On Fri, May 16, 2008 at 11:34:58PM +0200, Thomas Hochstein wrote: [...] > Regel, was sie erzählen - genügt es aufgrund der Eigenheiten von > DSA-Schlüsseln, diese auch nur einmal von einem "schwachen" System aus > verwendet (!) zu haben, weil derselbe Fehler - schwache Zufallszahlen > - dann auch beim Verbindungsaufbau den DSA-private-key enthüllt. Hmm, also dürfte alle derzeit rumliegenden DSA-Keys einsammeln und auf eine Blackliste setzen. Die Frage ist, wie man eine solche Blacklist an den sshd anflanscht, so dass dieser schon beim Verbindungsaufbau per DSA-Key prüft und ggf. resetten, oder aber den Key stillschweigend verweigern kann und damt zB die Benutzung eines alternativen Schlüssels zu triggern oder keyboard-interactive anzufordern. Die Frage ist: Gibt es sowas für OpenSSH? Andere Strategien? Alle User-Keys löschen halte ich für die schlechteste aller pragmatischen Ansätze. Anderes Konzept für einen offenen, aber nicht "wide-open" ssh-Zugang auf shell.uugrn.org? Gruß Raphael -- Raphael Becker <rabe@uugrn.org> http://rabe.uugrn.org/ GnuPG: E7B2 1D66 3AF2 EDC7 9828 6D7A 9CDA 3E7B 10CA 9F2D .........|.........|.........|.........|.........|.........|.........|.. -- http://mailman.uugrn.org/mailman/listinfo/uugrn Wiki: http://wiki.uugrn.org/wiki/UUGRN:Mailingliste Archiv: http://lists.uugrn.org/
Dieses Archiv wurde generiert von hypermail 2.2.0 : 17.05.2008 CEST