OpenWrt 24.10版本中Dropbear对Ed25519密钥支持的变化

在OpenWrt 24.10版本中，针对ramips/mt76x8目标设备的用户可能会发现一个显著变化：Dropbear SSH服务器不再支持Ed25519密钥认证。这一变化源于OpenWrt项目对小型闪存设备的优化调整。

技术背景

Ed25519是一种基于椭圆曲线的公钥密码系统，相比传统的RSA算法具有密钥更短、计算更快、安全性更高等优点。在之前的OpenWrt 23.05.5版本中，Dropbear默认支持这种现代加密算法。

然而，在OpenWrt 24.10版本中，mt76x8子目标被重新归类为SMALL_FLASH（小闪存）设备类别。这一分类变化导致Dropbear的默认配置发生了变化，为了节省有限的闪存空间，编译时自动禁用了Ed25519支持。

影响范围

这一变化主要影响以下设备：

• 使用ramips/mt76x8平台的设备（如小米路由器4C）
• 依赖Ed25519密钥进行SSH认证的用户
• 从23.05.5升级到24.10版本的用户

解决方案

对于需要继续使用Ed25519密钥的用户，有以下几种解决方案：

1. 改用OpenSSH服务器： 在软件包管理器中安装openssh-server替代dropbear，OpenSSH对Ed25519有完整支持。

2. 自定义编译固件： 如果需要继续使用Dropbear，可以自行编译固件，在配置中启用DROPBEAR_ED25519选项。

3. 改用RSA密钥： 生成新的RSA-2048密钥对，这是Dropbear在小闪存配置下仍然支持的算法。

技术考量

这一变化体现了OpenWrt项目在安全性和资源限制之间的平衡。虽然Ed25519是更现代的算法，但在资源极其有限的设备上，保留基本功能比支持最新算法更为重要。用户在选择解决方案时，应根据自己的安全需求和设备性能做出权衡。

对于安全要求较高的环境，建议采用第一种方案，即改用OpenSSH服务器。虽然它会占用更多存储空间，但提供了更完整的加密算法支持和更丰富的功能集。