Logo journal du hacker middle
  1. 2
  1.  

  2. 3

    Clairement, je ne plussoierais pas l'article. Je m'explique :

    • dès le début de l'article, où il est expliqué la génération d'une clé SSH, où l'on retrouve la commande minimaliste sur ‘rsa’ - alors qu'on sait clairement depuis plusieurs années qu'il faut/vaut mieux privilégier ‘ed25519’, et si vraiment besoin d'utiliser l'algo ‘rsa’, il est impératif d'utiliser l'option ‘-o’ pour utiliser le durcissement PKBDF… pfff, marre de voire de tels articles minimalistes !

    Du coup, je n'ai même pas lu le reste !

    (Juste pour rappel : https://blog.stephane-huc.net/securite/ssh/ssh-configuration-et-cles-plus-securisees#generation-des-cles - écrit déjà en juillet 2017, et j'étais personnellement en retard à l'époque)

    1. 3

      Merci pour l'info. Je vais de ce pas répondre à votre suggestion et supprimer l'ensemble du blog, dont le contenu est invalidé par l'utilisation d'une option pas assez sécurisée.

      Un gentil bonjour de la garrigue gardoise.

      :o)

      1. 1

        Surtout que par défaut openssh créer des clés ed25519, pas besoin de rajouter d'options.

        Globalement OpenSSH a l'habitude de régulièrement changer ses paramètres par défaut pour intégrer les bonnes pratiques de sécurité (tant que ça ne casse pas la compatibilité).

        1. 2

          J'ai jeté un oeil dans la page man de ssh-keygen, et je trouve ceci, dans la section DESCRIPTION.

          “The type of key to be generated is specified with the -t option. If invoked without any arguments, ssh-keygen will generate an RSA key.”

          Il semblerait donc qu'il soit nécessaire de spécifier explicitement l'utilisation d'ed25519. J'ai testé sur ma station de travail tournant sous OpenSUSE Leap 15.0, et c'est bien le cas.

          1. 2

            C'est des saletés de hipsters, il ne faut pas les écouter ! Ha ha ha

            Plus sérieusement moi aussi ssh-keygen ça fait du rsa, je suis en Mint 19.1 (basé sur Ubuntu 18.04) et openssh-client en 7.6. Après clairement il est temps de passer à ed25519.

            Messieurs un bon réveillon à tous, Tcho !

            1. 1

              Je me suis dit ça quand j'ai vu le blog OpenBSD stylé comme un site porno russe de la fin des années 90.

              :o)

            2. 2

              Effectivement dans le man ils disent que par défaut ça sera du rsa pourtant chez moi c'est du ed25519 qui est créé par défaut. Je suis sur de l'openssh7.9_p1-r1 .

              1. 2

                J'ai expérimenté un peu plus. Par défaut - c'est-à-dire sans autre argument - c'est du RSA 2048 bits. J'ai testé -b 4096, -b 8192 et -b 16384. Avec ce dernier, ça mouline cinq minutes sur ma station de travail 8 coeurs, et une dizaine de minutes sur un Proliant Microserver. Du coup j'ai opté pour -t rsa -b 16384, et j'ai rectifié l'article en conséquence.

                Bonne année à tous !

                1. 1

                  Manque plus que l'option de durcissement sus-mentionnée ci-dessus dans le blog OpenBSD stylé pron russe, puisque c'est ainsi que je suis décrié… si au moins, tu étais capable de t'arrêter sur l'information sérieusement restituée ! (plutôt que sur l'esthétique qui te déplaît).

                  Heureusement que la migration de clé RSA vers une clé durcie ne prend pas beaucoup de temps et est facile à faire ! (je te laisse relire le site porno en question ; pfff)

                2. 1

                  Lord, tu es sûr que tu n'as pas configuré quelque chose de particulier ?

                  Même sous OpenBSD 6.4, actuellement, je génère du rsa quand keygen est exécuté sans option !

                  $ uname -a 
                  OpenBSD ***.stephane-huc.net 6.4 GENERIC.MP#3 amd64
                  
                  $ ssh -V        
                  OpenSSH_7.9, LibreSSL 2.8.2
                  
                  $ ssh-keygen                                                                                                                      
                  Generating public/private rsa key pair.
                  Enter file in which to save the key (/home/***/.ssh/id_rsa): ^C
                  
                  1. 2

                    J'ai un peu regardé et je pense que ça vient du fait que je l'ai compilé sans OpenSSL (ni LibreSSL) du coup toute la crypto provenant de ce projet n'est pas accessible à OpenSSH (dont RSA).

                    lord@hermes ~ uname -a
                    inux hermes 4.19.0 #1 SMP Mon Oct 22 11:22:14 CEST 2018 x86_64 AMD Ryzen Threadripper 1950X 16-Core Processor AuthenticAMD GNU/Linux
                    
                    lord@hermes ~ ssh -V                                                                                                       0 s
                    OpenSSH_7.9p1, without OpenSSL
                    
                    lord@hermes ~ ssh-keygen                                                                                                   0 s
                    Generating public/private ed25519 key pair.
                    Enter file in which to save the key (/home/lord/.ssh/id_ed25519): ^C
                    zsh: interrupt  ssh-keygen
                    
                    1. 1

                      OKidoki, @Lord. Merci de ta confirmation :D :p