* Ekkard Gerlach wrote on Tue, Jan 16, 2007 at 11:00 +0100:
Hallo, ich erzeuge seit Jahre mit unterschiedlichen Suse's RSA-Keys 2048Bit. Mit Suse 10.2 geht das nicht mehr:
# ssh-keygen -b 2048 -t dsa -N "" DSA keys must be 1024 bits
Stimmt, auf 'ner 8.2 geht das Kommando: steffen@link:~> ssh-keygen -b 2048 -t dsa -N "" -f x Generating public/private dsa key pair. Your identification has been saved in x. Your public key has been saved in x.pub. The key fingerprint is: d6:34:da:f4:21:d5:78:61:8d:70:94:c5:d1:0d:89:b3 steffen@link
... so meine Recherchen mit google. ...
[na, da gab's wohl kleine Fall akuter Verwirrung und schon genug Kommentare]
was läuft mit 10.2 anderst?
DSA (FIPS-PUB 186-2, siehe [1]) erlaubt Schlüssellängen von 512 bis 1024 Bit, siehe [1], Seite 10, "4 DSA Parameters", Parameter 1. Die Begrenzung auf 1024 wird kritisiert. Google fand Deine Frage übrigens schon, z.B. auf securityfocus [2]. ssh-keygen erzeugte früher vermutlich Schlüssel, die keine (korrekten) DSA-Schlüssel waren. Aus den Changes von OpenSSH [3]:
Some of the other bugs resolved and internal improvements are:
* Reduce default key length for new DSA keys generated by ssh-keygen back to 1024 bits. DSA is not specified for longer lengths and does not fully benefit from simply making keys longer. As per FIPS 186-2 Change Notice 1, ssh-keygen will refuse to generate a new DSA key smaller or larger than 1024 bits
Ja, und nu refust' es :-) oki, Steffen [1] http://csrc.nist.gov/publications/fips/fips186-2/fips186-2-change1.pdf [2] http://www.securityfocus.com/archive/121/446006/30/210/threaded [3] http://www.openssh.com/txt/release-4.3 -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org