None
Security

OpenSSH bald ohne ssh-rsa

by Viktor Garske on Feb. 14, 2020, 9:15 a.m., with 3 comments

Guten Morgen! Vor einigen Stunden wurde OpenSSH 8.2 angekündigt. Soweit so gut, 100 % SSH 2.0-Kompatibilität – wir kennen das zuverlässige Programm, das Tag für Tag seine Arbeit verrichtet. Aber in der Ankündigungsmail fällt mir besonders ein Absatz ins Auge:

It is now possible[1] to perform chosen-prefix attacks against the SHA-1 algorithm for less than USD$50K. For this reason, we will be disabling the "ssh-rsa" public key signature algorithm by default in a near-future release.

Wait, what? Okay, ich denke, dass die meisten vom ersten erfolgreichen praktischen Versuch, eine chosen-prefix collision in SHA-1 hervorzurufen, gehört haben. Richtig (richtig) gefährlich wird es zwar erst, wenn die zweite Hürde, die second-preimage resistance, durchbrochen ist, aber SHA-1 ist auf jeden Fall bereits jetzt nicht mehr sicher.

Der Release bringt allerdings auch Unterstützung für FIDO/U2F mit, was die Schlüsselverwaltung generell ändert:

This release adds support for FIDO/U2F hardware authenticators to OpenSSH. U2F/FIDO are open standards for inexpensive two-factor authentication hardware that are widely used for website authentication. In OpenSSH FIDO devices are supported by new public key types "ecdsa-sk" and "ed25519-sk", along with corresponding certificate types.

Im Großen und Ganzen also ein Release, der den Weg von alten Authentifzierungsmethoden zu neuen Methoden bereitet. Je nach Distribution sollte OpenSSH 8.2 bald bei allen verfügbar sein.

Quelle: Ankündigungsmail

Update: Danke für den Hinweis, Kanton, die Client Keys sind natürlich nicht betroffen.

Tags:
Author image
Viktor Garske

Viktor Garske ist der Hauptautor des Blogs und schreibt gerne über Technologie, Panorama sowie Tipps & Tricks.

Comments (3)

Comments are not enabled for this entry.

U2F in OpenSSH nativ klingt ja super. Im Zusammenspiel mit SSSD und Active Directory als 2nd Factor wäre es optimal.

Das hast du was falsch verstanden. SHA1 hat nichts mit RSA zu tun. Es geht hier um Signaturen, und wie es auch in der von dir angeführten Mail steht, sind RSA-Schlüssel auch weiterhin möglich, sofern sie mit SHA2 signiert sind. Meine ssh-rsa's sind davon schon nicht mehr betroffen.

Hier geht es nur um Signaturen durch Certification Authorities, nicht um Schlüssel. RSA-Schlüssel haben mit SHA1 nichts zu tun.