Bonsoir vincent,
Oui, il y a une homonymie qui prête à confusion.
>"ssh-rsa" keys are capable of signing using "rsa-sha2-256" (RSA/SHA256),
>"rsa-sha2-512" (RSA/SHA512) and "ssh-rsa" (RSA/SHA1).
le nom "ssh-rsa" est employé 2 fois dans des contextes différents (et
d'ailleurs WTF ???)
Mon problème par contre, n'est pas de se connecter à un vieux serveur
mais au contraire à un serveur trop moderne qui suite à mise à jour se
met subitement à reffuser les ancienne clés, et sur lequel on a pas la
main parce-qu'il est propriétaire (mikrotik est un système fermé)
J'entends bien que le *format* "ssh-rsa" n'est pas déprécié.
D'ailleurs ma nouvelle clé publique type "rsa-sha2-256" commence bien
par "ssh-rsa AAAAB3NzaC1yc2EAA......"
Ma question "académique" est que je ne comprends pas d'où vient ce
besoin d'une signature/hash ? que ce soit md5, sha1, sha256 ou autre, en
quoi l'algo rsa seul n'est-il pas suffisant ?
J'ai bien déjà googlé la question mais pour le moment je n'ai pas trouvé
d'explications claires.
La réponse est sûrement dans les RFC, mais j'avoue que j'ai pas
tellement envie de me taper des heures de lecture juste pour ça.
D'où le fait que je la pose ici, au cas ou un geek barbu pouvait
m'éclairer en quelques phrases et quelques liens.
On 29/08/2022 18:08, Vincent Bernat wrote:
On 2022-08-29 15:25, Pierre Colombier via frnog wrote:
du coup, si tous les usagers ont des clées rsa installées et si ssh est
la seule façon d'administrer le routeur, et bien on perds toute
possibilité d'accès
après la mise à jour.
Ce ne sont pas les clefs "ssh-rsa", c'est l'algo de signature à clef
publique ssh-rsa qui est désactivé par défaut. Pour se connecter à un
vieux serveur qui n'accepte pas d'algo plus moderne, on peut toujours
utiliser "-o HostKeyAlgorithms=+ssh-rsa" pour le réactiver.
Le format de clef ssh-rsa n'est pas prévu d'être déprécié. Il n'y a
pas d'utilisation de SHA1 dans les clefs ssh-rsa.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
