Hallo, On 1/16/2007 11:00 AM, Ekkard Gerlach wrote:

Hallo, ich erzeuge seit Jahre mit unterschiedlichen Suse's RSA-Keys 2048Bit. Mit Suse 10.2 geht das nicht mehr:

# ssh-keygen -b 2048 -t dsa -N "" DSA keys must be 1024 bits

Die Option -b steht für RSA-key, so meine Recherchen mit google.

Nein, -b steht für die Schlüssellänge in bits. Das kann man sogar ohne google rauskriegen - ssh-keygen --help oder man ssh-keygen z.B.

Danach steht der Schlüssel in ~/.ssh/id_dsa.pub. Das "id_dsa.pub" wundert mich heute, erzeuge ich doch RSA-Keys und nicht DSA-Keys. Habe mich all die Zeit nicht weiter darum gekümmert weil es funktionierte.

Ist dir in deinem Befehl das '-t dsa' aufgefallen? Hast du mal '-t rsa' probiert?

was läuft mit 10.2 anderst?

Ich hatte mal eine Übersicht der Unterschiede zwischen DSA und RSA, und deren sinnvoller Verwendung, finde ich jetzt aber leider nicht. Das kann vielleicht jemand anders erklären :-) Allerdings kann ich unter SuSE 9.2 sowohl DSA wie auch RSA-keys mit 2048 Bits Schlüssellänge erzeugen. Arno

Gruss Ekkard

-- IT-Service Lehmann al@its-lehmann.de Arno Lehmann http://www.its-lehmann.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

* Ekkard Gerlach wrote on Tue, Jan 16, 2007 at 11:00 +0100:

Hallo, ich erzeuge seit Jahre mit unterschiedlichen Suse's RSA-Keys 2048Bit. Mit Suse 10.2 geht das nicht mehr:

# ssh-keygen -b 2048 -t dsa -N "" DSA keys must be 1024 bits

Stimmt, auf 'ner 8.2 geht das Kommando: steffen@link:~> ssh-keygen -b 2048 -t dsa -N "" -f x Generating public/private dsa key pair. Your identification has been saved in x. Your public key has been saved in x.pub. The key fingerprint is: d6:34:da:f4:21:d5:78:61:8d:70:94:c5:d1:0d:89:b3 steffen@link

... so meine Recherchen mit google. ...

[na, da gab's wohl kleine Fall akuter Verwirrung und schon genug Kommentare]

was läuft mit 10.2 anderst?

DSA (FIPS-PUB 186-2, siehe [1]) erlaubt Schlüssellängen von 512 bis 1024 Bit, siehe [1], Seite 10, "4 DSA Parameters", Parameter 1. Die Begrenzung auf 1024 wird kritisiert. Google fand Deine Frage übrigens schon, z.B. auf securityfocus [2]. ssh-keygen erzeugte früher vermutlich Schlüssel, die keine (korrekten) DSA-Schlüssel waren. Aus den Changes von OpenSSH [3]:

Some of the other bugs resolved and internal improvements are:

* Reduce default key length for new DSA keys generated by ssh-keygen back to 1024 bits. DSA is not specified for longer lengths and does not fully benefit from simply making keys longer. As per FIPS 186-2 Change Notice 1, ssh-keygen will refuse to generate a new DSA key smaller or larger than 1024 bits

Ja, und nu refust' es :-) oki, Steffen [1] http://csrc.nist.gov/publications/fips/fips186-2/fips186-2-change1.pdf [2] http://www.securityfocus.com/archive/121/446006/30/210/threaded [3] http://www.openssh.com/txt/release-4.3 -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org