Ключи для SSH: ED25519 vs RSA

Refuse RSA keys <1024 bits in length and improve reporting for keys that do not meet this requirement.

Это не палки в колёса RSA, это отказ от небезопасных ключей, причём весьма либеральный даже, надо было меньше 2048 запретить уже давно, но тогда бы сломалась куча легаси sshd хостов, которые никто не по факту админит, но пользуются как юзеры.

8192 без (пока что мифических) квантовых вычислений будет безопасным ещё очень очень долго, даже 4096 ещё надолго хватит для самых притязательных пользователей.

нужно ли обновлять свои ключи на ED25519

Без жёсткого знания теоретической криптографии сложно будет ответ найти. Да и с ним тоже. Главное преимущество этих новых ключей на данный момент - большая скорость штатной работы при одинаковой (на известных технологиях) взломостойкости. Насчёт того кто безопаснее на неизвестных технологиях - я бы не был уверен, и те и те основаны на недоказанных предположениях, хоть и очень кажущихся истинными.

нужно ли обновлять свои ключи

И ещё момент - со временем растёт чисто организационная вероятность что у тебя его кто-то незаметно таки украл. От длины ключа она не зависит никак. И она аргумент за обновление (не конкретно на ED25519 а вообще).

во-первых, ключи стоит обновлять время от времени. Во-вторых, ключи RSA по сравнению с ED25519 имеют гораздо большие размеры и требуют гораздо больше энтропии для генерации. Т.е. ED25519 как минимум гораздо практичнее. В-третьих, для работы с RSA-ключами где-то могут применяться старые библиотеки, страдающие уязвимостями. Типа такой: https://www.opennet.ru/opennews/art.shtml?num=46812

Что до постквантового будущего, то там не будет ни RSA, ни ED25519. А будет какой-нибудь Dilithium, или что там NIST стандартизирует. А может и вообще ничего не будет, потому что все станут шарить симметричные ключи по квантовым каналам.

Еще нельзя увеличить длинну ключа для ED25519. Вот.

Спасибо за ответы в теме.

Такой ещё глупый вопрос: сконвертировать ED25519-ключи сгенерированные ssh-keygen для использования в OpenGPG чтобы, например, подписывать им коммиты в Git – плохая идея? Лучше будет сделать отдельный ED25519 ключ в OpenGPG?

Да, спасибо за совет, буду обновляться. Действительно, за 10 лет ключи неплохо бы сменить и отозвать везде старые.

Еще нельзя увеличить длинну ключа для ED25519. Вот.

Ага, я тоже заметил что длина сгенерированных ключей у ED25519 в сравнении с моим 8192-битным RSA-монстром крошечная. Полез гуглить, наткнулся на это обсуждение:

https://security.stackexchange.com/questions/101044/is-it-bad-that-my-ed25519-key-is-so-short-compared-to-a-rsa-key

И успокоился.

как я понял конвертировать не обязательно, можно подписывать и так: https://calebhearth.com/sign-git-with-ssh

вообще во многих гайдах советуют использовать отдельные ключи для каждой конкретной задачи, но по-моему среднестатистическому неуловимому джо можно не париться)) Пользуюсь одним ключом для всего.

Кстати ssh-ключи очень удобно хранить не в виде отдельных файлов в папке ~/.ssh, а в базе keepassxc вместе с паролями

как я понял конвертировать не обязательно, можно подписывать и так

Я не только для подписи коммитов OpenGPG использую, но ещё и для того, чтобы файлы какие-нибудь пошифровать своим ключом, например, BackUp’ы.

Пользуюсь одним ключом для всего.

Да вот тоже хочется перключиться на один сгенерированный ключик для всего, который изредка обновлять. Но почитал про конвертирование SSH => OpenGPG, спецы с serverfault что-то плюются от такого: https://serverfault.com/questions/346958/how-do-i-import-a-rsa-ssh-key-into-gpg-as-the-primary-private-key да и телодвижений нужно много всяких, софт сторонний устанавливать для конвертации и т. д.

Похоже лучше действительно не объединять SSH/OpenGPG ключ в один.

Я не только для подписи коммитов OpenGPG использую, но ещё и для того, чтобы файлы какие-нибудь пошифровать своим ключом, например, BackUp’ы

тогда можно сгенерировать один gpg-ключ и использовать его в том числе и для ssh, gpg-agent умеет прикидываться ssh-агентом.

тогда можно сгенерировать один gpg-ключ и использовать его в том числе и для ssh, gpg-agent умеет прикидываться ssh-агентом.

Это, наверное, усложнит доступ на GitHub/GitLab/Bitbucket и различные VPS с тех моих устройств, где есть только SSH, но нет OpenGPG: смартфоны, другие компьютеры и пр.

В любом случае, спасибо за ответы.

Обновился везде на ED25519, полёт нормальный.

Я сам недавно перешел на Ed25519, с ним всё хорошо только с современными opensource-хостами. Дремучее легаси(CentOS 6) и проприетарщина(Mikrotik, Cisco) в пролете - там властвует безраздельно RSA(в Cisco ASR 9000 вроде есть еще ECDSA, только у меня таких девайсов нигде нет)

Я ещё 10 лет назад сгенерировал себе 8192-битный RSA ключ, который везде использую и пока не знаю проблем,

Силён, я всё же не рискнул, обошелся 4096-битным в 2012 году. И то мне все говорили что я долбанутый параноик и «2048-бит хватит всем» :-)

Силён, я всё же не рискнул, обошелся 4096-битным в 2012 году.

Проблем вроде как с таким длинным ключом я нигде не замечал. А так да, для Legacy-техники оставил парочку старых RSA-ключиков.

Я слабо разбираюсь в криптографии, но давно заметил тенденцию что всякие GitHub и GitLab настоятельно советуют использовать ED25519 вместо RSA

Они свое процессорное время экономят - ed25519 считать быстрее, чем RSA с огромным ключем.