LINUX.ORG.RU
решено ФорумAdmin

выкинуть часть ssh host keys

 


0

1

Есть куча типов ключей для хоста rsa1,dsa,rsa,ecdsa,ed25519.

Может есть смысл сократить до какого-то одного rsa ? Не хочется пихать в dns кучу sshfp.

Старинных/тормозных клиентов нет. Кто обломается без rsa1,dsa или новомодных ecdsa,ed25519. На работоспособность клиентских ключей этих типов оно влияет?

★★★★★

Я обычно удаляю все изначальные ключи и генерирую один rsa на 4096 бит. С клиентами проблем быть не должно.

static ★★
()

На возможность работоспособности может повлиять, если они кроме выкинутого ничего не умеют.
На саму работу не должно никак влиять.

Goury ★★★★★
()

RSA сейчас не умеет только ленивый или оооооочень древний клиент. Не самый лучший тип ключа, да, но зато самый универсальный. DSA можно выкидывать на мороз смело - это окаменелое говно мамонта

Pinkbyte ★★★★★
()

я бы ecdsa выкинул, а rsa оставил

Harald ★★★★★
()
Ответ на: комментарий от static

ECDSA поддерживается практически во всех современных дистрибутивах. ed25519 - новая штука, я пока профит от неё не распробовал, но он наверняка есть. RSA, как я уже говорил взлетит везде(за исключением ООООЧЕНЬ старых вещей), DSA - говно мамонта.

А что использовать - решать тебе ;-)

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

Ок, надо будет почитать про этот ECDSA. Спасибо!

static ★★
()
Ответ на: комментарий от Pinkbyte

на сколько я понял - длина ключа в ecdsa существенно короче чем в rsa при одинаковой стойкости, ecdsa генерируется за определенное время и требует меньших вычислительных ресурсов (что хорошо для слабых cpu).

в опенссх про ed25519 сказано

Ed25519 is a elliptic curve signature scheme that offers better security than ECDSA and DSA and good performance. It may be used for both user and host keys.

Меня вообще не интересует работоспособность старых клиентов. Хочу единобезобразия - за зоопарком следить хлопотно.

vel ★★★★★
() автор топика
Ответ на: комментарий от vel

длина ключа в ecdsa существенно короче чем в rsa при одинаковой стойкости, ecdsa генерируется за определенное время и требует меньших вычислительных ресурсов

Да, но алгоритм не совсем свободный для распространения, поэтому в некоторых сборках openssl/openssh может отсутствовать(в генте за это отвечает USE=«bindist», если собрано с ним - поддержки ECDSA нет). Кому-то это может быть важно.

С другой стороны ограничивается только распространение собранных с этим алгоритмом бинарников.

Если ли такое ограничение на ed25519 - не в курсе.

Pinkbyte ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.