ça n'était pas ma question.
Oui, ma clé est super-ancienne.
Oui, c'est très facile d'en faire une nouvelle et cependant ça m'ennuie
d'en changer car elle est installée sur une foule de machine et je suis
à peu près certain d'en oublier.
Du coup je vais quand même devoir garder la vieille dans un coin
en passant ed25519 n'est pas accepté sur mikrotik....
Et ma question c'est justement cette histoire de signature (sha1 ou
autre) :
Vu que c'est pas un truc avec tiers de confiance, pourquoi un clé
publique a-t-elle besoin d'être signée par quoi que se soit ?
On 29/08/2022 17:22, Laurent S. via frnog wrote:
Openssh 8.7 est sorti le 2021-08-20. Les problèmes de SHA1 sont connus depuis
encore bien plus longtemps.
De ce que je comprend, si ta clé est super ancienne (ssh-rsa en sha1) elle ne
devrait plus être acceptée, même si elle est dans les ~/.ssh/authorized_keys
Il existe des autres clés RSA faites plus récemment qui vont continuer de
fonctionner (SHA256, SHA512).
Faire une nouvelle clé est super facile. Perso je conseille une clé elliptique:
ssh-keygen -t ed25519 -C "u...@example.org"
(n'oublie pas de changer le -C)
La partie plus embêtante est de copier ta nouvelle clé publique sur tous les
serveurs.
Je comprend pas le commentaire sur la signature. Est-ce le fait de signer une
clé dans un CA? Je n'ai jamais joué avec ça et il me semble que cela se fait
rarement.
Courage,
Laurent
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/