¿La propiedad RekeyLimit en sshd_config obliga a re-keying / key re-exchange?

5

He establecido la propiedad RekeyLimit en sshd_config y he intentado realizar un SSH. Sin embargo, no pude ver el cambio de clave en los registros detallados, todo lo que veo es el mensaje de registro a continuación al inicio de la sesión (en mis registros del servidor sshd).

debug3: rekey after 2048 bytes, 0 seconds [preauth]

Solo cuando habilito RekeyLimit en mi cliente SSH ( ssh_config ) o uso ~ R, veo los registros relacionados con la actividad de cambio de clave.

¿Se espera esto? ¿No debería la propiedad RekeyLimit en sshd_config imponer el cambio de clave?

Estoy usando OpenSSH 6.7.

    
pregunta Avinash 18.11.2015 - 11:29
fuente

1 respuesta

2

En realidad, esta es una pregunta bastante interesante. Tuve que estudiarlo, cómo funciona realmente. El inicio directo del cambio de clave usando ~R funciona bien como lo describe y se espera. Si las fuerzas del cliente vuelven a activarse, también funciona, pero el lado del servidor se suprime de alguna manera. En el código, esta variable se maneja sin especial cuidado y, si tengo razón, la oferta del cliente sobrescribe la configuración del servidor, que puede no ser intencional y puede ser un tema interesante en openssh-unix-dev list , si no hay una mejor respuesta.

No se especifica en RFC4253 , cómo debe manejarse, por lo que es un detalle de la implementación.

Sin embargo, el cambio de clave no debería ser necesario para hacer más frecuentemente que el valor predeterminado, ya que se debe a que el número de secuencia MAC se ajusta [ RFC4251] .

Editar: el cambio de clave se modificó un poco y en openssh-7.2 debería funcionar mejor.

    
respondido por el Jakuje 18.11.2015 - 13:51
fuente

Lea otras preguntas en las etiquetas