bVNC项目RSA密钥认证问题分析与解决方案

背景介绍

在远程桌面客户端bVNC（以及aRDP、aSPICE）的使用过程中，用户反馈在使用RSA密钥进行SSH认证时遇到连接失败的问题。这个问题主要出现在连接MacOS Ventura及更新版本服务器时，而ECDSA和ED25519密钥则能正常工作。

问题分析

经过深入调查，发现问题的根源在于服务器端的SSH配置变更。现代SSH服务器（包括Ubuntu 22.04和MacOS Ventura及更新版本）出于安全考虑，默认不再接受传统的ssh-rsa签名方案。具体表现为：

1. 服务器日志中会出现"userauth_pubkey: key type ssh-rsa not in PubkeyAcceptedAlgorithms"的错误信息
2. 这是OpenSSH 8.2及以后版本的安全改进，因为传统的ssh-rsa签名方案存在被选择前缀攻击(chosen-prefix attacks)的风险

解决方案

推荐方案：使用更安全的密钥类型

对于大多数用户，我们强烈建议改用更现代的密钥类型：

1. ECDSA密钥（推荐）：

ssh-keygen -t ecdsa

2. ED25519密钥（更安全）：

ssh-keygen -t ed25519

这些密钥类型不仅更安全，而且能避免兼容性问题。

临时解决方案：修改服务器配置

如果必须使用RSA密钥，可以通过修改服务器配置来恢复支持：

1. 编辑SSH服务器配置文件：

sudo nano /etc/ssh/sshd_config

2. 在文件末尾添加：

PubkeyAcceptedAlgorithms +ssh-rsa

3. 重启SSH服务：

• Ubuntu系统：

sudo systemctl restart ssh

• MacOS系统：

sudo launchctl stop ssh
sudo launchctl start ssh

安全建议

虽然临时解决方案可以解决问题，但从安全角度考虑：

1. RSA密钥长度应至少为4096位
2. 建议尽快迁移到ECDSA或ED25519密钥
3. 如果必须使用RSA，考虑使用rsa-sha2-256/rsa-sha2-512签名算法（但需要注意客户端支持情况）

总结

bVNC及其相关客户端在技术上完全支持各种密钥类型，但现代服务器出于安全考虑对传统RSA密钥的支持有所限制。用户应根据自身安全需求选择合适的密钥类型，在安全性和兼容性之间取得平衡。对于大多数用户来说，迁移到ECDSA或ED25519密钥是最佳选择。