Bonjour la liste,
https://www.openssh.com/txt/release-8.7
>In the SSH protocol, the "ssh-rsa" signature scheme uses the SHA-1
>hash algorithm in conjunction with the RSA public key algorithm.
>It is now possible[1] to perform chosen-prefix attacks against the
>SHA-1 algorithm for less than USD$50K.
>Note that the deactivation of "ssh-rsa" signatures does not necessarily
>require cessation of use for RSA keys. In the SSH protocol, keys may be
>capable of signing using multiple algorithms. In particular, "ssh-rsa"
>keys are capable of signing using "rsa-sha2-256" (RSA/SHA256),
>"rsa-sha2-512" (RSA/SHA512) and "ssh-rsa" (RSA/SHA1). Only the last of
>these is being turned off by default.
Parmis les choses que ça peut impacter assez fortement, il y a les
routeurs mikrotik qui ont par défaut
/ip/ssh set always-allow-password-login=no
du coup, si tous les usagers ont des clées rsa installées et si ssh est
la seule façon d'administrer le routeur, et bien on perds toute
possibilité d'accès
après la mise à jour.
Bon, je vais devoir me cogner un changement de clé C'est long, mais ça
se fait...
seulement, voila, pour la "culture", il y a quand même quelque chose que
je ne comprends pas.
De ce que j'ai toujours cru, RSA est un algo clé-privée/clé publique.
Et à priori, le fichier id_rsa.pub contient la clé publique en question.
*toute* la clé publique.
Je ne sais pas trop comment elle est encodée, mais c'est bien la même
chose que l'on met dans .ssh/authorized_keys.
Et pour tout dire, je ne vois pas à quoi ça sert d'avoir en plus une
signature.
Soit on a la clé privée qui correspond à une clé publique whitelistée et
alors c'est OK, soit on ne l'a pas.
Ou alors, ça ne fonctionne pas vraiment comme j'ai toujours cru que ça
fonctionnait.
Quelqu'un peut-il apporter un éclaircissement ?
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
