Re: Schwache SSH-Keys und authorized_keys

Autor: Marc Haber <mh+uugrn_at_zugschlus.de>
Datum: Fri, 16 May 2008 12:59:28 +0200
On Fri, May 16, 2008 at 12:37:08PM +0200, Raphael Becker wrote:
> On Thu, May 15, 2008 at 08:32:04PM +0000, Christian Weisgerber wrote:
> > Raphael Becker <rabe_at_uugrn.org> wrote:
> > 
> > > Konkret bedeutet das bei UUGRN, dass ich auf unseren Systemen alls (58)
> > > gefundenen authorized_keys-Dateien gecheckt habe und, sofern schwache
> > > Schlüssel erkannt wurden, diese Dateien insgesamt umbenannt habe, sodass 
> > 
> > Hast du auch alle DSA-Schlüssel rausgeworfen?
> 
> Hmm, wenn dsa-Private keys auf UUGRN-Servern liegen, dann nehme ich per
> default an, dass der Eigentümer diesen auch dort erstellt hat.

Bei DSA-Keys liegt das Problem etwas anders: Hier reicht die Benutzung
eines DSA-Keys mit einem gegen das schwache Debian-OpenSSL gelinkten
Clients für die Kompromittierung des Keys, unabhängig davon ob der Key
selbst stark oder schwach ist.

Ich würde deswegen dringend empfehlen, alle Zeilen, die mit ssh-dss
beginnen, aus authorized_keys Files rauszuwerfen, da Du nicht
kontrollieren kannst, ob Deine User vielleicht ein Debian oder Ubuntu
als Client benutzen.

Leider kann man DSA im ssh-Daemon nicht komplett abschalten, sonst
hätte ich das längst gemacht.

> Ich wüsste aus dem Stand auch nicht, wie ich die diversen id_dsa-Dateien
> prüfen sollte,

Ob DSA-Keys auch bei Verwendung gegen einen gegen das schwache
Debian-OpenSSL gelinkten Server kompromittiert werden, weiß ich nicht.

Primäre Priorität sollte aber der Schutz der UUGRN-Systeme gegen
unerwünschte Benutzer sein, also eine Behandlung der
authorized_keys-Fils gegen schwache RSA-Schlüssel und grundsätzlich
gegen DSA-Schlüssel..

Grüße
Marc

-- 
-----------------------------------------------------------------------------
Marc Haber         | "I don't trust Computers. They | Mailadresse im Header
Mannheim, Germany  |  lose things."    Winona Ryder | Fon: *49 621 72739834
Nordisch by Nature |  How to make an American Quilt | Fax: *49 3221 2323190

-- 
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: http://wiki.uugrn.org/wiki/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/
Empfangen am 16.05.2008

Dieses Archiv wurde generiert von hypermail 2.2.0 : 16.05.2008 CEST