ssh-keygen a delka DSA klice

Ondrej Holecek bln at deprese.net
Mon Jun 4 20:40:27 CEST 2007


ahoj,

zrovna nedavno jsem to taky resil, a zjistil jsem, ze DSA muze byt podle
standardu maximalne 1024 bitu. Pokud je delsi, tak bezpecnost _klesa_.

Nepamatuju si to presne, ale slo tam o nejake attack vektory (??). Prave
kvuli tomu ze si lidi mysleli ze cim delsi tim lepsi, tak se v novym
openssh nastavil limit na 1024.

oHo


Miroslav Lachman wrote:
> Chtel jsem si po letech zmenit ssh klic a najednou koukam, ze mi to na 
> FreeBSD 6.2 odmitne vytvorit klic s jinou delkou, nez 1024:
> 
> quip at elsa ~/.ssh/> ssh-keygen -t dsa -b 2048
> DSA keys must be 1024 bits
> 
> Pritom ten samy prikaz na starickem FreeBSD 4.11 zcela bez problemu 
> vytvori DSA klic zadane delky 2048.
> 
> V cem je problem / co se zmenilo, ze v 6.2 uz nejde vytvorit?
> 
> Nechci moc zabredavat do diskuze, jestli je lepsi RSA nebo DSA klic, ja 
> mam vsude od zacatku DSA, ale premyslim, jestli neprejit na RSA s vetsi 
> delkou (i kdyz moc nevim, jak moc je "ne"-bezpecny DSA 1024... a navic 
> PockeTTY v PDA umi stejne jen DSA klice)
> 
> Predem diky za rady / vysvetleni.
> 
> Mirek




More information about the Users-l mailing list