Portál AbcLinuxu, 3. května 2025 10:34

OpenSSH 8.3. Upozornění na zákaz ssh-rsa

Oznámení o vydání nové verze 8.3 sady aplikací pro SSH komunikaci OpenSSH obsahuje upozornění, že vzhledem v lednu publikovanému útoku na SHA-1 bude v blízké budoucnosti v OpenSSH ve výchozím stavu zakázáno použití algoritmu ssh-rsa. Zda bude komunikace se serverem i po tomto zákazu fungovat, lze vyzkoušet pomocí příkazu "ssh -oHostKeyAlgorithms=-ssh-rsa user@host".

27.5.2020 23:55 | Ladislav Hagara | Nová verze


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

28.5.2020 09:40 Harvie.CZ
Rozbalit Rozbalit vše Re: OpenSSH 8.3. Upozornění na zákaz ssh-rsa
Odpovědět | Sbalit | Link | Blokovat | Admin
Zatim jsem z toho uplne nepochopil, jakej bude dopad na ssh klice... V tom changelogu pisou neco o tom, ze pujdou pouzit stejny klice s jinym algoritmem... Nebo se to authorized_keys vubec netyka?
28.5.2020 10:06 billgates | skóre: 27
Rozbalit Rozbalit vše Re: OpenSSH 8.3. Upozornění na zákaz ssh-rsa
Ja to chapem tak, ze sa jedna o HostKey, teda kluc, ktory posiela server ku klientovi. Ked si pozries sshd_config, tak ide o polozky HostKey. Ja mam napriklad: 
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
Cize asi ten prvy teoreticky moze prestat byt ponukany. Ale mozno to cele chapem zle.
28.5.2020 10:15 billgates | skóre: 27
Rozbalit Rozbalit vše Re: OpenSSH 8.3. Upozornění na zákaz ssh-rsa
Takze to tak bude. Ked sa skusim prihlasit na stary linux, kde je v sshd configu: 
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
tak je vysledok: 
[bambulka@pampusik ~]# ssh -oHostKeyAlgorithms=-ssh-rsa gates@old.microsoft.com
Unable to negotiate with 10.20.30.40 port 22: no matching host key type found. Their offer: ssh-rsa,ssh-dss
Ked skusam pripojenie na novsi, kde je zoznam HostKey z predchadzajuceho prispevku, tak je vysledok: 
[bambulka@pampusik ~]# ssh -oHostKeyAlgorithms=-ssh-rsa gates@new.microsoft.com
The authenticity of host 'new.microsoft.com (10.20.30.41)' can't be established.
ECDSA key fingerprint is SHA256:3189h91s1jno2`0e932u12ji31jre83h13i3kjk4.
Are you sure you want to continue connecting (yes/no/[fingerprint])?
Cize to proste prestane ponukat ssh-rsa kluce.
28.5.2020 14:27 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: OpenSSH 8.3. Upozornění na zákaz ssh-rsa

To ale není totéž, bohužel je zmatek v tom, že "ssh-rsa" se používá jako označení typu (formátu) klíče např. v authorized_keys nebo known_hosts, ale také pro označení "key algorithm", tj. kombinace algoritmů použitých pro spojení. Takže i když má server nebo klient klíč označený "ssh-rsa" (což znamená jen to, že je to RSA klíč, tam žádný hashovací algoritmus nefiguruje), měl by jít používat i s algoritmy "rsa-sha2-256" nebo "rsa-sha2-512", viz např. RFC 8332.

Problém bude jen se staršími implementacemi ssh protokolu, které ty nové kombinace algoritmů (RSA s SHA-256 nebo SHA-512) nepodporují.

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.