Re: SSH: RSA Hostkey in ~/.known_hosts, trotzdem verlangt ssh nach DSA Hostkey

From: Timo Schmidt <list-freebsd(at)xomit.de>
Date: Wed, 5 Mar 2003 20:24:14 +0100



* Bernd Walter <soekris-tech(at)cicely.de> [2003-03-05 19:55]:


> On Wed, Mar 05, 2003 at 07:30:59PM +0100, Timo Schmidt wrote:


> > 


> > folgendes verstehe ich nicht ganz. Wenn ich mich per ssh auf


> > einem anderen Rechner einloggen möchte, will ssh den DSA


> > Hostkey der anderen Maschine in meine ~/.ssh/known_hosts


> > eintragen, obwohl der RSA Hostkey bereits eingetragen ist.


> 


> DSA != RSA.



Das ist mir schon klar. Was ich nicht verstehe ist, warum


der DSA Hostkey der anderen Maschine zusätzlich benötigt


wird, wenn doch die Hostindentifizierung über den RSA


Hostkey bereits erfolgt ist.



> Aber wo ist das Problem damit den DSA Key einzutragen?



Wie gesagt, es geht mir darum zu verstehen, warum der DSA


Hostkey überhaupt noch _zusätzlich_ benötigt wird.



> > Die Authentifizierung findet über die Public/Private RSA Keys


> > statt. Von meinem NetBSD 1.6 Rechner aus (verwendet die


> > selbe, per CVS gepflegte ~/.ssh/config und ~/.ssh/known_hosts


> > Datei) kann ich mich problemlos auf der anderen Maschine


> > einloggen. Wieso also verlangt der SSH-Client auf meinem


> > FreeBSD-Rechner neben dem RSA noch den DSA Hostkey?


> 


> Weil die sich nun mal auf DSA einigen.



Aber warum einigt sich dann das SSH auf dem NetBSD-Rechner


dann auf den Austausch der RSA Hostkeys? Dort ist ebenfalls


OpenSSH in der Version 3.5p1 installiert. Und das Einloggen


auf dem _selben_ entfernten Rechner geht ohne den Austausch


der DSA Hostkeys über die Bühne.



> Mit der Authentifizierung des Logins hat das nichts zu tun,


> der kann nach wie vor RSA sein, aber für ssh-2 Protokol mußt


> du bei einigen OpenSSH Versionen die Keys anders


> Konfigurieren.  Dein User rsa Key liegt in dem Fall z.B. in


> $HOME/.ssh/id_rsa und es mag sein, daß die Gegenstelle den


> Key in $HOME/.ssh/authorized_keys2 haben möchte.



Richtig. Wie gesagt verstehe ich nur nicht, warum unter


FreeBSD 5.0 ssh zusätzlich den Austausch der DSA Hostkey


verlangt.



  -Timo



To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org


with "unsubscribe de-bsd-questions" in the body of the message


Received on Wed 05 Mar 2003 - 20:24:46 CET













search this site