OpenWrt项目中Dropbear在GL-MT300N-V2设备上ED25519密钥支持问题分析

问题背景

在OpenWrt 24.10.0版本中，用户发现GL.iNet GL-MT300N-V2（Mango）路由器升级后无法使用ED25519算法进行SSH公钥认证。经过排查，确认这是OpenWrt项目针对小型闪存设备的特定优化设计，而非软件缺陷。

技术细节解析

1. 现象表现

升级到OpenWrt 24.10.0后：

• 设备仅支持RSA密钥认证
• dropbearkey工具不支持ED25519密钥生成
• 系统自动生成的只有RSA主机密钥

2. 根本原因

OpenWrt项目在Dropbear软件包的编译配置中，针对SMALL_FLASH（小闪存）设备做了特殊处理：

• 默认禁用ED25519算法支持
• 仅保留RSA密钥支持
• 这是为了节省有限的闪存空间

3. 解决方案比较

对于遇到此问题的用户，可以考虑以下方案：

1. 使用RSA密钥替代：最简单的解决方案
2. 自定义编译Dropbear：移除SMALL_FLASH限制
3. 临时启用密码认证：用于远程设备初始配置

4. 版本差异说明

在OpenWrt 23.05.5版本中：

• 未严格区分闪存大小
• 默认包含ED25519支持
• 升级后功能变化可能造成使用困扰

技术建议

1. 设备选型考虑：对于需要高级加密算法的应用场景，建议选择闪存较大的设备
2. 升级前检查：重要设备升级前应测试密钥认证功能
3. 备份策略：保留旧版本系统的备份，以防升级后出现兼容性问题

总结

OpenWrt项目对小闪存设备的优化是一个典型的资源权衡案例。开发者在有限硬件资源与功能完整性之间做出选择，用户需要根据自身需求调整使用策略。理解这种设计决策有助于更好地规划网络设备部署和管理策略。

对于依赖ED25519认证的用户，建议在设备采购阶段就考虑硬件规格，或准备相应的替代方案。同时，这也提醒我们在物联网设备管理中，加密算法的选择需要结合硬件能力综合考虑。