15.6: load pubkey "~/.ssh/id_rsa": Invalid key length
Hallo zusammen, hat sich beim Wechsel von 15.5 auf 15.6 irgend etwas geändert, so dass ein SSH mit Keys nicht mehr funktioniert ? Unter 15.6 bekomme ich nun folgenden Fehler: load pubkey "/home/werner/.ssh/id_rsa": Invalid key length werner@obelix:~/.ssh> ssh -v root@obelix OpenSSH_9.6p1, OpenSSL 3.1.4 24 Oct 2023 debug1: Reading configuration data /home/werner/.ssh/config debug1: Reading configuration data /etc/ssh/ssh_config debug1: Reading configuration data /etc/ssh/ssh_config.d/50-suse.conf debug1: Reading configuration data /etc/crypto-policies/back-ends/openssh.config debug1: /etc/ssh/ssh_config line 31: include /usr/etc/ssh/ssh_config.d/*.conf matched no files debug1: /etc/ssh/ssh_config line 33: Applying options for * debug1: configuration requests final Match pass debug1: re-parsing configuration debug1: Reading configuration data /home/werner/.ssh/config debug1: Reading configuration data /etc/ssh/ssh_config debug1: Reading configuration data /etc/ssh/ssh_config.d/50-suse.conf debug1: Reading configuration data /etc/crypto-policies/back-ends/openssh.config debug1: /etc/ssh/ssh_config line 31: include /usr/etc/ssh/ssh_config.d/*.conf matched no files debug1: /etc/ssh/ssh_config line 33: Applying options for * debug1: Connecting to obelix [::1] port 22. debug1: Connection established. load pubkey "/home/werner/.ssh/id_rsa": Invalid key length : : debug1: Next authentication method: keyboard-interactive (root@obelix) Password: Unter 15.5, auf dem gleichen Rechner mit gleicher HOME, aber funktioniert das noch. Wie auch schon seit einigen Releases vorher. werner@obelix:~> ssh root@localhost Last login: Fri May 3 09:21:07 2024 from ::1 Have a lot of fun... root@obelix (-bash) werner@obelix:~> cd .ssh /home/werner/.ssh werner@obelix:~/.ssh> ll -rw------- 1 werner users 5,0K 27. Aug 2021 authorized_keys -rw------- 1 werner users 214 12. Feb 2021 config -rw------- 1 werner users 672 9. Dez 2020 id_dsa -rw------- 1 werner users 604 9. Dez 2020 id_dsa.pub -rw------- 1 werner users 529 9. Dez 2020 identity -rw------- 1 werner users 333 9. Dez 2020 identity.pub -rw------- 1 werner users 887 9. Dez 2020 id_rsa -rw------- 1 werner users 224 9. Dez 2020 id_rsa.pub -rw------- 1 werner users 1,8K 2. Mai 20:44 known_hosts Hat jemand einen Tipp ? viele Grüße Werner Franke
Am Di., 7. Mai 2024 um 12:23 Uhr schrieb Werner Franke <werner_franke@arcor.de>:
Unter 15.6 bekomme ich nun folgenden Fehler: load pubkey "/home/werner/.ssh/id_rsa": Invalid key length
Wechsel auf einen neuen längeren Key (4K+).
-rw------- 1 werner users 672 9. Dez 2020 id_dsa -rw------- 1 werner users 604 9. Dez 2020 id_dsa.pub
dsa ist deprecated
-rw------- 1 werner users 887 9. Dez 2020 id_rsa
Das sieht reichlich kurz aus. Gruß Martin
Mit ssh-keyinfo kann man nachsehen, was so ein Key "kann": ssh-keyinfo id_rsa (RSA) 2048 MD5 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx id_rsa (RSA) 2048 SHA256 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx id_rsa Da brauch ich wohl dann auch neue... Und DSA-Keys sind, wenn ich mich recht entsinne, schon seit Jahren nicht mehr mit aktuellen ssh-Versionen verwendbar. Am 07.05.24 um 12:26 schrieb Martin Schröder:
Am Di., 7. Mai 2024 um 12:23 Uhr schrieb Werner Franke <werner_franke@arcor.de>:
Unter 15.6 bekomme ich nun folgenden Fehler: load pubkey "/home/werner/.ssh/id_rsa": Invalid key length
Wechsel auf einen neuen längeren Key (4K+).
-rw------- 1 werner users 672 9. Dez 2020 id_dsa -rw------- 1 werner users 604 9. Dez 2020 id_dsa.pub
dsa ist deprecated
-rw------- 1 werner users 887 9. Dez 2020 id_rsa
Das sieht reichlich kurz aus.
Gruß Martin
-- Viele Grüße Michael
Am 07.05.24 um 12:26 schrieb Martin Schröder:
Am Di., 7. Mai 2024 um 12:23 Uhr schrieb Werner Franke <werner_franke@arcor.de>:
Unter 15.6 bekomme ich nun folgenden Fehler: load pubkey "/home/werner/.ssh/id_rsa": Invalid key length
Wechsel auf einen neuen längeren Key (4K+).
-rw------- 1 werner users 672 9. Dez 2020 id_dsa -rw------- 1 werner users 604 9. Dez 2020 id_dsa.pub
dsa ist deprecated
-rw------- 1 werner users 887 9. Dez 2020 id_rsa
Das sieht reichlich kurz aus.
Hmm, danke. Habe ich jetzt erzeugt mit: ssh-keygen -o -a 100 -t ed25519 Das ist jetzt wieder einige Arbeit, die dorthin zu verteilen, wo sie benötigt werden. Blöd ist nur, SSH meldet "Invalid key length", aber ich komme nur mit Key rein. Zum Glück habe ich noch ein Laptop mit 15.5 Man hat ja sonst nix zu tun. viele Grüße Werner
Am 07.05.24 um 17:44 schrieb Werner Franke:
Am 07.05.24 um 12:26 schrieb Martin Schröder:
Am Di., 7. Mai 2024 um 12:23 Uhr schrieb Werner Franke <werner_franke@arcor.de>:
Unter 15.6 bekomme ich nun folgenden Fehler: load pubkey "/home/werner/.ssh/id_rsa": Invalid key length
Wechsel auf einen neuen längeren Key (4K+).
-rw------- 1 werner users 672 9. Dez 2020 id_dsa -rw------- 1 werner users 604 9. Dez 2020 id_dsa.pub
dsa ist deprecated
-rw------- 1 werner users 887 9. Dez 2020 id_rsa
Das sieht reichlich kurz aus.
Hmm, danke.
Habe ich jetzt erzeugt mit: ssh-keygen -o -a 100 -t ed25519 Das ist jetzt wieder einige Arbeit, die dorthin zu verteilen, wo sie benötigt werden. Blöd ist nur, SSH meldet "Invalid key length", aber ich komme nur mit Key rein.
Zum Glück habe ich noch ein Laptop mit 15.5
Hm, ich musste mal per ssh auf ein Uralt-System kommen und konnte dafür in ~/.ssh/config einen solchen Eintrag anlegen: Host uralt.example.com HostKeyAlgorithms +ssh-dss Ciphers +aes256-cbc KexAlgorithms +diffie-hellman-group1-sha1 Damit hat der Zugang dann mit den angegebenen Verfahren für diesen einen alten Host funktioniert. Wenn ich mich recht erinnere, wurden die benötigten Werte in den Debug-Ausgaben ersichtlich, als ich zunächst mit ssh -v versucht hat, die Verbindung aufzubauen. Klar ist DSA deprecated, und man sollte einen anderen, längeren SSH-Key verwenden, aber wenn Unterstützung für DSA zwar noch mit eincompiliert und nur standardmäßig deaktiviert wurde, könnte dies als temporärer Workaround dienen. Martin
Am 07.05.24 um 20:03 schrieb Martin Burnicki:
Am 07.05.24 um 17:44 schrieb Werner Franke:
Am 07.05.24 um 12:26 schrieb Martin Schröder:
Am Di., 7. Mai 2024 um 12:23 Uhr schrieb Werner Franke <werner_franke@arcor.de>:
Unter 15.6 bekomme ich nun folgenden Fehler: load pubkey "/home/werner/.ssh/id_rsa": Invalid key length
Wechsel auf einen neuen längeren Key (4K+).
-rw------- 1 werner users 672 9. Dez 2020 id_dsa -rw------- 1 werner users 604 9. Dez 2020 id_dsa.pub
dsa ist deprecated
-rw------- 1 werner users 887 9. Dez 2020 id_rsa
Das sieht reichlich kurz aus.
Hmm, danke.
