Re: Schwache SSH-Keys und authorized_keys

Autor: Christian Weisgerber <naddy_at_mips.inka.de>
Datum: Sun, 18 May 2008 00:09:09 +0000 (UTC)
Raphael Becker <rabe_at_uugrn.org> wrote:

> In den 57 authorized_keys files mit insgesamt 156 Zeilen gibt es nur 
> ganze 16 Zeilen mit "ssh-rsa" beginnen und 124 Zeilen mit "ssh-dss" 
> beginnen. Der Rest sind auskommentierte Zeilen, Leerzeilen oder anderes.

*Kopfkratz*
Woher...? Ach, copy-&-paste von der Wiki-Seite UUGRN:Jails/einrichten.

> Meine eigenen Schlüssel werde ich ebenfalls neu generieren, da ich
> annehme, mindestens einmal über das Internet zu einem debian-Server
> verbunden gewesen zu sein.

Was den Schlüssel nicht unsicher macht.

> Wie sieht es mit den Host Keys aus, die ganz sicher unter FreeBSD 
> erstellt wurden? Sind diese durch debian-SSH-Clients gefährdet gewesen?

Nein, kein Problem.

Umgekehrt müssen auf Debian-Systemen die ssh_host_dsa_key erneuert
werden, ganz gleich wie alt sie sind, um keine Tür für MitM-Angriffe
zu öffnen. Das betrifft insbesondere FreeBSD-Clients, weil dort das
System-ssh für die Authentisierung der Gegenseite DSA vor RSA
bevorzugt. (Normalerweise bevorzugt OpenSSH RSA vor DSA.)

-- 
Christian "naddy" Weisgerber                          naddy_at_mips.inka.de
-- 
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: http://wiki.uugrn.org/wiki/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/
Empfangen am 18.05.2008

Dieses Archiv wurde generiert von hypermail 2.2.0 : 18.05.2008 CEST