Hello Vincent, et merci pour ton aide.
Non, je ne sais pas quelle est le serveur ssh utilisé sur mikrotik.
C'est un système fermé.
mais vu qu'il arrivent à faire rentrer tout ça dans 16Mo, je ne serait
pas étonné que ça soit un truc minimaliste dans le genre de dropbear.
Mais par contre j'ai fini par trouver le problème et ça n'a rien à voir
avec l'algo de signature.
Je me suis fait polluer le cerveau par le message dans le log qui
parlait de rsa-sha2-sha256 mais en effet, l'algo de signature ne semble
pas être dans le blob publique.
Et pour tout dire, j'aime mieux ça parce que c'était perturbant.
En fait, le problème vennait du fait que mon ancienne clé avait une
longueur peu commune de 3874 bits. ( c'était fait exprès suite à
CVE-2008-0166 )
J'ai régénéré 3 nouvelles clés
ssh-keygen -t rsa -b 2048
ssh-keygen -t rsa -b 3874
ssh-keygen -t rsa -b 4096
en ros 7.2.3 les 3 fonctionnent.
En ros 7.4 Les 2048 et 4096 passent, mais la 3874 échoue avec le même
message que j'ai posté précédemment "ssh,error signature differs for user"
Donc, c'est bien un problème avec ros et qui relève plutot du bug que
d'ajout/retrait de fonctionnalités décrites dans leur changelog
v7.4
*) ssh - disable ssh-rsa when strong-crypto=yes and use rsa-sha2-sha256;
*) ssh - fixed host key generation (introduced in v7.3);
*) ssh - implemented "server-sig-algs" extension in order to improve
rsa-sha2-sha256 support;
v7.3
*) ssh - added AES-GCM cipher support;
*) ssh - fail non-interactive client after first invalid password;
*) ssh - fixed corrupt host key automatic regeneration;
*) ssh - fixed private key usage after downgrade;
*) ssh - removed DSA public key authentication support;
On 30/08/2022 08:17, Vincent Bernat wrote:
On 2022-08-30 03:21, Pierre Colombier via frnog wrote:
Je ne suis pas sur d'avoir bien tout compris mais il semble bien que
le fameux algo de hash sha1 ou sha2-256 ou autre soit inclus dans le
"rsa_signature_blob"
Cette partie est utilisée dans le protocole SSH lors de
l'authentification, pas dans le format de la clef.
aug/30 01:23:26 ssh,debug pki algorithm: ssh-rsa
Ca ressemble pas aux messages de debug de OpenSSH. C'est un OpenSSH
qui tourne sur les Mikrotik ? Elle fait quelle taille cette vieille
clef ? Les releases notes de la 7.4 disent que le change ne concerne
que ceux qui ont activé strong-crypto=yes, est-ce ton cas ?
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