Habe ich jetzt erzeugt mit: ssh-keygen -o -a 100 -t ed25519 Das ist jetzt wieder einige Arbeit, die dorthin zu verteilen, wo sie benötigt werden. Blöd ist nur, SSH meldet "Invalid key length", aber ich komme nur mit Key rein.
Zum Glück habe ich noch ein Laptop mit 15.5
Hm, ich musste mal per ssh auf ein Uralt-System kommen und konnte dafür in ~/.ssh/config einen solchen Eintrag anlegen:
Host uralt.example.com HostKeyAlgorithms +ssh-dss Ciphers +aes256-cbc KexAlgorithms +diffie-hellman-group1-sha1
Damit hat der Zugang dann mit den angegebenen Verfahren für diesen einen alten Host funktioniert.
Wenn ich mich recht erinnere, wurden die benötigten Werte in den Debug-Ausgaben ersichtlich, als ich zunächst mit ssh -v versucht hat, die Verbindung aufzubauen.
Klar ist DSA deprecated, und man sollte einen anderen, längeren SSH-Key verwenden, aber wenn Unterstützung für DSA zwar noch mit eincompiliert und nur standardmäßig deaktiviert wurde, könnte dies als temporärer Workaround dienen.
Nachdem ich den ssh key unter meinem Usern erneuert habe ist mir folgende Fehlermeldung aufgefallen. error: main: Host key /etc/ssh/ssh_host_rsa_key: Invalid key length Die Keys wurden wohl schon vor längerer Zeit angelegt. Inhalt von /etc/ssh: -rw-r--r-- 1 root root 2375 25. Jun 2022 ldap.conf -rw------- 1 root root 620105 16. Mai 09:32 moduli -rw------- 1 root root 577834 10. Dez 2021 moduli.yast.orig -rw-r--r-- 1 root root 3013 16. Mai 09:32 ssh_config drwxr-xr-x 2 root root 4096 21. Mai 16:05 ssh_config.d -rw-r--r-- 1 root root 2403 10. Dez 2021 ssh_config.yast.orig -rw-r----- 1 root root 3708 16. Mai 09:32 sshd_config drwxr-xr-x 2 root root 4096 21. Mai 16:05 sshd_config.d -rw-r----- 1 root root 3420 10. Dez 2021 sshd_config.yast.orig -rw------- 1 root root 668 25. Jun 2022 ssh_host_dsa_key -rw-r--r-- 1 root root 601 25. Jun 2022 ssh_host_dsa_key.pub -rw------- 1 root root 227 25. Jun 2022 ssh_host_ecdsa_key -rw-r--r-- 1 root root 173 25. Jun 2022 ssh_host_ecdsa_key.pub -rw------- 1 root root 399 25. Jun 2022 ssh_host_ed25519_key -rw-r--r-- 1 root root 93 25. Jun 2022 ssh_host_ed25519_key.pub -rw------- 1 root root 526 25. Jun 2022 ssh_host_key -rw-r--r-- 1 root root 330 25. Jun 2022 ssh_host_key.pub -rw------- 1 root root 887 25. Jun 2022 ssh_host_rsa_key -rw-r--r-- 1 root root 221 25. Jun 2022 ssh_host_rsa_key.pub Was mache ich jetzt damit, so dass alles weiterhin funktioniert ? Einige erst mal nur auf die Seite schieben ? *dsa_key* *rsa_key* viele Grüße Werner
Am Di., 28. Mai 2024 um 23:19 Uhr schrieb Werner Franke <werner_franke@arcor.de>:
Was mache ich jetzt damit, so dass alles weiterhin funktioniert ? Einige erst mal nur auf die Seite schieben ? *dsa_key* *rsa_key*
- neue lange (3k+) rsa keys erzeugen - die dsa keys löschen "OpenSSH plans to remove support for the DSA signature algorithm in early 2025 and compile-time disable it later this year." https://www.openssh.com/releasenotes.html#9.7p1 Du wirst nicht darum herumkommen, daß die NutzerInnen sich an neue Hostkeys gewöhnen müssen. Was bitte sind ssh_host_key/ssh_host_key.pub? Gruß Martin
Am 5/28/24 um 11:28 PM schrieb Martin Schröder:
Am Di., 28. Mai 2024 um 23:19 Uhr schrieb Werner Franke <werner_franke@arcor.de>:
Was mache ich jetzt damit, so dass alles weiterhin funktioniert ?
- neue lange (3k+) rsa keys erzeugen
Nur der Vollständigkeit habe: Für 3k RSA genügt es, die RSA- Keys zu löschen und den sshd ducrchzutreten. Beim Neustart werden die dann passend generiert. Viele Grüße Ulf
Am 29.05.24 um 01:52 schrieb ulf Volmer:
Nur der Vollständigkeit habe: Für 3k RSA genügt es, die RSA- Keys zu löschen und den sshd ducrchzutreten. Beim Neustart werden die dann passend generiert.
Aber je nachdem, was man damit anstellen möchte, müssen die neuen Keys dann eventuell noch verteilt werden... -- Viele Grüße Michael
Am 29.05.24 um 11:11 schrieb Michael Behrens:
Am 29.05.24 um 01:52 schrieb ulf Volmer:
Nur der Vollständigkeit habe: Für 3k RSA genügt es, die RSA- Keys zu löschen und den sshd ducrchzutreten. Beim Neustart werden die dann passend generiert.
Aber je nachdem, was man damit anstellen möchte, müssen die neuen Keys dann eventuell noch verteilt werden...
Was sollte man damit spezielles anstellen wollen und wohin muss man sie verteilen ? Ich dachte das sind die Host-Keys für ssh, damit man prüfen kann, das man mit dem richtigen Host verbunden ist. Wenn man einmal mit dem verbunden war (Key ist dann in ~/.ssh/known_hosts enthalten), sollte keine Meldung kommen, dass der Host-Key unbekannt ist. Welcher Fall sollte also eine Verteilung notwendig machen und wohin ? viele Grüße Werner
Am Mittwoch, 29. Mai 2024, 16:51:05 CEST schrieb Werner Franke:
Was sollte man damit spezielles anstellen wollen und wohin muss man sie verteilen ?
Ich dachte das sind die Host-Keys für ssh, damit man prüfen kann, das man mit dem richtigen Host verbunden ist. Wenn man einmal mit dem verbunden war (Key ist dann in ~/.ssh/known_hosts enthalten), sollte keine Meldung kommen, dass der Host-Key unbekannt ist.
Welcher Fall sollte also eine Verteilung notwendig machen und wohin ?
viele Grüße Werner
Die keys werden auf dem Client erstellt (ssh-keygen) t und z.B. mit ssh-copy-id auf den Server verteilt. Dafür muss sich der Client aber auf den Server verbinden können, z.B. temporär die Paswort-Anmaldung einschalten. Stephan
Am 29.05.24 um 17:01 schrieb Stephan Hemeier:
Am Mittwoch, 29. Mai 2024, 16:51:05 CEST schrieb Werner Franke:
Was sollte man damit spezielles anstellen wollen und wohin muss man sie verteilen ?
Ich dachte das sind die Host-Keys für ssh, damit man prüfen kann, das man mit dem richtigen Host verbunden ist. Wenn man einmal mit dem verbunden war (Key ist dann in ~/.ssh/known_hosts enthalten), sollte keine Meldung kommen, dass der Host-Key unbekannt ist.
Welcher Fall sollte also eine Verteilung notwendig machen und wohin ?
viele Grüße Werner
Die keys werden auf dem Client erstellt (ssh-keygen) t und z.B. mit ssh-copy-id auf den Server verteilt. Dafür muss sich der Client aber auf den Server verbinden können, z.B. temporär die Paswort-Anmaldung einschalten.
Es geht hier um Host-Keys, also Keys, die unter /etc/ssh liegen und die einen Host (= Rechner) identifizieren. Ich denke, was du meinst sind User-Keys, die unter ~/.ssh liegen. Von denen kenne ich obiges Vorgehensweise. Oder sehe ich das falsch ? Gruß Werner
Am 5/29/24 um 5:54 PM schrieb Werner Franke:
Am 29.05.24 um 17:01 schrieb Stephan Hemeier:
Am Mittwoch, 29. Mai 2024, 16:51:05 CEST schrieb Werner Franke:
Was sollte man damit spezielles anstellen wollen und wohin muss man sie verteilen ?
Ich dachte das sind die Host-Keys für ssh, damit man prüfen kann, das man mit dem richtigen Host verbunden ist. Wenn man einmal mit dem verbunden war (Key ist dann in ~/.ssh/known_hosts enthalten), sollte keine Meldung kommen, dass der Host-Key unbekannt ist.
Welcher Fall sollte also eine Verteilung notwendig machen und wohin ?
viele Grüße Werner
Die keys werden auf dem Client erstellt (ssh-keygen) t und z.B. mit ssh-copy-id auf den Server verteilt. Dafür muss sich der Client aber auf den Server verbinden können, z.B. temporär die Paswort-Anmaldung einschalten.
Es geht hier um Host-Keys, also Keys, die unter /etc/ssh liegen und die einen Host (= Rechner) identifizieren.
Ich denke, was du meinst sind User-Keys, die unter ~/.ssh liegen. Von denen kenne ich obiges Vorgehensweise. Oder sehe ich das falsch ?
Du siehst das völlig richtig. Was Michael Behrends evtl. gemeint haben mag, ist, dass man auch ssh- hostkeys zentral verteilen kann. Z.B. ins DNS legen. Viele Grüße Ulf
Am 29.05.24 um 16:51 schrieb Werner Franke:
Am 29.05.24 um 11:11 schrieb Michael Behrens:
Am 29.05.24 um 01:52 schrieb ulf Volmer:
Nur der Vollständigkeit habe: Für 3k RSA genügt es, die RSA- Keys zu löschen und den sshd ducrchzutreten. Beim Neustart werden die dann passend generiert.
Aber je nachdem, was man damit anstellen möchte, müssen die neuen Keys dann eventuell noch verteilt werden...
Was sollte man damit spezielles anstellen wollen und wohin muss man sie verteilen ?
Ich dachte das sind die Host-Keys für ssh, damit man prüfen kann, das man mit dem richtigen Host verbunden ist. Wenn man einmal mit dem verbunden war (Key ist dann in ~/.ssh/known_hosts enthalten), sollte keine Meldung kommen, dass der Host-Key unbekannt ist.
Welcher Fall sollte also eine Verteilung notwendig machen und wohin ?
viele Grüße Werner
Ja , da ging's plötzlich um die Host Keys, die persönlicher werden natürlich nicht einfach automatisch beim sshd-Start neu erzeugt. Aber auch die wie oben von Ulf beschrieben neu erzeugten Host Keys müssen ja in die entsprechenden ~/.known_hosts-Files kommen. Und eventuell laufen ja irgendwelche ssh-Verbindungen automatisch mit passwortlosen Keys (Backup?), die gehen dann schief, bis jemand die Host ID wechselt. Je nach Maschinenpark kann das dann schon ausarten. -- Viele Grüße Michael
Am 29.05.24 um 20:44 schrieb Michael Behrens:
Am 29.05.24 um 16:51 schrieb Werner Franke:
Am 29.05.24 um 11:11 schrieb Michael Behrens:
Am 29.05.24 um 01:52 schrieb ulf Volmer:
Nur der Vollständigkeit habe: Für 3k RSA genügt es, die RSA- Keys zu löschen und den sshd ducrchzutreten. Beim Neustart werden die dann passend generiert.
Aber je nachdem, was man damit anstellen möchte, müssen die neuen Keys dann eventuell noch verteilt werden...
Was sollte man damit spezielles anstellen wollen und wohin muss man sie verteilen ?
Ich dachte das sind die Host-Keys für ssh, damit man prüfen kann, das man mit dem richtigen Host verbunden ist. Wenn man einmal mit dem verbunden war (Key ist dann in ~/.ssh/known_hosts enthalten), sollte keine Meldung kommen, dass der Host-Key unbekannt ist.
Welcher Fall sollte also eine Verteilung notwendig machen und wohin ?
viele Grüße Werner
Ja , da ging's plötzlich um die Host Keys, die persönlicher werden natürlich nicht einfach automatisch beim sshd-Start neu erzeugt.
Aber auch die wie oben von Ulf beschrieben neu erzeugten Host Keys müssen ja in die entsprechenden ~/.known_hosts-Files kommen. Und eventuell laufen ja irgendwelche ssh-Verbindungen automatisch mit passwortlosen Keys (Backup?), die gehen dann schief, bis jemand die Host ID wechselt. Je nach Maschinenpark kann das dann schon ausarten.
Danke, zusammen mit der ersten Antwort von Ulf, war das ein weiterer, für mich hilfreicher, Hinweis. viele Grüße Werner
participants (6)
-
Martin Burnicki -
Martin Schröder -
Michael Behrens -
Stephan Hemeier -
ulf Volmer -
Werner Franke