выкинуть часть ssh host keys

0

1

Есть куча типов ключей для хоста rsa1,dsa,rsa,ecdsa,ed25519.

Может есть смысл сократить до какого-то одного rsa ? Не хочется пихать в dns кучу sshfp.

Старинных/тормозных клиентов нет. Кто обломается без rsa1,dsa или новомодных ecdsa,ed25519. На работоспособность клиентских ключей этих типов оно влияет?

Ссылка

←	openvpn трафик не идёт через vpn

Centos 7, почему не запускается openvpn клиент?

→

Я обычно удаляю все изначальные ключи и генерирую один rsa на 4096 бит. С клиентами проблем быть не должно.

static ★★
(15.07.15 17:08:20 MSK)

Ссылка

На возможность работоспособности может повлиять, если они кроме выкинутого ничего не умеют.
На саму работу не должно никак влиять.

Goury ★★★★★
(15.07.15 18:22:52 MSK)

Ссылка

RSA сейчас не умеет только ленивый или оооооочень древний клиент. Не самый лучший тип ключа, да, но зато самый универсальный. DSA можно выкидывать на мороз смело - это окаменелое говно мамонта

Pinkbyte ★★★★★
(16.07.15 20:56:55 MSK)

Ответ на: комментарий от Pinkbyte 16.07.15 20:56:55 MSK

Посоветуй, какой тип ключей сейчас будет лучше использовать?

static ★★
(16.07.15 22:38:12 MSK)

я бы ecdsa выкинул, а rsa оставил

Harald ★★★★★
(16.07.15 22:41:06 MSK)

Ссылка

Ответ на: комментарий от static 16.07.15 22:38:12 MSK

ECDSA поддерживается практически во всех современных дистрибутивах. ed25519 - новая штука, я пока профит от неё не распробовал, но он наверняка есть. RSA, как я уже говорил взлетит везде(за исключением ООООЧЕНЬ старых вещей), DSA - говно мамонта.

А что использовать - решать тебе ;-)

Pinkbyte ★★★★★
(16.07.15 23:56:16 MSK)
Последнее исправление: Pinkbyte 16.07.15 23:56:50 MSK (всего исправлений: 1)

Ответ на: комментарий от Pinkbyte 16.07.15 23:56:16 MSK

Ок, надо будет почитать про этот ECDSA. Спасибо!

static ★★
(17.07.15 02:54:54 MSK)

Ссылка

Ответ на: комментарий от Pinkbyte 16.07.15 23:56:16 MSK

на сколько я понял - длина ключа в ecdsa существенно короче чем в rsa при одинаковой стойкости, ecdsa генерируется за определенное время и требует меньших вычислительных ресурсов (что хорошо для слабых cpu).

в опенссх про ed25519 сказано

Ed25519 is a elliptic curve signature scheme that offers better security than ECDSA and DSA and good performance. It may be used for both user and host keys.

Меня вообще не интересует работоспособность старых клиентов. Хочу единобезобразия - за зоопарком следить хлопотно.

vel ★★★★★
(17.07.15 10:34:42 MSK) автор топика

Ответ на: комментарий от vel 17.07.15 10:34:42 MSK

длина ключа в ecdsa существенно короче чем в rsa при одинаковой стойкости, ecdsa генерируется за определенное время и требует меньших вычислительных ресурсов

Да, но алгоритм не совсем свободный для распространения, поэтому в некоторых сборках openssl/openssh может отсутствовать(в генте за это отвечает USE=«bindist», если собрано с ним - поддержки ECDSA нет). Кому-то это может быть важно.

С другой стороны ограничивается только распространение собранных с этим алгоритмом бинарников.

Если ли такое ограничение на ed25519 - не в курсе.

Pinkbyte ★★★★★
(17.07.15 11:39:15 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	openvpn трафик не идёт через vpn

Admin

Centos 7, почему не запускается openvpn клиент?

→

Похожие темы