Re: Schwache SSH-Keys und authorized_keys

Autor: Raphael Becker <rabe_at_uugrn.org>
Datum: Sat, 17 May 2008 03:50:14 +0200
On Fri, May 16, 2008 at 11:34:58PM +0200, Thomas Hochstein wrote:
[...]
> Regel, was sie erzählen - genügt es aufgrund der Eigenheiten von
> DSA-Schlüsseln, diese auch nur einmal von einem "schwachen" System aus
> verwendet (!) zu haben, weil derselbe Fehler - schwache Zufallszahlen
> - dann auch beim Verbindungsaufbau den DSA-private-key enthüllt.

Hmm, also dürfte alle derzeit rumliegenden DSA-Keys einsammeln und auf
eine Blackliste setzen. Die Frage ist, wie man eine solche Blacklist an
den sshd anflanscht, so dass dieser schon beim Verbindungsaufbau per
DSA-Key prüft und ggf. resetten, oder aber den Key stillschweigend
verweigern kann und damt zB die Benutzung eines alternativen Schlüssels
zu triggern oder keyboard-interactive anzufordern.

Die Frage ist: Gibt es sowas für OpenSSH?

Andere Strategien? Alle User-Keys löschen halte ich für die schlechteste
aller pragmatischen Ansätze.

Anderes Konzept für einen offenen, aber nicht "wide-open" ssh-Zugang auf
shell.uugrn.org?

Gruß
Raphael

-- 
Raphael Becker          <rabe@uugrn.org>          http://rabe.uugrn.org/
GnuPG:                E7B2 1D66 3AF2 EDC7 9828  6D7A 9CDA 3E7B 10CA 9F2D
.........|.........|.........|.........|.........|.........|.........|..


-- 
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: http://wiki.uugrn.org/wiki/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/

Empfangen am 17.05.2008

Dieses Archiv wurde generiert von hypermail 2.2.0 : 17.05.2008 CEST