Inhaltsverzeichnis
Werbung
Referenzhandbuch
2 Konfiguration
2.13.2 Individuelle SSH-Schlüssel manuell erzeugen
Sie haben die Möglichkeit, die werksseitig installierten sowie die automatisch generierten SSH-/SSL-Schlüssel durch
eigene RSA- und DSA- oder DSS-Schlüssel zu ersetzen, um z. B. eine höhere Verschlüsselungsstärke zu realisieren. Dafür
stehen Ihnen mehrere Wege zur Auswahl:
1
Sie lassen den individuellen Schlüssel auf der Konsole direkt durch LCOS erzeugen.
1
Sie erzeugen mit einem externen Programm einen OpenSSH-Private-Key und laden diesen Schlüssel anschließend
als SSH - DSA-Schlüssel [...] oder SSH - RSA-Schlüssel (*.key [BASE64
unverschlüsselt]) in das Gerät.
Der Weg über ein externes Programm bietet sich z. B. dann an, wenn Ihr Gerät über keine hinreichende Entropie verfügt
und dadurch die Schlüsselerzeugung unter LCOS fehlschlägt.
SSH-Schlüsselerzeugung unter LCOS
Die Erzeugung eines Schlüsselpaares – bestehend aus einem öffentlichen und einem privaten Schlüssel – starten Sie an
der Konsole des Gerätes mit folgendem Befehl:
sshkeygen [-?|-h] [-t (dsa|rsa|ecdsa)] [-b <Bits>] -f <OutputFile> [-q]
-?, -h
Zeigt eine kurze Hilfe der möglichen Parameter.
-t (dsa|rsa|ecdsa)
Dieser Parameter bestimmt den Typ des erzeugten Schlüssels. Insgesamt unterstützt SSH folgende Typen von
Schlüsseln:
1
RSA-Schlüssel sind am weitesten verbreitet und haben eine Länge von 512 bis zu 16384 Bit. Verwenden
Sie nach Möglichkeit Schlüssel mit einer Länge von 1024 bis 2048 Bit.
1
DSA-Schlüssel folgen dem Digital Signature Standard (DSS) des National Institute of Standards and
Technology (NIST) und werden z. B. in Umgebungen eingesetzt, die eine Compliance mit dem Federal
Information Processing Standard (FIPS) erfordern. DSA- oder DSS-Schlüssel haben immer eine Länge von
1024 Bit, sind aber langsamer als die entsprechenden RSA-Schlüssel.
1
ECDSA-Schlüssel sind eine Variante von DSA-Schlüsseln, bei der das Gerät für die Schlüsselerzeugung
elliptische Kurven verwendet (Elliptic Curve Cryptography, ECC). Die ECC ist eine Alternative zu den
klassischen Signatur- und Schlüsselaustauschverfahren wie RSA und Diffie-Hellman. Der Hauptvorteil von
elliptischen Kurven liegt darin, dass Sie durch deren mathematische Eigenschaften die gleiche
Schlüsselstärke wie bei RSA oder Diffie-Hellman mit einer deutlich kürzeren Schlüssellänge erreichen. Dies
erlaubt eine bessere Leistung bei äquivalenter Hardware. ECC und deren Integration in SSL und TLS sind
in den RFCs 5656 und 4492 beschrieben.
Wenn Sie keinen Typ angeben, erzeugt das Kommando immer einen RSA-Schlüssel.
-b <Bits>
Dieser Parameter bestimmt die Länge des Schlüssels in Bit für RSA-Schlüssel. Wenn Sie keine Länge angeben,
erzeugt das Kommando immer einen Schlüssel mit einer Länge von 1024 Bit.
-f <OutputFile>
Über diesen Parameter geben Sie den Mountingpoint der erzeugten Schlüsseldatei im Dateisystem des Gerätes
an. Die Wahl des Mountingpoints hängt davon ab, was für einen Schlüssel sie von welchem Typ erzeugen.
Zur Auswahl stehen Ihnen in diesem Fall:
1
ssh_rsakey für RSA-Schlüssel
1
ssh_dsakey für DSA-Schlüssel
1
ssh_ecdsakey für ECDSA-Schlüssel
1
ssl_privkey für SSL-RSA-Schlüssel
94
Werbung
Inhaltsverzeichnis
