В OpenSSH 6.8 появится поддержка автозамены ключей на Ed25519

02.02.2015 00:08

В предстоящем выпуске OpenSSH 6.8 будет доступна новая функция hostkeys@openssh.com, реализующая отправку, захват и обновление всех доступных в ~/.ssh/known_hosts ключей доверяемого узла. Новая возможность разработана с целью упрощения перехода от ключей DSA, для работы с которыми используются пакеты OpenSSL/LibreSSL, на интегрированную в OpenSSH реализацию цифровой подписи с открытым ключом Ed25519. Внесённые изменения продолжают работу по избавлению OpenSSH от необходимости использования криптографии из библиотеки OpenSSL, вместо которой предлагается использовать методы, разработанные Дэниэлом Бернштейном (D. J. Bernstein).

При использовании новой функции, sshd отправит клиенту все имеющиеся на сервере открытые ключи узла. В свою очередь, клиент осуществит замену всех имеющихся ключей доверяемого узла на предоставленные таким образом новые ключи. Функция включена по умолчанию, для выключения автообновления ключей в ssh_config добавлен параметр UpdateHostKeys. Для инициирования замены ключей на сервере, необходимо в sshd_config одновременно указать как старые, так и новые ключи, добавив дополнительные секции HostKey.

исправить +6 +/–

Автор новости: cnst

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/41584-openssh

Ключевые слова: openssh

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (20)

1.1, Меломан (?), 09:36, 02/02/2015 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
Я пока с OpenSSL поживу годик-другой.

2.3, Аноним (-), 09:52, 02/02/2015 [^] [^^] [^^^] [ответить]	–4 +/–
До следующего heartbleed?

3.10, Nicknnn (ok), 10:21, 02/02/2015 [^] [^^] [^^^] [ответить]	+/–
> До следующего heartbleed? А при чём тут heartbleed к ssh? Если openssl используется только для генерации пары ключей.

4.12, Аноним (-), 11:42, 02/02/2015 [^] [^^] [^^^] [ответить]	+/–
Тогда до следующего патча от дебианщиков, потдвержденного авторами опенссл, приводящего к всего ничего: 20 битов энтропии на все приватные ключи вообще :)

3.11, Аноним (-), 11:41, 02/02/2015 [^] [^^] [^^^] [ответить]	+/–
В той реализации из ssh так же может быть ошибка. В чем разница?

4.14, Аноним (-), 12:23, 02/02/2015 [^] [^^] [^^^] [ответить]	+/–
"может" и " уже было и не один раз" - это две большие разницы. Иначе я требую вас судить за изнасилование. Инструмент то есть.

2.4, Аноним (-), 09:53, 02/02/2015 [^] [^^] [^^^] [ответить]	–1 +/–
Сейчас или через годик-другой, не имеет значения, это произойдёт в любом случае, ты должен понимать это. Это Россия.

2.6, Аноним (-), 10:03, 02/02/2015 [^] [^^] [^^^] [ответить]	–7 +/–
> Я пока с OpenSSL поживу годик-другой. Живите-живите, и подольше. Чем больше таких как вы, тем больше ценят мою работу. Спасибо.

3.9, Nicknnn (ok), 10:20, 02/02/2015 [^] [^^] [^^^] [ответить]	+/–
Анонимным кукаретикам что-то оплачивают? Вот это новость!

2.8, Аноним (-), 10:12, 02/02/2015 [^] [^^] [^^^] [ответить]	+/–
У нас демократическая страна, и всем всё равно с кем ты живёшь, но всё же попрошу...

3.15, Аноним (-), 12:27, 02/02/2015 [^] [^^] [^^^] [ответить]

+/–

> У нас демократическая страна, и всем всё равно с кем ты живёшь,

Вы описали не "демократическая", а "либеральная". В чем я очень сомневаюсь. В постсоветском пространсве ни одной либеральной страны так и не возникло. Все тота/авто/литарные режимы с солнцеподобными вождями и статуями из золота.

4.18, Аноним (-), 16:39, 02/02/2015 [^] [^^] [^^^] [ответить]	+2 +/–
А всё потому, что коммунизм превратил человека в обезьяну.

1.2, Аноним (-), 09:50, 02/02/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
АНБ не палится

2.5, Аноним (-), 09:56, 02/02/2015 [^] [^^] [^^^] [ответить]	+/–
https://www.openssl.org/news/vulnerabilities.html OpenSSL - дырка на дырке. С 2002 года.

3.7, Аноним (-), 10:05, 02/02/2015 [^] [^^] [^^^] [ответить]	+/–
Ну так он же сказал что АНБ не палится. Все дыры приписаны какому-то левому проекту :)

1.13, Мадара (ok), 11:43, 02/02/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
а sshfs уже подружили с Ed25519 ?

2.16, Аноним (-), 13:50, 02/02/2015 [^] [^^] [^^^] [ответить]	+/–
Поставил в конфиге sshd 22519 единственным вариантом: KexAlgorithms curve25519-sha256@libssh.org Перезапустил sshd, подмонтировал с другого хоста каталог через sshfs без проблем.

3.17, Мадара (ok), 14:52, 02/02/2015 [^] [^^] [^^^] [ответить]	+/–
Сейчас проверил, всё работает, и даже можно одновременно работать как с rsa так и 22519 ключами(имеется в виду sshd). А вот где-то с месяц назад когда пытался переползти на ed22519, sshfs на отрез отказывался работать с данными ключами после чего пришлось откатывается обратно на RSA. п.с. используется Арч

1.19, manster (ok), 18:49, 02/02/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
это не спроста

1.21, cnst (?), 19:46, 02/02/2015 [ответить] [﹢﹢﹢] [ · · · ]

+/–

Кстати, сам DJM ретвитнул данную новость!

https://twitter.com/opennetru/status/562128798259642369

Видимо в моей ленте увидил. :-)

2.22, Аноним (-), 12:46, 04/02/2015 [^] [^^] [^^^] [ответить]	+/–
"увидил"

игнорирование участников | лог модерирования

Добавить комментарий

Текст: