headers
Thibaut LE LEVIER | 17 May 17:00
Picon

Mise à jour des clé SSH

Bonjour

Suite à la faille d'openSSL annoncée il y a quel que jours, je profite 
d'un peut de temps libre pour mettre à jour mes serveurs.

J'aurai juste une petite question qui me pose problème:
J'utilise une authentification par clé publique sur une des machines que 
j'utilise et sur laquel un certain nombre de personnes ont accé.

Est-il nécessaire de recréer toute les clés? est-il possible de juste 
les mettre à jour?

Merci
Thibaut

--

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST <at> lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster <at> lists.debian.org
Permalink | Reply |
headers
Stephane Bortzmeyer | 17 May 18:46

Re: Mise à jour des clé SSH

On Sat, May 17, 2008 at 05:03:52PM +0200,
 Thibaut LE LEVIER <thibaut <at> lelevier.fr> wrote 
 a message of 23 lines which said:

> J'utilise une authentification par clé publique sur une des machines
> que j'utilise et sur laquel un certain nombre de personnes ont accé.

[Attention, à prendre avec des pincettes, tout ceci est bien compliqué
et je ne prétends pas être un gourou crypto.]

Si cette machine est Debian mais que :

- les utilisateurs ont généré leurs clés sur des machines non-Debian

- ET ont toujours utilisé la clé privée sur une machine non-Debian,

il n'y a normalement pas de problème.

> Est-il nécessaire de recréer toute les clés? est-il possible de
> juste les mettre à jour?

Je ne comprends pas cette phrase. Il n'existe pas de moyen de « mettre
à jour » une clé. On la jette et on en crée une autre.

--

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
(Continue reading)

Permalink | Reply |
headers
Julien Valroff | 17 May 18:53

Re: Mise à jour des clé SSH

Le samedi 17 mai 2008 à 18:46 +0200, Stephane Bortzmeyer a écrit :
> On Sat, May 17, 2008 at 05:03:52PM +0200,
>  Thibaut LE LEVIER <thibaut <at> lelevier.fr> wrote 
>  a message of 23 lines which said:
> 
> > J'utilise une authentification par clé publique sur une des machines
> > que j'utilise et sur laquel un certain nombre de personnes ont accé.
> 
> [Attention, à prendre avec des pincettes, tout ceci est bien compliqué
> et je ne prétends pas être un gourou crypto.]
> 
> Si cette machine est Debian mais que :
> 
> - les utilisateurs ont généré leurs clés sur des machines non-Debian
> 
> - ET ont toujours utilisé la clé privée sur une machine non-Debian,
> 
> il n'y a normalement pas de problème.

Pour le vérifier, mets à jour ton système, change les clés du serveur et
lance "ssh-vulnkey -a" en tant que root, cela va tester les clés des
utilisateurs (ainsi que les clés autorisées), seulement dans les
emplacements courants (~/.ssh/id_rsa.pub par exemple)

Si une des clés est "blacklistée", il te faudra la supprimer et demander
à l'utilisateur concernée d'en re-générer une (en lui demandant de
vérifier sont système également, mais rien ne t'empêche de tester cette
clé de ton coté !)

@+
(Continue reading)

Permalink | Reply |
headers
François Boisson | 17 May 19:06

Re: Mise à jour des clé SSH

Le Sat, 17 May 2008 18:53:57 +0200
Julien Valroff <julien <at> kirya.net> a écrit:

> Si une des clés est "blacklistée", il te faudra la supprimer et demander
> à l'utilisateur concernée d'en re-générer une (en lui demandant de
> vérifier sont système également, mais rien ne t'empêche de tester cette
> clé de ton coté !)

le paquet installé (openssh-blacklist) fait que même si un utilisateur
négligent ne renouvelle pas sa clef, l'authentification par clef sera invalide
de toute façon. Sur un serveur, on peut se contenter de refaire éventuellement
les clefs d'identification de la machine et installer ce paquet. Les
utilisateurs verront eux mêmes si il faut qu'ils refassent leur clef ou non.

François Boisson

--

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST <at> lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster <at> lists.debian.org
Permalink | Reply |
headers
Thibaut LE LEVIER | 17 May 21:24
Picon

Re: Mise à jour des clé SSH

Merci à tous pour vos infos,
j'ai lancé ssh-vulkey et j'ai rétabli mon accès en renouvellent ma clé 
(l'ancien généré du temps de debian sarge n'était à priori pas valide et 
le authorized_keys de mon user à été supprimé).

Y'a-t-il un moyen de tester cette vulnérabilité? afin de déterminer si 
une machine est encore vulnérable ou non?

Merci
Thibaut

--

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST <at> lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster <at> lists.debian.org
Permalink | Reply |
headers
Stephane Bortzmeyer | 18 May 00:23

Re: Mise à jour des clé SSH

On Sat, May 17, 2008 at 09:24:05PM +0200,
 Thibaut LE LEVIER <thibaut <at> lelevier.fr> wrote 
 a message of 19 lines which said:

> Y'a-t-il un moyen de tester cette vulnérabilité? afin de déterminer
> si une machine est encore vulnérable ou non?

Tenter de la pirater avec les 65000 clés Debian possibles :

http://milw0rm.com/exploits/5622

--

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST <at> lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster <at> lists.debian.org
Permalink | Reply |
headers
Stephane Bortzmeyer | 18 May 00:20

Re: Mise à jour des clé SSH

On Sat, May 17, 2008 at 06:53:57PM +0200,
 Julien Valroff <julien <at> kirya.net> wrote 
 a message of 41 lines which said:

> Pour le vérifier, mets à jour ton système, change les clés du
> serveur et lance "ssh-vulnkey -a" en tant que root, cela va tester
> les clés des utilisateurs (ainsi que les clés autorisées), seulement
> dans les emplacements courants (~/.ssh/id_rsa.pub par exemple)

Attention, attention, cette manip' est INSUFFISANTE. Elle détecte si
la clé a été GÉNÉRÉE sur un système vulnérable, pas si elle a été
UTILISÉE sur un système vulnérable. Or, avec les clés DSA (et
seulement elles), être utilisée sur un système vulnérable est
suffisant pour rendre la clé vulnérable (explications mathématiques en
<http://blog.sesse.net/blog/tech/2008-05-14-17-21_some_maths.html>).

Il faut donc changer, en prime des clés détectées par ssh-vulnkey, les
clés DSA qui ont été utilisées sur une Debian.

--

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST <at> lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster <at> lists.debian.org
Permalink | Reply |
headers
Emmanuel Lesouef | 18 May 09:58
Picon

Re: Mise à jour des clé SSH

Le Sat, 17 May 2008 18:53:57 +0200,
Julien Valroff <julien <at> kirya.net> a écrit :

> 
> Pour le vérifier, mets à jour ton système, change les clés du serveur
> et lance "ssh-vulnkey -a" en tant que root, cela va tester les clés
> des utilisateurs (ainsi que les clés autorisées), seulement dans les
> emplacements courants (~/.ssh/id_rsa.pub par exemple)
> 
> Si une des clés est "blacklistée", il te faudra la supprimer et
> demander à l'utilisateur concernée d'en re-générer une (en lui
> demandant de vérifier sont système également, mais rien ne t'empêche
> de tester cette clé de ton coté !)
> 
> @+
> Julien
> 

Sait-on si les clés de plus de 2048bits sont concernées ? Car elles ne
figurent pas dans les blacklists et sont considérées comme :

Unknown (no blacklist information)

Merci.

--

-- 
Emmanuel Lesouef
Permalink | Reply |
headers
David Prévot | 18 May 15:02

Re: Mise à jour des clé SSH


Emmanuel Lesouef a écrit :
> Sait-on si les clés de plus de 2048bits sont concernées ? Car elles ne
> figurent pas dans les blacklists et sont considérées comme :
> 
> Unknown (no blacklist information)

Oui, bien sûr : il n'y a que 32 767 clefs possibles au format où tu l'as
créé (en fait statistiquement, environ dix mille seulement sont
probables). Comme c'est un format non standard, il n'est pas dans la
base de données des clefs réputées faibles. Les scripts pour les générer
circulent quand même depuis un moment maintenant... De plus, si « on »
sait que des utilisateurs Debian peu prudents on laissé des clefs
facilement piratables, à des formats non standards, si en plus ils
laissent leur nom de domaine et leur adresse IP (fixe), sur des listes
de diffusion, ben c'est un peu donner le bâton pour se faire battre ;),
et ce n'est pas l'utilisation d'un port non conforme mais trivial qui va
les protéger...

Amicalement

David
Permalink | Reply |
headers
Emmanuel Lesouef | 18 May 15:17
Picon

Re: Mise à jour des clé SSH

Le Sun, 18 May 2008 09:02:52 -0400,
David Prévot <davidp <at> altern.org> a écrit :

> 
> Oui, bien sûr : il n'y a que 32 767 clefs possibles au format où tu
> l'as créé (en fait statistiquement, environ dix mille seulement sont
> probables). Comme c'est un format non standard, il n'est pas dans la
> base de données des clefs réputées faibles. Les scripts pour les
> générer circulent quand même depuis un moment maintenant... De plus,
> si « on » sait que des utilisateurs Debian peu prudents on laissé des
> clefs facilement piratables, à des formats non standards, si en plus
> ils laissent leur nom de domaine et leur adresse IP (fixe), sur des
> listes de diffusion, ben c'est un peu donner le bâton pour se faire
> battre ;), et ce n'est pas l'utilisation d'un port non conforme mais
> trivial qui va les protéger...

Légèrement intrusif comme analyse... Mais bon, c'est dans un bon esprit
j'en suis sur.

Merci pour tes renseignements.

--

-- 
Emmanuel Lesouef
Permalink | Reply |
headers
Jean Baptiste FAVRE | 18 May 16:17
Picon

Re: Mise à jour des clé SSH

Bonjour,
Oui, les clefs générées sous Debian avec une version vulnérable
d'OpenSSL sont à changer et ce quelque soit leur taille.

Elles ne figurent pas dans la liste des clefs blacklistées car cette
liste ne contient que les clefs de 1024 et 2048 bits.
Au-délà, le temps de génération des 32 767 clefs possibles pour toutes
les tailles devient tout simplement prohibitif (et le paquet serait
aussi beaucoup plus gros ;-) ).

Mais ne doutes pas un instant que des petits malins le feront "pour le
plaisir"... enfin surtout pour s'approprier les machines de ceux qui se
seront crus à l'abri.

Bonne journée,
JB

Emmanuel Lesouef a écrit :
> Le Sat, 17 May 2008 18:53:57 +0200,
> Julien Valroff <julien <at> kirya.net> a écrit :
> 
>> Pour le vérifier, mets à jour ton système, change les clés du serveur
>> et lance "ssh-vulnkey -a" en tant que root, cela va tester les clés
>> des utilisateurs (ainsi que les clés autorisées), seulement dans les
>> emplacements courants (~/.ssh/id_rsa.pub par exemple)
>>
>> Si une des clés est "blacklistée", il te faudra la supprimer et
>> demander à l'utilisateur concernée d'en re-générer une (en lui
>> demandant de vérifier sont système également, mais rien ne t'empêche
>> de tester cette clé de ton coté !)
(Continue reading)

Permalink | Reply |
headers
Raphael Hertzog | 18 May 18:58
Picon
Favicon

Re: Mise à jour des clé SSH

On Sun, 18 May 2008, Jean Baptiste FAVRE wrote:
> Bonjour,
> Oui, les clefs générées sous Debian avec une version vulnérable
> d'OpenSSL sont à changer et ce quelque soit leur taille.
> 
> Elles ne figurent pas dans la liste des clefs blacklistées car cette
> liste ne contient que les clefs de 1024 et 2048 bits.
> Au-délà, le temps de génération des 32 767 clefs possibles pour toutes
> les tailles devient tout simplement prohibitif (et le paquet serait
> aussi beaucoup plus gros ;-) ).

C'est faux. Le temps n'est pas prohibitif. Les clés de 4906 sont déjà
disponibles en téléchargement, et celles de 8192 peuvent être générées en
quelques jours avec quelques dizaines de serveurs. Elles ont sûrement été
générées par les pirates (mais pas publiées).

Vous n'êtes pas en sécurité avec une clé générée avec le mauvais OpenSSL
quelque soit la taille.

Et le paquet source openssh-blacklist ne génère pas les clés, il contient
une liste pré-calculé d'empreintes des clés compromises, il y aura
sûrement un paquet binaire openssh-blacklist-extra pour les tailles
non-standard:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=481336

A+
--

-- 
Raphaël Hertzog

Le best-seller français mis à jour pour Debian Etch :
(Continue reading)

Permalink | Reply |
headers
Vincent Lefevre | 19 May 14:14

Re: Mise à jour des clé SSH

On 2008-05-18 18:58:11 +0200, Raphael Hertzog wrote:
> Et le paquet source openssh-blacklist ne génère pas les clés, il contient
> une liste pré-calculé d'empreintes des clés compromises, il y aura
> sûrement un paquet binaire openssh-blacklist-extra pour les tailles
> non-standard:
> http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=481336

openssh-blacklist-extra contient aussi les RSA-1024, qui sont standard
ou tout du moins l'étaient sur les systèmes Debian dans le passé.

-- 
Vincent Lefèvre <vincent <at> vinc17.org> - Web: <http://www.vinc17.org/>
100% accessible validated (X)HTML - Blog: <http://www.vinc17.org/blog/>
Work: CR INRIA - computer arithmetic / Arenaire project (LIP, ENS-Lyon)

--

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST <at> lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster <at> lists.debian.org
Permalink | Reply |

Gmane