OpenSSH: Otorisasi berbasis kunci, panjang kunci maksimum

Saya menggunakan Putty di windows dengan otentikasi berbasis kunci untuk mengakses beberapa server tambang.

Ini berfungsi sangat baik dengan ~ 3700-bit key, tetapi dengan ~ 17000-bit key itu berpikir seperti 20 detik di sisi klien dan kemudian hanya mengatakan "Akses ditolak" dan meminta kata sandi.

Apakah ada batasan panjang kunci atau batas waktu di OpenSSH untuk otentikasi berbasis kunci?

Saya mengerti bahwa menggunakan tombol besar seperti itu tidak memiliki arti praktis, terutama ketika melihat 20 detik perhitungan ini, hanya mencoba untuk menyelesaikan masalah yang saya hadapi: -) ...

Pada satu titik saya mencari sumber OpenSSL untuk kunci Diffie-Hellman, dan menemukan ada batas 10K "sewenang-wenang" pada ukuran kunci DH. Saya mengubah sumber untuk tes, dan ternyata berhasil. Saya menulis bug kepada penulis, dan mereka menjawab kembali bahwa itu adalah maksud desain untuk mencegah DoS dengan menggunakan kunci besar.

Tidak akan mengejutkan saya melihat sesuatu yang serupa di OpenSSH.

Tidak ada ukuran kunci maksimum atau batas waktu yang ditentukan dalam protokol (atau setidaknya tidak ada yang akan Anda tekan), tetapi implementasi mungkin tidak mendukung kunci panjang tersebut. Waktu pemrosesan 20 detik dengan kunci pribadi tidak terdengar tinggi untuk kunci RSA 17kbit. Maka server mungkin tidak ingin menghabiskan terlalu banyak daya komputasi pada pengguna yang tidak diautentikasi: menolak kunci yang sangat besar adalah perlindungan terhadap serangan DoS.

Saat ini 2048 bit dianggap masuk akal untuk kunci RSA; 4096 bit lebih tinggi dari yang diperlukan tetapi biasanya didukung; di luar ini Anda tidak perlu heran jika beberapa program menolak kunci.

Apakah Anda dapat menghasilkan ukuran kunci pada sistem target yang dimaksud? Anda mungkin berlari ke batas untuk apa yang didukung. Sistem tambang Centos saat ini mendukung maksimum 16k yang tampaknya cukup untuk kunci besar. Anda akan melihat maksimum jika Anda mencoba untuk pergi di atasnya dengan ssh-keygen seperti yang ditunjukkan di bawah ini.

[nathan@omni ~]# ssh-keygen -t rsa -b 32768
key bits exceeds maximum 16384

Server openssh memiliki pengaturan LoginGraceTime. Dari halaman manual:

The server disconnects after this time if the user has not suc-
cessfully logged in.  If the value is 0, there is no time limit.
The default is 120 seconds.

Ini bisa menjadi batas yang Anda pukul jika disetel ke 20 detik.

Tebakan liar: Bisa juga dempul itu sendiri memiliki batas ini, berpikir bahwa jika klien memproses otentikasi kunci publik membutuhkan waktu yang lama, ada sesuatu yang salah.