Re: Données en clair dans openssh ?
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Steve a écrit :
[...]
>> À la lecture de l'annonce, je
>> viens de modifier mes fichiers /etc/ssh/sshd_config en ajoutant les
>> lignes suivantes :
>>
>> # http://www.secuobs.com/news/15112008-openssh_cbc_ctr_aes_cpni.shtml
>> Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour128,arcfour256,arcfour
>
> Tu sors ça d'où ?
De ton lien [0] ;) (je copie le passage intéressant en fin de message),
en bref, préconiser le mode de chiffrement ctr au cbc devrait
solutionner le problème. J'ai hésité à laisser arcfour, mais le lien
commercial [1] proposé dans l'article original [2] m'a suggéré de le
laisser (passage recopié en fin de message).
Je ne suis pas expert en sécurité, j'ai posté ma recette sur la liste
autant pour la valider qu'en discuter...
[0] http://www.secuobs.com/news/15112008-openssh_cbc_ctr_aes_cpni.shtml
[1] http://www.ssh.com/company/news/article/953/
[2] http://www.cpni.gov.uk/Docs/Vulnerability_Advisory_SSH.txt
Amicalement
David
La solution à ce problème serait déjà existante puisqu’elle consisterait
uniquement à configurer le serveur de manière à ce qu’il privilégie
l’utilisation d’un mode de chiffrement CTR (Integer Counter Mode) par
flux basé sur un compteur plutôt que l’utilisation standard du mode de
chiffrement CBC (Cipher Block Chaining) basé sur l’enchainement des blocs.
An immediate workaround is to refrain from using CBC mode block ciphers
in Secure Shell (SSH) sessions. In practice this is achievable with the
SSH Tectia products by utilizing either CryptiCore or Arcfour encryption
algorithms.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)
iEYEARECAAYFAkklc5wACgkQ18/WetbTC/rkdQCfeDgja/3Dzsu18nKczl+v0zDP
9aYAnR3lY8TI9GQSxGT6vNcnFORYYeH7
=0OYx
-----END PGP SIGNATURE-----
Reply to: