Re: ssh: RSA oder DSA fingerprint
On Wed, 4 Sep 2002 08:09:57 +0200 (CEST), Andreas Tille
<tillea@rki.de> wrote:
>heute wollte ich mich wie üblich auf einem entfernten Rechner per
>SSH anmelden und erhielt
>
>The authenticity of host 'ehec (193.175.81.44)' can't be established.
>RSA key fingerprint is d0:b7:8b:dd:58:3e:6e:a3:78:da:65:5e:23:79:58:d0.
>Are you sure you want to continue connecting (yes/no)?
>
>Das hat mich gewundert, denn dieser Host ist schon seit langem in
>~/.ssh/known_hosts eingetragen. Eine genauere betrachtung zeigte mir
>aber, daß dort ein Eintrag mit dem DSA-Key des Hosts enthalten war,
>was an dem längeren Schlüssel und dem ssh-dss zu erkennen war.
Hast Du vielleicht einen neuen Key erzeugt?
> c) Sollte man DSA erzwingen?
Nein.
> Ich bin immer davon ausgegangen, daß RSA = Protokoll Version 1
> und DSA = Protokll Version 2 ist, aber das scheint offensichtlich
> falsch zu sein, denn ich habe auf dem Server nur Protokoll
> Version 2 zugelassen und es beim SSH Client explizit (Option -2)
> erzwungen.
ssh Protokoll Version 1 benutzt immer RSA. ssh Protokoll Version 2
kann DSA _und_ RSA verwenden, wobei die RSA-Schlüssel sich zwischen
den beiden Versionen unterscheiden.
DSA ist deutlich langsamer, und nur für einige Schlüssellängen
kryptografisch untersucht. Somit kann man bei DSA fast keinen Einfluss
auf die Schlüssellänge nehmen. RSA ist seit dem Ablauf des Patents
auch von der Patent- und Rechtslage zu bevorzugen und ist obendrein
erheblich flexibler, was die Konfiguration angeht.
Ein Host, der sowohl ssh Protokoll Version 1 als auch ssh Protokoll
Version 2 mit beiden Algorithmen unterstützt, sollte somit drei Host
Keys haben.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Karlsruhe, Germany | Beginning of Wisdom " | Fon: *49 721 966 32 15
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fax: *49 721 966 31 29
Reply to: