Suite à la faille d'openSSL annoncée il y a quel que jours, je profite
d'un peut de temps libre pour mettre à jour mes serveurs.
J'aurai juste une petite question qui me pose problème:
J'utilise une authentification par clé publique sur une des machines que
j'utilise et sur laquel un certain nombre de personnes ont accé.
Est-il nécessaire de recréer toute les clés? est-il possible de juste
les mettre à jour?
Merci
Thibaut
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Bonjour, Oui, les clefs générées sous Debian avec une version vulnérable d'OpenSSL sont à changer et ce quelque soit leur taille.
Elles ne figurent pas dans la liste des clefs blacklistées car cette liste ne contient que les clefs de 1024 et 2048 bits. Au-délà, le temps de génération des 32 767 clefs possibles pour toutes les tailles devient tout simplement prohibitif (et le paquet serait aussi beaucoup plus gros ;-) ).
C'est faux. Le temps n'est pas prohibitif. Les clés de 4906 sont déjà disponibles en téléchargement, et celles de 8192 peuvent être générées en quelques jours avec quelques dizaines de serveurs. Elles ont sûrement été générées par les pirates (mais pas publiées).
Vous n'êtes pas en sécurité avec une clé générée avec le mauvais OpenSSL quelque soit la taille.
Et le paquet source openssh-blacklist ne génère pas les clés, il contient une liste pré-calculé d'empreintes des clés compromises, il y aura sûrement un paquet binaire openssh-blacklist-extra pour les tailles non-standard: http://bugs.debian.org/cgi-bin/bugreport.cgi?bugH1336
A+ -- Raphaël Hertzog
Le best-seller français mis à jour pour Debian Etch : http://www.ouaza.com/livre/admin-debian/
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On Sun, 18 May 2008, Jean Baptiste FAVRE wrote:
Bonjour,
Oui, les clefs générées sous Debian avec une version vulnérable
d'OpenSSL sont à changer et ce quelque soit leur taille.
Elles ne figurent pas dans la liste des clefs blacklistées car cette
liste ne contient que les clefs de 1024 et 2048 bits.
Au-délà, le temps de génération des 32 767 clefs possibles pour toutes
les tailles devient tout simplement prohibitif (et le paquet serait
aussi beaucoup plus gros ;-) ).
C'est faux. Le temps n'est pas prohibitif. Les clés de 4906 sont déjà
disponibles en téléchargement, et celles de 8192 peuvent être générées en
quelques jours avec quelques dizaines de serveurs. Elles ont sûrement été
générées par les pirates (mais pas publiées).
Vous n'êtes pas en sécurité avec une clé générée avec le mauvais OpenSSL
quelque soit la taille.
Et le paquet source openssh-blacklist ne génère pas les clés, il contient
une liste pré-calculé d'empreintes des clés compromises, il y aura
sûrement un paquet binaire openssh-blacklist-extra pour les tailles
non-standard:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bugH1336
A+
--
Raphaël Hertzog
Le best-seller français mis à jour pour Debian Etch :
http://www.ouaza.com/livre/admin-debian/
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Bonjour, Oui, les clefs générées sous Debian avec une version vulnérable d'OpenSSL sont à changer et ce quelque soit leur taille.
Elles ne figurent pas dans la liste des clefs blacklistées car cette liste ne contient que les clefs de 1024 et 2048 bits. Au-délà, le temps de génération des 32 767 clefs possibles pour toutes les tailles devient tout simplement prohibitif (et le paquet serait aussi beaucoup plus gros ;-) ).
C'est faux. Le temps n'est pas prohibitif. Les clés de 4906 sont déjà disponibles en téléchargement, et celles de 8192 peuvent être générées en quelques jours avec quelques dizaines de serveurs. Elles ont sûrement été générées par les pirates (mais pas publiées).
Vous n'êtes pas en sécurité avec une clé générée avec le mauvais OpenSSL quelque soit la taille.
Et le paquet source openssh-blacklist ne génère pas les clés, il contient une liste pré-calculé d'empreintes des clés compromises, il y aura sûrement un paquet binaire openssh-blacklist-extra pour les tailles non-standard: http://bugs.debian.org/cgi-bin/bugreport.cgi?bugH1336
A+ -- Raphaël Hertzog
Le best-seller français mis à jour pour Debian Etch : http://www.ouaza.com/livre/admin-debian/
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Vincent Lefevre
On 2008-05-18 18:58:11 +0200, Raphael Hertzog wrote:
Et le paquet source openssh-blacklist ne génère pas les clés, il contient une liste pré-calculé d'empreintes des clés compromises, il y aura sûrement un paquet binaire openssh-blacklist-extra pour les tailles non-standard: http://bugs.debian.org/cgi-bin/bugreport.cgi?bugH1336
openssh-blacklist-extra contient aussi les RSA-1024, qui sont standard ou tout du moins l'étaient sur les systèmes Debian dans le passé.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On 2008-05-18 18:58:11 +0200, Raphael Hertzog wrote:
Et le paquet source openssh-blacklist ne génère pas les clés, il contient
une liste pré-calculé d'empreintes des clés compromises, il y aura
sûrement un paquet binaire openssh-blacklist-extra pour les tailles
non-standard:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bugH1336
openssh-blacklist-extra contient aussi les RSA-1024, qui sont standard
ou tout du moins l'étaient sur les systèmes Debian dans le passé.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On 2008-05-18 18:58:11 +0200, Raphael Hertzog wrote:
Et le paquet source openssh-blacklist ne génère pas les clés, il contient une liste pré-calculé d'empreintes des clés compromises, il y aura sûrement un paquet binaire openssh-blacklist-extra pour les tailles non-standard: http://bugs.debian.org/cgi-bin/bugreport.cgi?bugH1336
openssh-blacklist-extra contient aussi les RSA-1024, qui sont standard ou tout du moins l'étaient sur les systèmes Debian dans le passé.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
