Mise à jour des clé SSH

Le
Thibaut LE LEVIER
Bonjour

Suite à la faille d'openSSL annoncée il y a quel que jours, je profite
d'un peut de temps libre pour mettre à jour mes serveurs.

J'aurai juste une petite question qui me pose problème:
J'utilise une authentification par clé publique sur une des machines que
j'utilise et sur laquel un certain nombre de personnes ont accé.

Est-il nécessaire de recréer toute les clés? est-il possible de juste
les mettre à jour?

Merci
Thibaut

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Stephane Bortzmeyer
Le #9672051
On Sat, May 17, 2008 at 05:03:52PM +0200,
Thibaut LE LEVIER a message of 23 lines which said:

J'utilise une authentification par clé publique sur une des machines
que j'utilise et sur laquel un certain nombre de personnes ont accé.



[Attention, à prendre avec des pincettes, tout ceci est bien compliqué
et je ne prétends pas être un gourou crypto.]

Si cette machine est Debian mais que :

- les utilisateurs ont généré leurs clés sur des machines non-Debian

- ET ont toujours utilisé la clé privée sur une machine non-Debian,

il n'y a normalement pas de problème.

Est-il nécessaire de recréer toute les clés? est-il possible de
juste les mettre à jour?



Je ne comprends pas cette phrase. Il n'existe pas de moyen de « mettre
à jour » une clé. On la jette et on en crée une autre.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Julien Valroff
Le #9672031
Le samedi 17 mai 2008 à 18:46 +0200, Stephane Bortzmeyer a écrit :
On Sat, May 17, 2008 at 05:03:52PM +0200,
Thibaut LE LEVIER a message of 23 lines which said:

> J'utilise une authentification par clé publique sur une des machines
> que j'utilise et sur laquel un certain nombre de personnes ont accé.

[Attention, à prendre avec des pincettes, tout ceci est bien compliqué
et je ne prétends pas être un gourou crypto.]

Si cette machine est Debian mais que :

- les utilisateurs ont généré leurs clés sur des machines non-Debian

- ET ont toujours utilisé la clé privée sur une machine non-Debian,

il n'y a normalement pas de problème.



Pour le vérifier, mets à jour ton système, change les clés du serveur et
lance "ssh-vulnkey -a" en tant que root, cela va tester les clés des
utilisateurs (ainsi que les clés autorisées), seulement dans les
emplacements courants (~/.ssh/id_rsa.pub par exemple)

Si une des clés est "blacklistée", il te faudra la supprimer et demander
à l'utilisateur concernée d'en re-générer une (en lui demandant de
vérifier sont système également, mais rien ne t'empêche de tester cette
clé de ton coté !)

@+
Julien


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
François Boisson
Le #9672021
Le Sat, 17 May 2008 18:53:57 +0200
Julien Valroff
Si une des clés est "blacklistée", il te faudra la supprimer et demander
à l'utilisateur concernée d'en re-générer une (en lui demandant de
vérifier sont système également, mais rien ne t'empêche de tester cette
clé de ton coté !)



le paquet installé (openssh-blacklist) fait que même si un utilisateur
négligent ne renouvelle pas sa clef, l'authentification par clef sera invalide
de toute façon. Sur un serveur, on peut se contenter de refaire éventuellement
les clefs d'identification de la machine et installer ce paquet. Les
utilisateurs verront eux mêmes si il faut qu'ils refassent leur clef ou non.


François Boisson

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Thibaut LE LEVIER
Le #9672001
Merci à tous pour vos infos,
j'ai lancé ssh-vulkey et j'ai rétabli mon accès en renouvellent ma clé
(l'ancien généré du temps de debian sarge n'était à priori pas valide et
le authorized_keys de mon user à été supprimé).

Y'a-t-il un moyen de tester cette vulnérabilité? afin de déterminer si
une machine est encore vulnérable ou non?

Merci
Thibaut

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Stephane Bortzmeyer
Le #9671961
On Sat, May 17, 2008 at 06:53:57PM +0200,
Julien Valroff a message of 41 lines which said:

Pour le vérifier, mets à jour ton système, change les clés du
serveur et lance "ssh-vulnkey -a" en tant que root, cela va tester
les clés des utilisateurs (ainsi que les clés autorisées), seulement
dans les emplacements courants (~/.ssh/id_rsa.pub par exemple)



Attention, attention, cette manip' est INSUFFISANTE. Elle détecte si
la clé a été GÉNÉRÉE sur un système vulnérable, pas si elle a été
UTILISÉE sur un système vulnérable. Or, avec les clés DSA (et
seulement elles), être utilisée sur un système vulnérable est
suffisant pour rendre la clé vulnérable (explications mathématiques en

Il faut donc changer, en prime des clés détectées par ssh-vulnkey, les
clés DSA qui ont été utilisées sur une Debian.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Stephane Bortzmeyer
Le #9671951
On Sat, May 17, 2008 at 09:24:05PM +0200,
Thibaut LE LEVIER a message of 19 lines which said:

Y'a-t-il un moyen de tester cette vulnérabilité? afin de déterminer
si une machine est encore vulnérable ou non?



