[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [lugbe] ssh2 -> openssh
Hallo Markus
Dein Mail ist zwar schon aelter aber ich moechte doch etwas dazu
sagen.
On Mon, Mar 12, 2001 at 12:35:24PM +0100, Markus Wernig IT2 wrote:
> 1) kann es den private key, der mit ssh-keygen2 (von ssh.com) erzeugt wurde,
> nicht lesen; ein umsteigen von ssh2 auf openssh (und umgekehrt) bedeutet also
> verlust aller keys.
Ich muss gerade ein Security Konzept fuer eines unserer Produkte
ausarbeiten und habe deshalb begonnen mich schlau zu machen.
Beim lesen der relevanten Doku bin ich auf folgende optionen gestossen
und hat mir dein Mail in Erinnerung gerufen.
Das OpenSSH manual (Version 2.9) (ssh-keygen(1)) sagt dies:
-i This option will read an unencrypted private (or public) key file
in SSH2-compatible format and print an OpenSSH compatible private
(or public) key to stdout. ssh-keygen also reads the `SECSH
Public Key File Format'. This option allows importing keys from
several commercial SSH implementations.
> 2) erzeugt es public keys, die sich nicht an den rfc
> (http://www.openssh.com/txt/draft-ietf-secsh-publickeyfile-00.txt) halten,
> sondern erst von hand in eine kompatible form gebracht werden muessen
> (ssh-keygen -t dsa -x -f id_dsa > id_dsa.pub)
Das OpenSSH manual (Version 2.9) (ssh-keygen(1)) sagt auch dies:
-e This option will read a private or public OpenSSH key file and
print the key in a `SECSH Public Key File Format' to stdout.
This option allows exporting keys for use by several commercial
SSH implementations.
Da es explizit erwaehnt ist, dass das von dir referenzierte File Format
unterstuetzt wird, koennte ich mir vorstellen, dass du diese optionen
uebersehen hast oder eine andere Version benutzt hast.
Der von dir referenzierte Internet-Draft ist leider noch nicht ein RFC
geworden und ist daher als "work in progress" zu betrachten. Daher kann
man sich eigentlich nicht beschweren wenn die jeweiligen Spezifikationen
noch nicht implementiert sind, auch wenn dies im moment sicherlich
aergerlich erscheint.
Uebrigens gibt es bereits eine neuere Version vom Maerz 2001:
http://www.ietf.org/internet-drafts/draft-ietf-secsh-publickeyfile-01.txt
Die secsh charter findest du uebrigens hier:
http://www.ietf.org/html.charters/secsh-charter.html
Wie es aussieht sollte es nicht mehr lange dauern bis es ein RFC wird.
Gruss
Stefan