir anlamı olmadığını anlıyorum: -) ...

Bir noktada Diffie-Hellman anahtarları için OpenSSL kaynağına baktım ve DH anahtarlarının boyutunda "keyfi" 10K sınırının olduğunu gördüm. Bir testin kaynağını değiştirdim ve işe yaradığını gördüm. Yazarlara bir hata yazdım ve büyük anahtarlar kullanarak DoS'ı önlemenin tasarım amacı olduğunu söylediler.

OpenSSH'de benzer bir şey görmek beni şaşırtmaz.

Protokolde tanımlanmış bir maksimum anahtar boyutu veya zaman aşımı yok (veya vurmak istediğiniz en azından hiçbiri), ancak bir uygulama bu kadar uzun anahtarları desteklemeyebilir. Özel anahtar ile 20 saniyelik işlem süresi, 17kbit RSA anahtarı için yüksek gelmiyor. Ardından sunucu kimliği doğrulanmamış bir kullanıcıya çok fazla bilgi işlem gücü harcamak istemeyebilir: çok büyük anahtarları reddetmek DoS saldırılarına karşı bir korumadır.

Şu anda bir RSA anahtarı için 2048 bit makul kabul edilmektedir; 4096 bit gerekenden daha yüksek ancak genellikle destekleniyor; bunun ötesinde bazı programları anahtarı reddetmek sizi şaşırtmamalıdır.

Hedeflenen sistemde bu boyutta bir anahtar üretebildiniz mi? Desteklenenler için bir sınırla karşılaşıyor olabilirsiniz. Şu anki Centos sistemim, büyük anahtarlar için yeterli görünen maksimum 16k'lık bir desteği destekliyor. Aşağıda gösterildiği gibi, ssh-keygen ile üzerine çıkmaya çalışırsanız maksimum değeri görmelisiniz.

[nathan@omni ~]# ssh-keygen -t rsa -b 32768
key bits exceeds maximum 16384

OpenSsh sunucusunda bir LoginGraceTime ayarı vardır. Man sayfasından:

The server disconnects after this time if the user has not suc-
cessfully logged in.  If the value is 0, there is no time limit.
The default is 120 seconds.

Bu, 20 saniyeye ayarlanmışsa vurduğunuz bir sınır olabilir.

Vahşi tahmin: Macunun kendisi de bu sınıra sahip olabilir, ortak anahtar kimlik doğrulamasının istemci tarafı işlenmesi bu kadar uzun sürerse, bir şeylerin yanlış olduğunu düşünebilir.