□Cisco機器の設定に関わる人で暇な人。
今回は”crypto key generate rsa”で作成できる鍵サイズについて、調べた結果を紹介していきます。
セットアップの際に、深く考えずいつも2048ビットで設定していたので、これは良くないと思い調べてみました。
後輩ができた時に説明できないと恥ずかしいですしね。
そもそも”crypto key generate rsa”コマンドとは?
ssh接続に必要な公開鍵と秘密鍵を生成するコマンドです。
RSA鍵を生成しないと、ssh接続元はcisco機器の認証ができず、ssh接続ができません。
また、
crypto key generate rsa
コマンドは、ホスト名とドメイン名を元にRSA鍵を生成するため、先にドメイン名を設定する必要があります。
これらの情報をRSA鍵に組込むことで、ssh接続元はRSA鍵を生成したデバイスが、接続先のcisco機器であることを確認できるようになります。
RSA鍵の最大サイズは
以下、Ciscoサイトのコマンド履歴を見ると、4096が最大のビット数のようです。
IOS15.1(1)Tから拡張されたとのことですが、通信相手の機器も4096ビットに対応する必要があるため、通常は推奨されている2048ビットでの生成で良さそうですね。
基本的にはデフォルトだと2048ビットで生成されるようですが、古いIOSだと不安なので常に2048ビットを指定して生成しようと思います。
まとめ
Cisco機器で対応しているRSA鍵の最大サイズは、IOS15.1(1)Tバージョン以降で4096ビットでした。
NISTでは、鍵長3072ビットの導入を2030年まで推奨としているため、今後の業界の動向を見ながら、2048ビットがデフォルトという考え方を切り替えていく必要がありそうですね。
何も考えず2048ビットで鍵を生成していてのが恥ずかしいです。。
最後まで読んでいただきありがとうございました。
