OpenWrt packages中Dropbear在lantiq目标平台取消ED25519密钥支持的技术分析

在OpenWrt 24.10.0-rc5版本中，针对Netgear DM200等使用lantiq/xrx200_legacy目标平台的设备，Dropbear SSH服务默认不再支持ED25519密钥类型。这一变更源于系统对小容量闪存设备的优化策略。

技术背景

Dropbear是一个轻量级的SSH服务器和客户端实现，广泛应用于嵌入式系统中。ED25519是一种基于椭圆曲线的现代加密算法，相比传统RSA算法具有密钥更短、计算更快等优势。然而，ED25519支持需要额外的代码空间和依赖库。

变更原因

在OpenWrt 24.10版本中，针对闪存容量较小的设备（如Netgear DM200），系统启用了SMALL_FLASH编译标志。根据Dropbear的编译配置，当SMALL_FLASH标志启用时，DROPBEAR_ED25519选项会自动禁用。这是为了在有限的闪存空间中节省宝贵的存储资源。

影响范围

这一变更主要影响：

1. 使用lantiq/xrx200_legacy目标平台的设备
2. 闪存容量较小的设备
3. 依赖ED25519密钥进行SSH认证的用户

解决方案

对于受影响的用户，可以考虑以下替代方案：

1. 使用RSA密钥：虽然ED25519有性能优势，但RSA算法仍然安全可靠，对于大多数用户场景完全够用。

2. 安装OpenSSH客户端：通过安装openssh-client包，可以获得完整的SSH功能支持，包括ED25519密钥生成和使用。

3. 自定义编译：有能力的用户可以自行编译固件，在编译配置中显式启用DROPBEAR_ED25519选项。

技术建议

对于Netgear DM200这类设备，虽然作为纯VDSL2调制解调器使用时可能有剩余存储空间，但系统级的优化策略仍然会限制某些功能的默认启用。用户在选择加密算法时需要权衡安全需求与设备资源限制。

在嵌入式环境中，资源优化往往需要做出功能取舍。OpenWrt团队通过SMALL_FLASH标志实现了对不同设备能力的智能适配，虽然可能牺牲某些高级功能，但确保了系统在资源受限设备上的稳定运行。