[SSH] verifier existence passphrase / cle publique

Le
Arnaud JAYET
Bonjour

Savez-vous s'il y a moyen, à partir d'une clé publique SSH, de savoir si
la clé privée associée a été créée avec ou sans passphrase (un code /
sequence spéciale dans la clé publique par exemple qui indiquerait cela)

je voudrais mettre en place une passerelle SSH (pour du tunneling TCP)
avec authentification uniquement par clé SSH mais interdire
l'utilisation de clés privée sans passphrase , sachant que l'utilisateur
me fournit que sa clé publique (je lui crée un compte + un
.ssh/authorized_keys) (*)

j'ai "googlisé" mais rien trouvé de rapide répondant à ma question, mais
je doute en fait que cela soit possible.

(*) je pourrais faire l'inverse et générer moi-meme le couple de clés et
les donner à l'utilisateur mais bon, faut transmettre ensuite la clé
privée et la passphrase par pigeon voyageur sécurisé, c'est pas très
pratique ;-)


Merci d'avance.

Arnaud

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
David Prévot
Le #17378041
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Arnaud JAYET a écrit :
Bonjour

Savez-vous s'il y a moyen, à partir d'une clé publique SSH, de savoir si
la clé privée associée a été créée avec ou sans passphrase (un code /
sequence spéciale dans la clé publique par exemple qui indiquerait cela)



Puisque ssh-keygen permet avec l'option -p de modifier la passphrase
(sans modifier la clef publique, je présume), je parierai que rien dans
la clef publique ne permet de donner un indice (et tant mieux :).

Amicalement

David

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEARECAAYFAkjhZTkACgkQ18/WetbTC/pH0ACgluCz5cx2L0jD7bh7AXJsnlEK
6usAn3HyRA8k31y0gBkc+0OjhoCj/8Tz
=HpLw
-----END PGP SIGNATURE-----

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
mouss
Le #17378121
Arnaud JAYET wrote:
Bonjour

Savez-vous s'il y a moyen, à partir d'une clé publique SSH, de savoir si
la clé privée associée a été créée avec ou sans passphrase (un code /
sequence spéciale dans la clé publique par exemple qui indiquerait cela)



non.


je voudrais mettre en place une passerelle SSH (pour du tunneling TCP)
avec authentification uniquement par clé SSH mais interdire
l'utilisation de clés privée sans passphrase , sachant que l'utilisateur
me fournit que sa clé publique (je lui crée un compte + un
.ssh/authorized_keys) (*)

j'ai "googlisé" mais rien trouvé de rapide répondant à ma question, mais
je doute en fait que cela soit possible.

(*) je pourrais faire l'inverse et générer moi-meme le couple de clés et
les donner à l'utilisateur mais bon, faut transmettre ensuite la clé
privée et la passphrase par pigeon voyageur sécurisé, c'est pas très
pratique ;-)




ça ne sert à rien. on peut changer la passphrase coté client quand on veut.

une solution serait de faire une double authentification (clef +
password) mais ça devient lourd...

en gros: ssh est ce qu'il est. ça ne sert à rien de se battre contre
lui, car comme Sega, il est plus fort que toi ;-p

et de toute façon, si les utilisateurs ne sont pas assez disciplinés
pour mettre une passphrase, rien ne dit qu'ils ne vont pas donner la
passphrase à quelqu'un d'autre, l'écrire sur le tableau, ... etc. (j'ai
déjà vu "crier" un password...).

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme