OpenSSH akzeptiert keine ECDSA-Schlüssel

9

Ich habe gerade einen ECDSA-Schlüssel generiert mit ssh-keygen:

ssh-keygen -t ecdsa -b 521

Anschließend habe ich diesen Schlüssel auf meinen Server kopiert:

cat .ssh/id_ecdsa.pub | ssh myserver "tee -a .ssh/authorized_keys"

Ich habe überprüft, ob mein Schlüssel in der Datei enthalten ist.

Wenn ich jedoch versuche, eine Verbindung herzustellen, wird meine Verbindung abgelehnt:

ssh -v -i .ssh/id_ecdsa myserver

Protokolle:

OpenSSH_5.9p1 Debian-5ubuntu1.1, OpenSSL 1.0.1 14 Mar 2012
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug1: Connecting to myserver [192.168.1.1] port 22.
debug1: Connection established.
debug1: identity file .ssh/id_ecdsa type 3
debug1: Checking blacklist file /usr/share/ssh/blacklist.ECDSA-521
debug1: Checking blacklist file /etc/ssh/blacklist.ECDSA-521
debug1: identity file .ssh/id_ecdsa-cert type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_6.1
debug1: match: OpenSSH_6.1 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.9p1 Debian-5ubuntu1.1
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Server host key: RSA 10:27:b8:78:2c:e1:e3:42:8e:e3:66:c4:cc:4e:f1:c0
debug1: Host 'myserver' is known and matches the RSA host key.
debug1: Found key in /home/naftuli/.ssh/known_hosts:73
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey
debug1: Next authentication method: publickey
debug1: Offering ECDSA public key: .ssh/id_ecdsa
debug1: Authentications that can continue: publickey
debug1: No more authentication methods to try.
Permission denied (publickey).

Fand dies in den Serverprotokollen:

auth.info sshd[13874]: userauth_pubkey: unsupported public key algorithm: ecdsa-sha2-nistp521 [preauth]

Sowohl mein Client als auch der Server verwenden OpenSSH. Die OpenSSH-Version des Servers ist OpenSSH 6.1, die OpenSSH-Version meines Clients ist OpenSSH 5.9.

Wie kann ich feststellen, welche Schlüsselalgorithmen von meinem Server unterstützt werden?

ssh Naftuli Kay
quelle
OpenWRT 12.09 Einstellung anpassen. Ich kann den OpenSSH-Server bei Bedarf neu kompilieren. Gibt es eine Möglichkeit, zumindest die unterstützten Algorithmen aufzulisten?
Naftuli Kay

Antworten:

7

Wie viele andere eingebettete Systeme verwendet OpenWrt Dropbear als SSH-Server, nicht das schwerere OpenSSH, das auf Linux-Systemen häufig verwendet wird. Ältere Versionen von Dropbear unterstützen nur RSA- und DSA-Schlüssel. Die Unterstützung für ECDSA wurde erst in Version 2013.62 hinzugefügt (die erst vor wenigen Tagen veröffentlicht wurde).

Es sollte bald in Barrier Breaker (Kofferraum) erscheinen; Sie werden es jedoch nicht in der Einstellung sehen.

Michael Hampton
quelle
Ich habe OpenSSH tatsächlich auf meinem OpenWRT-Router installiert und konfiguriert. Deshalb bin ich überrascht, dass es nicht funktioniert.
Naftuli Kay
dh: Ich benutze Dropbear nicht und es wurde deinstalliert.
Naftuli Kay
In diesem Fall sind Sie (1) allein und (2) anscheinend außerhalb der Grenzen dessen, was ich in einem professionellen Umfeld erwarten würde.
Michael Hampton
Ich gehe davon aus. Ich werde OpenWRT darüber kontaktieren und sehen, was ich tun kann. OpenSSH wird als Paket in OpenWRT bereitgestellt, daher frage ich mich, warum ich mich dadurch selbstständig machen würde.
Naftuli Kay
0

ecdsawird ab openssh-server Version 5.7 unterstützt . Welche Version von openssh-server verwenden Sie? Führen Sie aus dpkg -l | grep openssh-server | awk '{print $3}' | cut -d: -f2, um die Version zu finden.

Slayedbylucifer
quelle
0

Wenn Ihr System Red Hat Enterprise Linux 6.4 (oder älter) oder Fedora 19 (oder älter) ist, beachten Sie, dass ECDSA von dort entfernt wurde. Ich habe keine Details, warum das so war (vielleicht aus rechtlichen Gründen): https://www.mail-archive.com/[email protected]/msg00755.html

lzap
quelle
ECDSA ist in RHEL 6.5. als Teil von openssl 1.0.1 und beachten Sie auch, dass das OP klarstellt, dass sie OpenWRT 12.09
user9517
Oh, richtig, bearbeitet.
lzap
3
Ja, es waren rechtliche Gründe. Bis heute ermöglicht aufgrund der Patente nicht jeder Distributor die Kryptographie mit elliptischen Kurven. RedHat hat nach sorgfältiger rechtlicher Prüfung nur einige Kurven aktiviert, nicht ECC im Allgemeinen, aber diejenigen, die sie aktiviert haben, waren NIST (und damit NSA) beeinflusst. Möglicherweise möchten Sie sich von ECC fernhalten, auch wenn die reduzierte Rechenleistung täuschend gut ist.
Mirabilos
0

Lassen Sie das hier, weil mir das passiert ist:

Tag 1: Einrichten eines neuen Computers, ich habe die Schlüssel kopiert - meine zuerst - und konnte mich gut anmelden.

Tag 2: Ich kann mich nicht mit meinem ed25519-Schlüssel anmelden. Huh? Ich füge einen RSA-Schlüssel hinzu. Es klappt. Ich generiere einen neuen ed25519-Schlüssel und er funktioniert ... aber mein alter nicht. WTF?

Es stellte sich heraus, dass ich nach dem Testen meinen Schlüssel als Backup in .ssh / autorisierte_keys von root installiert habe ... und vergessen habe, die Berechtigungen für diese Datei zu korrigieren. Daher hat openssh meinen Schlüssel auf die schwarze Liste gesetzt, sodass ich mich nicht anmelden konnte. Durch das Korrigieren der Dauerwellen auf /root/.ssh/authorized_keys konnte ich mich als mein Benutzer anmelden .

pjz
quelle