Re: Welke SSH key?

To: Paul van der Vlis <paul@vandervlis.nl>
Cc: debian-user-dutch@lists.debian.org
Subject: Re: Welke SSH key?
From: Wouter Verhelst <wouter@debian.org>
Date: Fri, 30 Jun 2017 17:13:22 +0200
Message-id: <[🔎] 20170630151322.6l2gnmgk647xjmwi@grep.be>
In-reply-to: <[🔎] 41454781-ebc8-5929-63d5-3d02c00b627c@vandervlis.nl>
References: <[🔎] 41454781-ebc8-5929-63d5-3d02c00b627c@vandervlis.nl>

On Thu, Jun 15, 2017 at 01:17:06PM +0200, Paul van der Vlis wrote:
> Hallo,
> 
> Ik gebruik al lange tijd een DSA key,

Oei!

DSA heeft een random waarde nodig die verschillend *moet* zijn *voor
elke signature*. Als je twee handtekeningen zet met dezelfde random
waarde, dan is het "game over": je key is compromised.

Dat, gecombineerd met de oude OpenSSL random number generator in Debian,
maakt dat het sinds jaren al beter is om geen DSA-keys te gebruiken. RSA
werkt ook, en heeft dat probleem niet.

> deze zit ingebakken in vele
> computers van mijzelf en klanten. Tot mijn schrik werkt de key niet op
> computers met Debian 9.
> Het beste lijkt me nu om een nieuwe key te gaan gebruiken.
> 
> Welk type raden jullie aan?

RSA, 2048 bits of meer.

> Ik neem aan dat de ssh-client nog wel om kan gaan met dsa-keys, of
> moet ik nu plots overal die keys gaan vervangen?
> 
> Is een DSA key niet erg veilig meer?

Nope.

> Functioneert zo'n modern type key ook op oude systemen?

RSA werkt al sinds de originele SSH.

Er zijn ook wat moderne elliptische curves waar je een wat modernere
versie van ssh voor nodig hebt, maar ik dacht (not sure) dat jessie dat
ook al ondersteunt.

> Ik heb een script wat eenmalig vraagt om een paswoord, en dan vele
> machines gaat benaderen. Het doet zoiets:
> eval `ssh-agent`
> ssh-add
> Is zoiets ook te doen voor meerdere keys?

ssh-agent ondersteunt meerdere keys, ja:

wouter@gangtai:~$ ssh-add -l
2048 SHA256:Zrvengc1bhZJ4IUerONE+n0dOovfiV/pn/RkuAsuI5o /usr/lib/x86_64-linux-gnu/libbeidpkcs11.so.0.0.0 (RSA)
2048 SHA256:D/n8VN45DH0ETxcO58MjwynsgKwBau1sRECRtTRn7GY /usr/lib/x86_64-linux-gnu/libbeidpkcs11.so.0.0.0 (RSA)
4096 SHA256:0s3ELGJ0ox7vKl+g6oSD68EL2WJXMn5Sq+S+4UaDjzg /usr/lib/x86_64-linux-gnu/libbeidpkcs11.so.0.0.0 (RSA)
4096 SHA256:RxeXZrEa+GYVGqsb5S+wJrwYe+UBWFlzSOCZ9IrDLy0 /usr/lib/x86_64-linux-gnu/libbeidpkcs11.so.0.0.0 (RSA)

(deze komen van mijn eID; alleen de eerste werkt, maar OpenSSH vindt
vier publieke sleutels en biedt ze dus alle vier aan...)

-- 
Could you people please use IRC like normal people?!?

  -- Amaya Rodrigo Sastre, trying to quiet down the buzz in the DebConf 2008
     Hacklab

Reply to:

References:
- Welke SSH key?
  - From: Paul van der Vlis <paul@vandervlis.nl>

Prev by Date: Re: Rechter Alt
Previous by thread: Re: Welke SSH key?
Next by thread: Debian 9 in VirtualBox
Index(es):
- Date
- Thread