Tenter de la pirater avec les 65000 clés Debian possibles :

http://milw0rm.com/exploits/5622

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Emmanuel Lesouef
Le #9671931
Le Sat, 17 May 2008 18:53:57 +0200,
Julien Valroff

Pour le vérifier, mets à jour ton système, change les cl és du serveur
et lance "ssh-vulnkey -a" en tant que root, cela va tester les clés
des utilisateurs (ainsi que les clés autorisées), seulement dan s les
emplacements courants (~/.ssh/id_rsa.pub par exemple)

Si une des clés est "blacklistée", il te faudra la supprimer et
demander à l'utilisateur concernée d'en re-générer un e (en lui
demandant de vérifier sont système également, mais rien ne t'empêche
de tester cette clé de ton coté !)

@+
Julien




Sait-on si les clés de plus de 2048bits sont concernées ? Car ell es ne
figurent pas dans les blacklists et sont considérées comme :

Unknown (no blacklist information)

Merci.

--
Emmanuel Lesouef

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
David Prévot
Le #9671781
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Emmanuel Lesouef a écrit :
Sait-on si les clés de plus de 2048bits sont concernées ? Car elles ne
figurent pas dans les blacklists et sont considérées comme :

Unknown (no blacklist information)



Oui, bien sûr : il n'y a que 32 767 clefs possibles au format où tu l'as
créé (en fait statistiquement, environ dix mille seulement sont
probables). Comme c'est un format non standard, il n'est pas dans la
base de données des clefs réputées faibles. Les scripts pour les générer
circulent quand même depuis un moment maintenant... De plus, si « on »
sait que des utilisateurs Debian peu prudents on laissé des clefs
facilement piratables, à des formats non standards, si en plus ils
laissent leur nom de domaine et leur adresse IP (fixe), sur des listes
de diffusion, ben c'est un peu donner le bâton pour se faire battre ;),
et ce n'est pas l'utilisation d'un port non conforme mais trivial qui va
les protéger...

Amicalement

David

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFIMCj618/WetbTC/oRAlZkAKCZ8eYWkrH23/ZNy8qeehlNSIw/uACdGW0W
VxusOvzpNqXwF+xqC6EOFPQ =odTY
-----END PGP SIGNATURE-----

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Emmanuel Lesouef
Le #9671721
Le Sun, 18 May 2008 09:02:52 -0400,
David Prévot

Oui, bien sûr : il n'y a que 32 767 clefs possibles au format oà ¹ tu
l'as créé (en fait statistiquement, environ dix mille seulement sont
probables). Comme c'est un format non standard, il n'est pas dans la
base de données des clefs réputées faibles. Les scripts po ur les
générer circulent quand même depuis un moment maintenant.. . De plus,
si « on » sait que des utilisateurs Debian peu prudents on lais sé des
clefs facilement piratables, à des formats non standards, si en plus
ils laissent leur nom de domaine et leur adresse IP (fixe), sur des
listes de diffusion, ben c'est un peu donner le bâton pour se faire
battre ;), et ce n'est pas l'utilisation d'un port non conforme mais
trivial qui va les protéger...



Légèrement intrusif comme analyse... Mais bon, c'est dans un bon esprit
j'en suis sur.

Merci pour tes renseignements.

--
Emmanuel Lesouef

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Jean Baptiste FAVRE
Le #9671691
Bonjour,
Oui, les clefs générées sous Debian avec une version vulnérable
d'OpenSSL sont à changer et ce quelque soit leur taille.

Elles ne figurent pas dans la liste des clefs blacklistées car cette
liste ne contient que les clefs de 1024 et 2048 bits.
Au-délà, le temps de génération des 32 767 clefs possibles pour toutes
les tailles devient tout simplement prohibitif (et le paquet serait
aussi beaucoup plus gros ;-) ).

Mais ne doutes pas un instant que des petits malins le feront "pour le
plaisir"... enfin surtout pour s'approprier les machines de ceux qui se
seront crus à l'abri.

Bonne journée,
JB

Emmanuel Lesouef a écrit :
Le Sat, 17 May 2008 18:53:57 +0200,
Julien Valroff
Pour le vérifier, mets à jour ton système, change les clés du serveur
et lance "ssh-vulnkey -a" en tant que root, cela va tester les clés
des utilisateurs (ainsi que les clés autorisées), seulement dans les
emplacements courants (~/.ssh/id_rsa.pub par exemple)

Si une des clés est "blacklistée", il te faudra la supprimer et
demander à l'utilisateur concernée d'en re-générer une (en lui
demandant de vérifier sont système également, mais rien ne t'empêche
de tester cette clé de ton coté !)

@+
Julien




Sait-on si les clés de plus de 2048bits sont concernées ? Car elles ne
figurent pas dans les blacklists et sont considérées comme :

Unknown (no blacklist information)

Merci.




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme