OpenSSH 声明 ssh-rsa 已弃用。接下来我该怎么做?

信息安全 SSH 密钥管理 打开sh
2021-08-13 02:36:02

随着OpenSSH的 8.2 版本,他们宣布ssh-rsaSHA-1 将很快从默认值中删除:

未来的弃用通知

现在可以[1]以不到 5 万美元的价格对 SHA-1 哈希算法执行选择前缀攻击。出于这个原因,我们将ssh-rsa在不久的将来的版本中禁用默认依赖于 SHA-1 的公钥签名算法。

不幸的是,尽管存在更好的替代方案,但该算法仍然被广泛使用,它是原始 SSH RFC 指定的唯一剩余的公钥签名算法。

如果我有(并且可能会使用,但不确定在哪里)ssh-rsa钥匙,我接下来的步骤是什么?假装我还没有另一把钥匙。

  1. 生成新密钥。
  2. 向已知服务添加新密钥。
  3. 重命名旧密钥,使其不会自动被拾取?
    • 这是为了在我尝试使用曾经可以工作的服务器时轻推我,所以我添加了新密钥。
  4. ???
1个回答

你不需要对你的钥匙做任何事情。从您引用的同一页面:

更好的选择包括:

  • RFC8332 RSA SHA-2 签名算法 rsa-sha2-256/512。这些算法的优点是使用与“ssh-rsa”相同的密钥类型,但使用安全的 SHA-2 哈希算法。这些从 OpenSSH 7.2 开始就受支持,并且如果客户端和服务器支持它们,则默认情况下已经使用它们。

(强调我的)

其它你可能感兴趣的问题
上一篇在 Windows 上监控文件访问 下一篇防止在应用注册流程中滥用 OTP