Kanidm项目中SSH公钥解析问题的技术分析

问题背景

在Kanidm身份管理系统1.6.1版本升级后，用户报告了一个关于SSH公钥处理的严重问题。系统在重启后会丢失所有用户的SSH公钥，并显示"discarding corrupted ssh public key"的警告信息。这个问题影响了使用ED25519和RSA等多种类型密钥的用户。

问题现象

当管理员通过Web界面或CLI工具添加SSH公钥后，这些密钥在Kanidm服务重启时会被系统判定为"损坏"并自动丢弃。错误日志中会显示类似以下的警告信息：

WARN 🚧 [warn]: discarding corrupted ssh public key | tag: one | err: Error { kind: Decode(InvalidByte(68, 32)) }

问题根源分析

经过技术团队深入调查，发现该问题主要由两个因素导致：

1. SSH公钥格式验证过于严格：Kanidm 1.6.1版本引入的SSH公钥解析器对密钥格式的验证比实际标准更为严格，特别是对密钥注释部分(comment)的处理。

2. 注释字段缺失问题：系统无法正确处理没有注释部分的SSH公钥。在SSH标准中，密钥注释是可选的，但Kanidm的解析器在这种情况下会报错。

技术细节

SSH公钥的标准格式通常为：

<算法类型> <base64编码的公钥数据> [可选注释]

在问题案例中，以下两种格式的密钥表现不同：

1. 无注释密钥（会被判定为损坏）：

ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzd...DqnvUzkCzTWgHOg=

2. 带注释密钥（正常工作）：

ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzd...DqnvUzkCzTWgHOg= comment

临时解决方案

在官方修复发布前，用户可以采取以下临时措施：

1. 为所有SSH公钥添加注释，即使是一个简单的空格或"no-comment"这样的占位文本。

2. 通过CLI工具添加密钥时，确保包含注释部分：

kanidm person ssh add-publickey user@example.com "ssh-ed25519 AAAAC3Nza... user@host"

官方修复

Kanidm开发团队已经确认这是一个解析器实现的bug，并在后续版本中进行了修复。修复内容包括：

1. 正确处理没有注释的SSH公钥
2. 改进编码验证逻辑，避免误判有效密钥为损坏
3. 增强Web界面中的输入处理，防止浏览器自动修正导致的格式问题

最佳实践建议

1. 为所有SSH公钥添加有意义的注释，便于管理和识别
2. 升级到包含此修复的Kanidm版本
3. 定期验证系统中的SSH密钥状态
4. 在批量导入密钥前，先进行小规模测试

这个问题提醒我们，在实现安全相关的协议解析器时，需要严格遵循标准规范，同时也要考虑各种边缘情况的处理。对于身份管理系统这类关键基础设施，兼容性和稳定性同样重要。