ssh-keygen: -d undokumentiert?

29/11/2008 - 10:46 von Heino Tiedemann | Report spam
Hallo,

ich habe kein Problem, sondern nur eine Auffàlligkeit in den gefunden,
die mich interessiert:

In gewissen SSH-Howtos liest man, dass man ein DSA schlüsselpaar mit
"ssh-keygen -d" erzeugen kann. Das scheint ein Äquivalent zu sein zu
"ssh-keygen -t dsa".

Ich wundere mich ein wenig, denn diese Option "-d" ist anscheinend
nirgends Dokumentiert.

Ich habe manpages und infopages zu ssh-keygen auf mehreren Rechnern
(FreeBSD / diverse Linux) gelesen, aber nirgends taucht "klein d" auf
(Groß D gibt's, aber das hat eine andere Bedeutung).

Wieso ist dann das so undokumentiert? Und woher wissen die Autoren der
Howtos davon, wenn es doch nicht erwàhnt wird? Ist das vielleicht ein
alter Parameter, der demnàchst raus soll?

Heino
 

Lesen sie die antworten

#1 naddy
29/11/2008 - 16:17 | Warnen spam
Heino Tiedemann wrote:

In gewissen SSH-Howtos liest man, dass man ein DSA schlüsselpaar mit
"ssh-keygen -d" erzeugen kann. Das scheint ein Äquivalent zu sein zu
"ssh-keygen -t dsa".

Ich wundere mich ein wenig, denn diese Option "-d" ist anscheinend
nirgends Dokumentiert.



Bei OpenSSH ist das Absicht. "-d" existiert nur noch zur Kompatibilitàt.

Als OpenSSH Unterstützung für dass SSH-2-Protokoll bekam, wurden
anfangs nur DSA-Schlüssel unterstützt. ssh-keygen hat per Default
RSA-Schlüssel für SSH1 erzeugt, mit "-d" DSA-Schlüssel für SSH2.
Etwas spàter - vor ziemlich genau acht Jahren - wurde dann auch
Unterstützung für RSA-Schlüssel mit SSH2 hinzugefügt und dabei die
heutige Syntax "-t {rsa1|rsa|dsa}" eingeführt.

DSA-Schlüssel wurden überhaupt nur eingeführt, weil RSA seinerzeit
noch patentiert war. Mit dem Auslaufen des Patents hat sich das
erledigt. Außerdem sind DSA-Schlüssel nach Spezifikation (FIPS 186-2)
auf 1024 Bit Lànge begrenzt: Alle paar Jahre die Schlüssellànge
hochschrauben, wie mit RSA beliebt, ist nicht drin.

OpenSSH bevorzugt RSA gegenüber DSA. Nur bei FreeBSD wurde das
umgedreht, was aber seit dem Import von OpenSSH 5.x auch entfallen
ist.

Christian "naddy" Weisgerber

Ähnliche fragen