Am Samstag 07 August 2010 schrieb Jan Kappler: > Hallo Leute, > > ich bin wieder aus meinem Urlaub zurück, konnte dort den Zugriff auf > den heimischen Server aber praktisch nicht nutzen - für Mobilfunk war > die Verbindung aus dem Hotel heraus total besch... :-( Das Problem > besteht aber natürlich trotzdem. > > Martin Steigerwald schrieb: > > Auch an Liste, da für denke ich für alle interessant: > > > > Am Freitag 06 August 2010 schrieben Sie: > >> Hallo, > >> > >> Martin Steigerwald schrieb am Freitag, den 06.08.2010 um 16:04: > >>> Bitte kein DSA: Siehe DSA-1571-1 ;-). > >> > >> 1571 spricht doch nicht grundsätzlich gegen das DSA-Verfahren, oder? > >> DSA-Schlüssel die mit Software von vor dem Einbau des Fehlers im > >> September 2006 oder von nach der Korrektur dieses Fehlers im Mai > >> 2008 erzeugt wurden, sollten doch weiterhin genauso sicher sein wie > >> bisher auch. Außerdem hat dieser Fehler doch alle Schlüsselarten > >> (also auch RSA ?) betroffen. > > > > Lies genauer. > > > > Da steht auch drin, dass wenn man mit einem DSA-Schlüssel via SSH auf > > eine Debian-Box mit dieser Sicherheitslücke verbindet, der > > DSA-Schlüssel kompromittiert ist. Wie genau das kommt, hab ich ganz > > ehrlich gesagt damals auch schon nicht verstanden. ;) > > > > Auch wenn jeder verantwortungsvolle Admin längst seine > > Debian-Maschinen aktualisiert haben sollte, würde ich mich darauf > > nicht verlassen und lieber auf Nummer sicher gehen. > > Das Problem habe ich damals mitbekommen und entsprechende Rechner auch > aktualisiert (das mache ich eigentlich immer zeitnah). Der beschriebene > Server ist aber noch nicht so lange in Betrieb, ist erst im vergangenen > Jahr neu aufgesetzt worden mit Lenny. Daher dürfte sich dieses Problem > erledigt haben, oder? Mal davon abgesehen - welche Alternativen gibt es > denn zur Verwendung von DSA-Schlüsseln? > > Ich wünsche ein schönes (verregnetes...) Wochenende. Wenn Du sicher bist, Deinen DSA-Schlüssel *ausschließlich* dafür einzusetzen, auf Systeme zu verbinden, die *garantiert* nicht (mehr) mit DSA-1571-1 kompromittiert sind, gibt es keine Probleme. Ich bin es nicht, daher nehme ich einen RSA-Schlüssel. Denn das ist, sofern der Schlüssel auf einem System mit Fixes für DSA-1571-1 erstellt wurde, die Alternative. Ich verwende 4096-Bit-RSA-Schlüssel. Auf der Arbeit gilt die Regel sogar mindestens 8192-Bit zu verwenden, was ich derzeit noch für Overkill halte. -- Martin 'Helios' Steigerwald - http://www.Lichtvoll.de GPG: 03B0 0D6C 0040 0710 4AFA B82F 991B EAAC A599 84C7
Attachment:
signature.asc
Description: This is a digitally signed message part.