Open KEINOS opened 3 years ago
メッセージ内容難しい ... こんな感じ?
*** WARNING : deprecated key derivation used.
Using -iter or -pbkdf2 would be better.
*** WARNING: 互換性のため旧形式(ssa-rsa)のアルゴリズムが使用されています。 (deprecated key derivation used.)
この警告は、将来的に新形式(ssa-rsa2)固定になるまで表示されます
Issue 対応について
この Issue は、WARNING の英語表記を日本語にするだけとします。
-iter
の回数や、相手が-pbkdf2
に対応していない場合などの仕様も決まっていませんが、セキュリティリスクがあることは明確なので、日本語で表示させることで QiiCipher の不具合ではないことを明確化するためです。OpenSSH 7.2 以降で
-pbkdf2
は使えるらしいので、#23 でディスカッションしている OpenSSL と OpenSSH の minimum バージョンの方向性が見えてきたら-pbkdf2
をデフォルトにしてもいいかもしれません。参考情報
deprecated key derivation used.
openssl enc
などで-salt
オプションを有効(デフォルトで有効)にした状態かつ-pbkdf2
オプションが指定されていない、つまり古い関数(pbkdf1
=function 1
)が使われている状態で OpenSSH が呼び出されると表示される。Using -iter or -pbkdf2 would be better
-iter
オプションでキーストレッチ回数を指定するか、-pbkdf2
でパスワード・ハッシュにfunction 2
(RSA SHA-2)を使わせる設定をすることをオススメしている。key derivation
salt
値を付けてハッシュ化した値をパスコードとすることで強度を強くさせる手法があり、「パスワード・ハッシュ関数」は専用(パスワード専用)のハッシュ関数のことを言う。その際のアルゴリズムに、デフォルトでSHA-1
を使うが-pbkdf2
オプションを使うとSHA-2
のアルゴリズムを使う。