OpenSSH: Ủy quyền dựa trên khóa, độ dài khóa tối đa

Tôi đang sử dụng Putty trên các cửa sổ với xác thực dựa trên khóa để truy cập vào một số máy chủ của tôi.

Nó hoạt động hoàn toàn tốt với khóa ~ 3700 bit, nhưng với khóa ~ 17000 bit, nó nghĩ khoảng 20 giây ở phía máy khách và sau đó chỉ cần nói "Truy cập bị từ chối" và yêu cầu mật khẩu.

Có bất kỳ giới hạn độ dài khóa hoặc thời gian chờ nào trong OpenSSH để xác thực dựa trên khóa không?

Tôi hiểu rằng việc sử dụng các phím lớn như vậy không có nhiều ý nghĩa thực tế, đặc biệt là khi nhìn vào 20 giây tính toán này, chỉ cố gắng giải quyết bất kỳ vấn đề nào tôi gặp phải: -) ...

Tại một thời điểm, tôi đã tìm hiểu nguồn OpenSSL cho các khóa Diffie-Hellman và nhận thấy có giới hạn 10K "tùy ý" về kích thước của các phím DH. Tôi đã thay đổi nguồn để thử nghiệm và thấy rằng nó hoạt động. Tôi đã viết một lỗi cho các tác giả và họ trả lời lại rằng đó là ý định thiết kế để ngăn chặn DoS bằng cách sử dụng các phím lớn.

Tôi sẽ không ngạc nhiên khi thấy một cái gì đó tương tự trong OpenSSH.

Không có kích thước khóa tối đa hoặc thời gian chờ được xác định trong giao thức (hoặc ít nhất là không có gì bạn đang nhấn), nhưng việc triển khai có thể không hỗ trợ các khóa dài như vậy. Thời gian xử lý 20 giây với khóa riêng không có vẻ cao đối với khóa RSA 17kbit. Sau đó, máy chủ có thể không muốn dành quá nhiều sức mạnh tính toán cho người dùng không được xác thực: từ chối các khóa rất lớn là một biện pháp bảo vệ chống lại các cuộc tấn công DoS.

Hiện tại 2048 bit được coi là hợp lý cho khóa RSA; 4096 bit cao hơn mức cần thiết nhưng thường được hỗ trợ; ngoài điều này bạn không nên ngạc nhiên nếu một số chương trình từ chối khóa.

Bạn có thể tạo kích thước khóa đó trên hệ thống đích dự định không? Bạn có thể đang chạy vào một giới hạn cho những gì được hỗ trợ. Hệ thống Centos hiện tại của tôi hỗ trợ tối đa 16 nghìn, dường như đủ cho các phím lớn. Bạn sẽ thấy mức tối đa nếu bạn cố gắng vượt lên trên nó với ssh-keygen như hiển thị bên dưới.

[nathan@omni ~]# ssh-keygen -t rsa -b 32768
key bits exceeds maximum 16384

Máy chủ openssh có cài đặt LoginGraceTime. Từ trang người đàn ông:

The server disconnects after this time if the user has not suc-
cessfully logged in.  If the value is 0, there is no time limit.
The default is 120 seconds.

Đây có thể là giới hạn mà bạn đang nhấn nếu được đặt thành 20 giây.

Wild đoán: Cũng có thể là chính putty có giới hạn này, nghĩ rằng nếu phía máy khách xử lý xác thực khóa công khai mất nhiều thời gian thì có gì đó không ổn.