[SSH] verifier existence passphrase / cle publique
2 réponses
Arnaud JAYET
Bonjour
Savez-vous s'il y a moyen, à partir d'une clé publique SSH, de savoir si
la clé privée associée a été créée avec ou sans passphrase (un code /
sequence spéciale dans la clé publique par exemple qui indiquerait cela)
je voudrais mettre en place une passerelle SSH (pour du tunneling TCP)
avec authentification uniquement par clé SSH mais interdire
l'utilisation de clés privée sans passphrase , sachant que l'utilisateur
me fournit que sa clé publique (je lui crée un compte + un
.ssh/authorized_keys) (*)
j'ai "googlisé" mais rien trouvé de rapide répondant à ma question, mais
je doute en fait que cela soit possible.
(*) je pourrais faire l'inverse et générer moi-meme le couple de clés et
les donner à l'utilisateur mais bon, faut transmettre ensuite la clé
privée et la passphrase par pigeon voyageur sécurisé, c'est pas très
pratique ;-)
Merci d'avance.
Arnaud
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
David Prévot
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Arnaud JAYET a écrit :
Bonjour
Savez-vous s'il y a moyen, à partir d'une clé publique SSH, de savoir si la clé privée associée a été créée avec ou sans passphrase (un code / sequence spéciale dans la clé publique par exemple qui indiquerait cela)
Puisque ssh-keygen permet avec l'option -p de modifier la passphrase (sans modifier la clef publique, je présume), je parierai que rien dans la clef publique ne permet de donner un indice (et tant mieux :).
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Arnaud JAYET a écrit :
Bonjour
Savez-vous s'il y a moyen, à partir d'une clé publique SSH, de savoir si
la clé privée associée a été créée avec ou sans passphrase (un code /
sequence spéciale dans la clé publique par exemple qui indiquerait cela)
Puisque ssh-keygen permet avec l'option -p de modifier la passphrase
(sans modifier la clef publique, je présume), je parierai que rien dans
la clef publique ne permet de donner un indice (et tant mieux :).
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Savez-vous s'il y a moyen, à partir d'une clé publique SSH, de savoir si la clé privée associée a été créée avec ou sans passphrase (un code / sequence spéciale dans la clé publique par exemple qui indiquerait cela)
Puisque ssh-keygen permet avec l'option -p de modifier la passphrase (sans modifier la clef publique, je présume), je parierai que rien dans la clef publique ne permet de donner un indice (et tant mieux :).
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
mouss
Arnaud JAYET wrote:
Bonjour
Savez-vous s'il y a moyen, à partir d'une clé publique SSH, de savoir si la clé privée associée a été créée avec ou sans passphrase (un code / sequence spéciale dans la clé publique par exemple qui indiquerait cela)
non.
je voudrais mettre en place une passerelle SSH (pour du tunneling TCP) avec authentification uniquement par clé SSH mais interdire l'utilisation de clés privée sans passphrase , sachant que l'utilisateur me fournit que sa clé publique (je lui crée un compte + un .ssh/authorized_keys) (*)
j'ai "googlisé" mais rien trouvé de rapide répondant à ma question, mais je doute en fait que cela soit possible.
(*) je pourrais faire l'inverse et générer moi-meme le couple de clés et les donner à l'utilisateur mais bon, faut transmettre ensuite la clé privée et la passphrase par pigeon voyageur sécurisé, c'est pas très pratique ;-)
ça ne sert à rien. on peut changer la passphrase coté client quand on veut.
une solution serait de faire une double authentification (clef + password) mais ça devient lourd...
en gros: ssh est ce qu'il est. ça ne sert à rien de se battre contre lui, car comme Sega, il est plus fort que toi ;-p
et de toute façon, si les utilisateurs ne sont pas assez disciplinés pour mettre une passphrase, rien ne dit qu'ils ne vont pas donner la passphrase à quelqu'un d'autre, l'écrire sur le tableau, ... etc. (j'ai déjà vu "crier" un password...).
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Arnaud JAYET wrote:
Bonjour
Savez-vous s'il y a moyen, à partir d'une clé publique SSH, de savoir si
la clé privée associée a été créée avec ou sans passphrase (un code /
sequence spéciale dans la clé publique par exemple qui indiquerait cela)
non.
je voudrais mettre en place une passerelle SSH (pour du tunneling TCP)
avec authentification uniquement par clé SSH mais interdire
l'utilisation de clés privée sans passphrase , sachant que l'utilisateur
me fournit que sa clé publique (je lui crée un compte + un
.ssh/authorized_keys) (*)
j'ai "googlisé" mais rien trouvé de rapide répondant à ma question, mais
je doute en fait que cela soit possible.
(*) je pourrais faire l'inverse et générer moi-meme le couple de clés et
les donner à l'utilisateur mais bon, faut transmettre ensuite la clé
privée et la passphrase par pigeon voyageur sécurisé, c'est pas très
pratique ;-)
ça ne sert à rien. on peut changer la passphrase coté client quand on veut.
une solution serait de faire une double authentification (clef +
password) mais ça devient lourd...
en gros: ssh est ce qu'il est. ça ne sert à rien de se battre contre
lui, car comme Sega, il est plus fort que toi ;-p
et de toute façon, si les utilisateurs ne sont pas assez disciplinés
pour mettre une passphrase, rien ne dit qu'ils ne vont pas donner la
passphrase à quelqu'un d'autre, l'écrire sur le tableau, ... etc. (j'ai
déjà vu "crier" un password...).
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Savez-vous s'il y a moyen, à partir d'une clé publique SSH, de savoir si la clé privée associée a été créée avec ou sans passphrase (un code / sequence spéciale dans la clé publique par exemple qui indiquerait cela)
non.
je voudrais mettre en place une passerelle SSH (pour du tunneling TCP) avec authentification uniquement par clé SSH mais interdire l'utilisation de clés privée sans passphrase , sachant que l'utilisateur me fournit que sa clé publique (je lui crée un compte + un .ssh/authorized_keys) (*)
j'ai "googlisé" mais rien trouvé de rapide répondant à ma question, mais je doute en fait que cela soit possible.
(*) je pourrais faire l'inverse et générer moi-meme le couple de clés et les donner à l'utilisateur mais bon, faut transmettre ensuite la clé privée et la passphrase par pigeon voyageur sécurisé, c'est pas très pratique ;-)
ça ne sert à rien. on peut changer la passphrase coté client quand on veut.
une solution serait de faire une double authentification (clef + password) mais ça devient lourd...
en gros: ssh est ce qu'il est. ça ne sert à rien de se battre contre lui, car comme Sega, il est plus fort que toi ;-p
et de toute façon, si les utilisateurs ne sont pas assez disciplinés pour mettre une passphrase, rien ne dit qu'ils ne vont pas donner la passphrase à quelqu'un d'autre, l'écrire sur le tableau, ... etc. (j'ai déjà vu "crier" un password...).
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact