OpenSSH + [ PuTTY | SSH2DOS] a min. delka klice (delsi)
Miroslav BENES
mbenes na tenez.cz
Úterý Září 23 09:08:29 CEST 2003
Preji krasny den !
Pokousim se ti zprovoznit zautomatizovane prihlaseni na linuxovy
server (bez zadavani hesla == klice bez passphrase) a nedari se
zmensit delku klice.
Server : RH 7.3, OpenSSH 3.4p1 s drobnou úpravou (v souboru
ssh.h nastaveno SSH_RSA_MINIMUM_MODULUS_SIZE ze 768 na 16
Klient1 : Win98SE + Putty0.53b
Klient2 : DOS 6.22 + SSH2DOS
Pokud postupuju podle různých návodů (např. na www.root.cz) a
vytvořím klíč o délce např. 1024b (vytvořený pomocí PuTTY KeyGen
pro RSA/SSH2), můžu se přihlásit bez zadávání hesla. Ovšem z
Woken to není nejrychlejší a z DOSu je to přímo pekelně pomalé -
např. navázání spojení z 386/40MHz trvá skoro 25 s.
Protože veškerá komunikace poběží na vnitřní síti, chtěl jsem
strojům "odlehčit" a zkrátit klíče. Jaká je teoretická minimální
délka ?
I přes zmíněnou úpravu OpenSSH ale nemůžu klesnout pod 512b (s
touto délkou spojení navážu) - kratší klíče (zde delka 260b) se
chovají takto :
Win + Putty :
-------------
Using username "xxx".
Authenticating with public key "rsa-key-20030923"
Access denied
xxx na yyy's password:
Server :
--------
...
debug1: temporarily_use_uid: 500/500 (e=0)
debug1: trying public key file /home/xxx/.ssh/authorized_keys
debug1: matching key found: file /home/xxx/.ssh/authorized_keys,
line 5
Found matching RSA key:
a4:98:25:82:cf:24:a5:ef:c4:9c:e9:b6:88:68:8d:62
debug1: restore_uid
Postponed publickey for xxx from 10.2.57.0 port 3203 ssh2
debug1: userauth-request for user xxx service ssh-connection
method publickey
debug1: attempt 2 failures 1
debug1: temporarily_use_uid: 500/500 (e=0)
debug1: trying public key file /home/xxx/.ssh/authorized_keys
debug1: matching key found: file /home/xxx/.ssh/authorized_keys,
line 5
Found matching RSA key:
a4:98:25:82:cf:24:a5:ef:c4:9c:e9:b6:88:68:8d:62
debug1: restore_uid
debug1: ssh_rsa_verify: add padding: modlen 38 > len 37
ssh_rsa_verify: RSA_verify failed:
error:04070067:lib(4):func(112):reason(103)
debug1: ssh_rsa_verify: signature incorrect
Failed publickey for xxx from 10.2.57.0 port 3203 ssh2
Failed publickey for xxx from 10.2.57.0 port 3203 ssh2
debug1: userauth-request for user xxx service ssh-connection
method keyboard-interactive
debug1: attempt 3 failures 2
debug1: keyboard-interactive devs
debug1: auth2_challenge: user=xxx devs=
debug1: kbdint_alloc: devices ''
Failed keyboard-interactive for xxx from 10.2.57.0 port 3203
ssh2
Jestli dobre chapu vypis, serveru se klic neibi a trva na
overeni jinym zpusobem.
DOS + SSH2DOS :
---------------
TCP/IP SHUTDOWN: Segmentation violation
Exiting due to signal SIGABRT
General Protecion Fault at eip=0002f084
...
Server :
--------
...
debug1: matching key found: file /home/xxx/.ssh/authorized_keys,
line 5
Found matching RSA key:
a4:98:25:82:cf:24:a5:ef:c4:9c:e9:b6:88:68:8d:62
debug1: restore_uid
Postponed publickey for xxx from 10.2.57.5 port 652 SSH
.. dal nic, server ceka na odezvu, zatimco klient na DOSu padl
za vlast.
Pritom klic o delce 512b navaze spojeni bez problemu jak z Putty
tak i z SSH2DOS, takze zakopany pes bude jen v te delce.
Dotazy :
=======
Jak se da generovat + pouzivat kratsi klic nez 512b ?
Pokud ano, je prekazka na strane klientu nebo serveru ?
Da se odezva zrychlit jinym zpusobem ?
Byla by rychlejsi odezva pri navazovani spojeni pomoci SSH1 ?
Diky za kazde nakopnuti--------------------------
Miroslav BENES
E-mail : mbenes na tenez.cz
TENEZ Chotebor, a.s
--------------------------
Další informace o konferenci Linux