Bonsoir François, et Emmanuel
Merci pour vos réponses.
Et merci pour le lien sympa, mais qu'en fait, j'avais déjà parcouru.
A une époque qui commence à me paraitre lointaine, j'avais fait du RSA
sur papier et avec des petit nombres en cours d'arithmétique.
Donc, même si ça date, je vois encore assez bien ce que c'est.
Je suis bien d'accord que RSA n'est pas utilisé pour le gros de la data
mais sert à échanger les clés éphémères d'algos comme AES ou Blowfish et
ainsi établir le canal chiffré.
Il me semblait cependant que c'était plus pour des questions de
performances que de sécurité que RSA n'était employé qu'avec des tout
petit volumes. Mais en fait, peu importe...
Si je vois bien l'utilité de signer des choses avec un algo de hash pour
sécuriser la session, ou authentifier des paquets, etc... Le choix de
l'algo de hashage me semble tout de même relever des négociations entre
client et serveur à l'établissement de la session et je ne vois toujours
pas en quoi ça caractériserait la clé et en ferait un type de clé à part
entière.
En d'autres termes, quand il y a bien longtemps, sur une debian 8 far
far away, j'ai fait un
ssh-keygen -t rsa -b 4096
ou bien aujourd'hui sur une debian 11
ssh-keygen -t rsa-sha2-256 -b 4096
je crée toujours une clé rsa de 4096 bits, j'ai bien toujours un fichier
id_rsa.pub qui a le même format et commence par "ssh-rsa", mais par
contre, il y a bien une différence, car quand bien même le client ssh
serait récent, la première a cessé d'être acceptée par les serveur ssh
récents, alors que la seconde fonctionne bien.
donc, le "public key blob" quand bien même il ne change pas de format,
embarque bien quelque chose qui est basé sur un hash sha1 ou sha256 (ou
autre).
Et c'est bien de cela que je ne comprends (toujours pas) l'utilité.
Ou alors, le "blob" contient juste la clé publique + une étiquette qui
dit quel algo de hash on est sensé employer et dans ce cas j'aurais bien
aimé modifier mon fichier .pub pour employer le nouvel algo tout en
gardant la même clé. ça me rendrait la migration beaucoup plus simple.
On 29/08/2022 20:58, Francois Romieu wrote:
Ta clef privée RSA ne doit pas être employée pour chiffrer *directement* des
données [...]
On 29/08/2022 21:56, Emmanuel DECAEN wrote:
Bonsoir,
Une petite explication sympa:
https://levelup.gitconnected.com/demystifying-ssh-rsa-in-openssh-deprecation-notice-22feb1b52acd
Bonne lecture.
--
*Emmanuel DECAEN*
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
