[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Schwache SSH-Keys und authorized_keys
[Thread Prev] | [Thread Next]
- Subject: Re: Schwache SSH-Keys und authorized_keys
- From: Raphael Becker <rabe@xxxxxxxxx>
- Date: Sat, 17 May 2008 03:50:14 +0200
- To: uugrn@xxxxxxxxxxxxxxx
On Fri, May 16, 2008 at 11:34:58PM +0200, Thomas Hochstein wrote: [...] > Regel, was sie erzaehlen - genuegt es aufgrund der Eigenheiten von > DSA-Schluesseln, diese auch nur einmal von einem "schwachen" System aus > verwendet (!) zu haben, weil derselbe Fehler - schwache Zufallszahlen > - dann auch beim Verbindungsaufbau den DSA-private-key enthuellt. Hmm, also duerfte alle derzeit rumliegenden DSA-Keys einsammeln und auf eine Blackliste setzen. Die Frage ist, wie man eine solche Blacklist an den sshd anflanscht, so dass dieser schon beim Verbindungsaufbau per DSA-Key prueft und ggf. resetten, oder aber den Key stillschweigend verweigern kann und damt zB die Benutzung eines alternativen Schluessels zu triggern oder keyboard-interactive anzufordern. Die Frage ist: Gibt es sowas fuer OpenSSH? Andere Strategien? Alle User-Keys loeschen halte ich fuer die schlechteste aller pragmatischen Ansaetze. Anderes Konzept fuer einen offenen, aber nicht "wide-open" ssh-Zugang auf shell.uugrn.org? Gruss Raphael -- Raphael Becker <rabe@xxxxxxxxx> http://rabe.uugrn.org/ GnuPG: E7B2 1D66 3AF2 EDC7 9828 6D7A 9CDA 3E7B 10CA 9F2D .........|.........|.........|.........|.........|.........|.........|.. -- http://mailman.uugrn.org/mailman/listinfo/uugrn Wiki: http://wiki.uugrn.org/wiki/UUGRN:Mailingliste Archiv: http://lists.uugrn.org/