OpenSSH: авторизація на основі ключа, максимальна довжина ключа

Я використовую Putty у Windows з аутентифікацією на основі ключів для доступу до деяких шахтних серверів.

Він працює чудово з ~ 3700-бітним ключем, але з ~ 17000-бітним ключем він думає приблизно 20 секунд на стороні клієнта, а потім просто каже "Доступ заборонено" і запитує пароль.

Чи є обмеження довжини ключа або час очікування у OpenSSH для аутентифікації на основі ключів?

Я розумію, що використання таких великих клавіш не має особливого практичного сенсу, особливо, дивлячись на ці 20 секунд обчислення, просто намагаючись вирішити будь-які проблеми, з якими я стикаюся: -) ...

Якось я заглянув у джерело OpenSSL для ключів Diffie-Hellman, і виявив, що існує "довільне" обмеження 10K щодо розміру ключів DH. Я змінив джерело для тестування і виявив, що це спрацювало. Я написав помилку авторам, і вони відповіли, що це було задумом запобігти DoS за допомогою масивних клавіш.

Не здивував би мене те, що побачив щось подібне у OpenSSH.

У протоколі не визначено максимального розміру або тайм-ауту (або принаймні жодного, який би ви потрапляли), але реалізація може не підтримувати такі довгі клавіші. 20-секундний час обробки за допомогою приватного ключа не є високим для 17-бітового ключа RSA. Тоді сервер може не захотіти витрачати занадто багато обчислювальної потужності на неавторизованого користувача: відмова від дуже великих клавіш - це захист від DoS-атак.

В даний час 2048 біт вважається розумним для ключа RSA; 4096 біт вище, ніж потрібно, але зазвичай підтримується; Крім цього, ви не повинні дивуватися, якщо деякі програми відхиляють ключ.

Чи змогли ви створити такий розмір ключа в цільовій цільовій системі? Можливо, ви маєте обмеження на те, що підтримується. Швидше поточна система Centos шахти підтримує максимум 16 кб, що здається достатнім для масивних клавіш. Ви повинні побачити максимум, якщо спробуєте перейти над ним за допомогою ssh-keygen, як показано нижче.

[nathan@omni ~]# ssh-keygen -t rsa -b 32768
key bits exceeds maximum 16384

На сервері Opensh є налаштування LoginGraceTime. На чоловіковій сторінці:

The server disconnects after this time if the user has not suc-
cessfully logged in.  If the value is 0, there is no time limit.
The default is 120 seconds.

Це може бути обмеженням, до якого ви потрапляєте, якщо він встановлений на 20 секунд.

Дивна здогадка: Можливо також, що сама шпаклівка має цю межу, думаючи, що якщо обробка автентифікацією відкритого ключа на стороні клієнта займе так довго, щось не так.