Re: Mise à jour des clé SSH
Bonjour,
Oui, les clefs générées sous Debian avec une version vulnérable
d'OpenSSL sont à changer et ce quelque soit leur taille.
Elles ne figurent pas dans la liste des clefs blacklistées car cette
liste ne contient que les clefs de 1024 et 2048 bits.
Au-délà, le temps de génération des 32 767 clefs possibles pour toutes
les tailles devient tout simplement prohibitif (et le paquet serait
aussi beaucoup plus gros ;-) ).
Mais ne doutes pas un instant que des petits malins le feront "pour le
plaisir"... enfin surtout pour s'approprier les machines de ceux qui se
seront crus à l'abri.
Bonne journée,
JB
Emmanuel Lesouef a écrit :
> Le Sat, 17 May 2008 18:53:57 +0200,
> Julien Valroff <julien@kirya.net> a écrit :
>
>> Pour le vérifier, mets à jour ton système, change les clés du serveur
>> et lance "ssh-vulnkey -a" en tant que root, cela va tester les clés
>> des utilisateurs (ainsi que les clés autorisées), seulement dans les
>> emplacements courants (~/.ssh/id_rsa.pub par exemple)
>>
>> Si une des clés est "blacklistée", il te faudra la supprimer et
>> demander à l'utilisateur concernée d'en re-générer une (en lui
>> demandant de vérifier sont système également, mais rien ne t'empêche
>> de tester cette clé de ton coté !)
>>
>> @+
>> Julien
>>
>
> Sait-on si les clés de plus de 2048bits sont concernées ? Car elles ne
> figurent pas dans les blacklists et sont considérées comme :
>
> Unknown (no blacklist information)
>
> Merci.
>
Reply to: