[debian-devel:12330] Re: ssh のパスワード

[Kazuo Oishi <oishi@xxxxxxxxxxxxxxx>]

あまり詳しいわけではないです。

>>>>> `二之宮' = Yuuki NINOMIYA <gm@debian.or.jp> wrote:
二之宮> 　ssh で master にログイン、あるいは cvs へアクセスを行う際に、
二之宮> master に ~/.ssh/identify.pub しかなかったら UNIX パスワードで
二之宮> 認証され、「cp ~/.ssh/identify.pub ~/.ssh/authorized_keys」して
二之宮> あったら、パスフレーズの入力を求められて、RSA で認証されますよね。

実際には identity.pub (ですよね?)の有無は関係がなく、
authorized_keys だけを見るはずです。

二之宮> これってどっちがより安全で、もうちょっと言うと、Debian JP では
二之宮> どちらを推奨するのでしょうか？

安全と言う面では、UNIX password での認証も許可されているときには
どちらでも同じことだと理解しています。(password 認証のセッション
も暗号化されているため。)

もちろん RSA での認証のみ許可するような運用にすればそちらのほうが
より安全になるでしょうけど。passphrase には文字数の制限がないので。

二之宮> 　それと、ssh でアクセスする度に、

二之宮> Warning: Server lies about size of server host key: actual size is 1023 bits vs. announced 1024.
二之宮> Warning: This may be due to an old implementation of ssh.

二之宮> 　と言われてしまうのですが、これは私だけでしょうか？

/usr/share/doc/ssh/UPGRADING.gz より、

: 4. Warning messages about key lengths
:
: Commercial SSH's ssh-keygen program contained a bug which caused it to
: occasionally generate RSA keys which had their Most Significant Bit
: (MSB) unset. Such keys were advertised as being full-length, but are
: actually only half as secure.
: 
: OpenSSH will print warning messages when it encounters such keys. To
: rid yourself of these message, edit you known_hosts files and replace
: the incorrect key length (usually "1024") with the correct key length
: (usually "1023").

だそうですよ。

-- 
大石一雄 (OISHI Kazuo)