* nixサーバーの取り扱いを開始したとき、opensshサーバーにはdsaおよびrsaホストキーが付属しており、opensshクライアントではrsaキーが優先されました。最近、opensshサーバーにはdsa、rsa、およびecdsaホストキーがあり、opensshクライアントはecdsaホストキーを優先します。
dsaホストキーを提供するために、opensshをどの程度まで設定する必要がありますか?
openssh以外のクライアントの実装に関してほとんど疑問に思っています。
回答:
少なくともRSAをサポートしていない広く使用されているものは考えられません。実際、DSAのみをサポートするWindowsでターミナルエミュレーターを使用している場合は、使用を中止してパテをダウンロードするか、更新する必要があります。
オプションは互換性を提供するためにあります。ただし、それはセキュリティ面にも追加されます。攻撃者は、クライアントにDSAのサポートのみを宣言するよう誘導することにより、暗号化を弱める可能性があります。このシナリオはかなり遠いです。懸念がある場合は、DSAを無効にする必要があります。
深刻なセキュリティ侵害につながる可能性が高いと私が想像できる唯一のシナリオは、ユーザーのいずれかが、DSAを作成するためにDSAを常にネゴシエートし、重複する一時的な値を生成する信頼できない、または侵害されたコンピューターでDSAキーペアを使用した場合です; その結果、ユーザーのキーが危険にさらされる可能性がありますが、これが攻撃者にとって最も抵抗の少ないパスではないようです。システムが国際スパイによって使用されていない限り、おそらく心配する必要はありません。:姉妹サイトの一つに、この質問を参照してください/security//q/29262/12223を。
DSAを無効にする直接的な方法は実際にはありません。 Debianバグ528046はそれを提案し、パッチ(オプションPubKeyTypes用)を提供し、サポートに会いましたが、2009年以降何も実行されておらず、アップストリームの証拠はありません。
あなたの答えはおそらくここにあります:
/security/5096/rsa-vs-dsa-for-ssh-authentication-keys
ほとんどの推奨事項はさまざまな理由からRSAキーを対象としているため、DSAキーは主に下位互換性のためにあります。DSAは、SSH2が発表されたときに導入されました。当時RSAはまだ特許を取得しており、DSAはよりオープンソースでした。それはその後変わりました。
これらすべてのため、DSAキーはほとんど役に立ちません。それらは動作し、ssh-keygenはあなたがそれを要求した場合でもそれらを生成しますが、誰かが具体的にそれを要求しなければなりません。私の知る限り、DSA専用の機能はありませんでした。DSAキーは禁止できます。