Re: Données en clair dans openssh ?
> >> À la lecture de l'annonce, je
> >> viens de modifier mes fichiers /etc/ssh/sshd_config en ajoutant les
> >> lignes suivantes :
> >>
> >> # http://www.secuobs.com/news/15112008-openssh_cbc_ctr_aes_cpni.shtml
> >> Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour128,arcfour256,arcfour
> >
> > Tu sors ça d'où ?
>
> De ton lien [0] ;) (je copie le passage intéressant en fin de message),
> en bref, préconiser le mode de chiffrement ctr au cbc devrait
> solutionner le problème. J'ai hésité à laisser arcfour, mais le lien
> commercial [1] proposé dans l'article original [2] m'a suggéré de le
> laisser (passage recopié en fin de message).
Ok, j'ai dû lire trop vite car je ne l'avais pas vu. Merci
> Je ne suis pas expert en sécurité, j'ai posté ma recette sur la liste
> autant pour la valider qu'en discuter...
Pareil. Attendons les experts alors.
> [0] http://www.secuobs.com/news/15112008-openssh_cbc_ctr_aes_cpni.shtml
> [1] http://www.ssh.com/company/news/article/953/
> [2] http://www.cpni.gov.uk/Docs/Vulnerability_Advisory_SSH.txt
>
> Amicalement
>
> David
>
> La solution à ce problème serait déjà existante puisqu’elle consisterait
> uniquement à configurer le serveur de manière à ce qu’il privilégie
> l’utilisation d’un mode de chiffrement CTR (Integer Counter Mode) par
> flux basé sur un compteur plutôt que l’utilisation standard du mode de
> chiffrement CBC (Cipher Block Chaining) basé sur l’enchainement des blocs.
>
>
> An immediate workaround is to refrain from using CBC mode block ciphers
> in Secure Shell (SSH) sessions. In practice this is achievable with the
> SSH Tectia products by utilizing either CryptiCore or Arcfour encryption
> algorithms.
--
Steve
Reply to: