Pour SSH, DSA ou RSA key ? - Linux et OS Alternatifs
Marsh Posté le 15-07-2002 à 18:26:17
Je crois que la plus secure estla DSA.
Marsh Posté le 15-07-2002 à 18:31:13
il y a une raison particulière pour ça ?
tu sais pas ou je pourrais trouver plus d'infos ?
j'ai cherché sur google, mais tout ce que j'ai pu trouver disait qu'il n'y a pas de différences notable depuis que les RSA sont ssh2
donc je suis paumé, surtout que j'y connais rien là-dedans, et ça m'interesserait d'en savoir un peu plus
je suis en train de matter le site d'openBSD sur la page openSSH pour voir si ils en parlent
Marsh Posté le 15-07-2002 à 21:24:22
j'ai pas trouvé grand chose
à priori, y-a pas grande différence notable, à part pour une utilisation pointue.
la seule page clair que j'ai pu trouver :
http://www.rsasecurity.com/rsalabs/faq/3-4-1.html
sinon, j'ai pu voir que la clé rsa pouvait être cassé 4 fois plus vite en simplifiant l'algo de décryptage (qui n'est donc pas fiable), en factorisant par nombre entier ou je sais plus quoi
enfin ça doit prendre encore du temps à priori
donc je crois que je vais prendre une clé DSA, mais sans trop savoir pourquoi
personne n'a jamais utilisé de tel clé ?
ceux qui en ont utilisé, quel type avez vous pris, et pourquoi ?
Marsh Posté le 15-07-2002 à 21:40:12
J'ai un serveur ssh pour me connecter a distance ainsi qu'un ami et on a utilise la cle DSA pour une question de niveau de cryptage (nombre de bits il me semble), malheureusement je ne m'en rapelle plus trop. Je recherche l'article de Linux Mag qui m'a servi a l'installer et je te dis pourquoi, je crois que c'est explique dedans.
Marsh Posté le 15-07-2002 à 21:43:46
Gaellick a écrit a écrit : J'ai un serveur ssh pour me connecter a distance ainsi qu'un ami et on a utilise la cle DSA pour une question de niveau de cryptage (nombre de bits il me semble), malheureusement je ne m'en rapelle plus trop. Je recherche l'article de Linux Mag qui m'a servi a l'installer et je te dis pourquoi, je crois que c'est explique dedans. |
ok, cool
tu peux me dire comment on fait d'ailleurs
ça m'évitera de lire le manuel
en fait j'ai commencé à lire, donc à priori je dois faire ssh-keygen sur mon pc et copier la clé public sur le serveur ?
mais où ?
et j'ai vu que j'avais dejà des clé dans /etc/ssh
elles servent à quoi ?
Marsh Posté le 15-07-2002 à 22:58:03
bon ça marche, c'était pas bien dur
et pour ceux que ça intéresse, les clé présente dans /etc/ssh, c'est pour le host based authentification
Marsh Posté le 16-07-2002 à 00:51:04
Cool.
Marsh Posté le 16-07-2002 à 13:40:49
par contre , j'ai pas compris à quoi sert la pass phrase
c'est pour augmenter le niveau de cryptage des données ?
Marsh Posté le 16-07-2002 à 14:27:57
Non, en fait quand le client voudra se logguer sur le serveur, on lui demandera de saisir le pass phrase qui lui a servi a generer sa cle. Tu peux tres bien n'utiliser qu'un mot de passe, mais c'est fortement deconseille apparement. Une phrase se casse certainement moins facilement et rapidement qu'un simple mot de passe.
Marsh Posté le 16-07-2002 à 14:29:35
Citation : par contre , j'ai pas compris à quoi sert la pass phrase |
Ben, elle sert pour l'authentication
^_^
Marsh Posté le 16-07-2002 à 14:30:31
La pass phrase sert à assurer le fait que personne ne t'a volé ta clé privée.
Marsh Posté le 16-07-2002 à 14:36:05
wann a écrit a écrit : La pass phrase sert à assurer le fait que personne ne t'a volé ta clé privée. |
??? Ca sert a l'authentification lors de la connection non ? Parceque une cle privee sans la pass phrase ca sert a rien (ca y'est je viens de comprendre ce que tu voulais dire ).
Marsh Posté le 16-07-2002 à 14:36:18
Citation : La pass phrase sert à assurer le fait que personne ne t'a volé ta clé privée. |
Yep. C'est facile de copier une clé mais si t'as pas la passphrase ça te sert pas a grand chose
C'est ça l'authentication : verifier (on peut jamais etre sur a 100% mais bon) qu'on a bien affaire a la bonne personne a l'autre bout du fil.
^_^
EDIT : orthographe rules
Marsh Posté le 16-07-2002 à 15:01:14
oula !
pas compris là
pour moi, l'interet des clé était qu'on avait plus à saisir de mdp, non ??
parce qu'avant que je génère mes clé, je rentrais sans arrét mes mdp et c'est vite lourd !
alors si maintenant je dois rentrer un pass phrase
et la clé public se copie facilement, mais encore faudrait t-il qu'il copie la clé privé le voleur non ?
Marsh Posté le 16-07-2002 à 15:11:33
Citation : oula ! |
Ouais, tu confonds un peu tout.
Si tu veux pas t'emmerder a rentrer ta passphrase a chaque fois > man ssh-agent.
Si tu veux comprendre le fonctionnement du systeme public/private key > http://www.google.com/search?hl=en [...] +mechanism (ce sera plus facile a comprendre si tu as une bonne explication ).
^_^
EDIT : http://developer.netscape.com/tech [...] works.html pour l'explication du systeme public/private keys
Marsh Posté le 16-07-2002 à 15:16:56
impulse a écrit a écrit :
|
fait chier merde ... pourquoi ça marche comme j'ai fait ?
ça devient lourd là, si en plus faut que je me tappe de l'anglais
en fait j'ai suivi ça moi :
http://forum.hardware.fr/forum2.ph [...] h=&subcat=
ainsi que le lien donné par chaica dessus
tu peux me dire ce qui va pas dans ce qu'ils mettent ?
Marsh Posté le 16-07-2002 à 15:18:59
en fait pour être clair :
est-ce que comme j'ai fait, c'est moins secure qu'avec le ssh-agent ? et pourquoi ?
bon et pis je lirais le mechanism quand j'aurais le temps
Marsh Posté le 16-07-2002 à 15:20:36
Fallait dire que t'etais allergique a l'anglais
Ce lien a l'air pas mal : http://www.defense.gouv.fr/actuali [...] ontenu.htm
^_^
Marsh Posté le 16-07-2002 à 15:21:59
impulse a écrit a écrit : Fallait dire que t'etais allergique a l'anglais Ce lien a l'air pas mal : http://www.defense.gouv.fr/actuali [...] ontenu.htm ^_^ |
disons que je suis pas vraiment allergique, mais je suis pas vraiment une star en anglais, et j'ai bouffé assez de docs en anglais pour le moment (j'arrete pas, ça devient lourd à force )
Marsh Posté le 16-07-2002 à 15:23:32
Citation : en fait pour être clair : |
Qu'est ce que tu as fait ? Tu as créé ta clé privée sans passphrase ? Je t'explique vite fait a quoi sert l'agent : tu demarres l'agent > il te demande ta passphrase. Ensuite a chaque fois qu'un programme demande ta passphrase, l'agent fourni la clé a ta place (comme ça tu tapes ta clé une seule fois et c'est bon).
^_^
Marsh Posté le 16-07-2002 à 15:27:50
Citation : disons que je suis pas vraiment allergique, mais je suis pas vraiment une star en anglais, et j'ai bouffé assez de docs en anglais pour le moment (j'arrete pas, ça devient lourd à force ) |
Bof. C'est pas trop genant et c'est un peu obligé si tu bosses ds le secteur info...
Il faut dire que c'est souvent bien plus facile de trouver une bonne doc en anglois plutot qu'en bon vieux françois.
^_^
PS : en fait j'ai le bouquin "SSH, the secure shell : the definitive guide" devant les yeux... je n'invente rien et je ne suis pas du tout un specialiste SSH ; j'ai juste la bonne doc.
Marsh Posté le 16-07-2002 à 15:29:30
impulse a écrit a écrit :
|
ok
moi en fait, j'ai fait comme dit dans le lien que je t'ai mis vers un autre topic :
j'ai créer ma clé sans pass phrase avec ssh-keygen
j'ai un privé et une public dans le rep ~/.ssh
j'ai copié la public sur le serveur dans le fichier ~/.ssh/authorized_keys
et ça marche
je précise que j'ai une debian, et que ça vient p-t de là si ça marche
parce que j'ai un pote à qui j'ai dit de faire pareil avec ça mandrake (le serveur est une woddy) et ça marche pas
Marsh Posté le 16-07-2002 à 15:31:04
impulse a écrit a écrit :
|
ouai mais je te dis, je suis pas allergique a l'anglais, j'ai installer un cvs avec la doc anglais
et je me suis aider de doc en anglais pour apache et mysql ... donc ça va
mais là j'ai pu envie
Marsh Posté le 16-07-2002 à 15:34:44
extrait de mon bouquin :
Another way to achieve password-less logins is to use an unencrypted private key with no passphrase. Although this technique can be appropriate for automation purposes, never do this for interactive use. Instead, use the SSH agent, which provides the same benefits with much greater security. Don't use unencrypted keys for interactive SSH!
No comment
^_^
Marsh Posté le 16-07-2002 à 15:41:51
impulse a écrit a écrit : extrait de mon bouquin : Another way to achieve password-less logins is to use an unencrypted private key with no passphrase. Although this technique can be appropriate for automation purposes, never do this for interactive use. Instead, use the SSH agent, which provides the same benefits with much greater security. Don't use unencrypted keys for interactive SSH! No comment ^_^ |
pk il parle de unemcrypted key, ça existe avec ssh ?
sinon, c'est pour éviter, en priorité, de ne pas avoir à saisir de mdp avec cvs
mais ma clé est encrypté, elle a juste pas de passphrase
ou j'ai pas bien compris
Marsh Posté le 16-07-2002 à 15:55:37
Citation : pk il parle de unemcrypted key, ça existe avec ssh ? |
Alors utilise un agent. C'est vraiment pas complexe a mettre en place et ça marche nickel (j'utilise un agent perso et ça roule).
T'as 2-3 commandes a taper et hop, plus de passphrase a taper toutes les 5 minutes. C'est du genre :
$ ssh-agent $SHELL => pour creer l'agent
$ ssh-add => pour ajouter la clé ds ton agent
Et voila.
^_^
Marsh Posté le 16-07-2002 à 16:02:00
impulse a écrit a écrit :
|
ok j'essaierais ça, merci
sinon je lirais ta doc pour comprendre pk ce que je fais ne va pas
Marsh Posté le 16-07-2002 à 16:41:00
ça y est, je viens de comprendre un truc là : si qq'un recupère ce qu'il se passe sur le reseau tout en ayant la clé publique (facile à récupérer à priori ?), il peut facilement décrypter les données "protégées" ?
et le ssh-agent règle ce problème ?
... je continue à lire mais vous pouvez quand même répondre
Marsh Posté le 16-07-2002 à 18:46:57
tatanka a écrit a écrit : ça y est, je viens de comprendre un truc là : si qq'un recupère ce qu'il se passe sur le reseau tout en ayant la clé publique (facile à récupérer à priori ?), il peut facilement décrypter les données "protégées" ? et le ssh-agent règle ce problème ? ... je continue à lire mais vous pouvez quand même répondre |
je viens de comprendre un autre aspect du problème :
en fait, ssh gère de problème de sécurité: l'authentification et le cryptage des données
avec ma méthode, le cryptage n'est pas assuré, mais l'authentification si, n'est-ce pas ?
et le ssh-agent gère en plus un cryptage des données sûr ?
j'ai bon ? vous me dites si je me gourre
Marsh Posté le 16-07-2002 à 19:45:44
bon j'ai tout lu mais je suis toujours pas sur de la différence de niveau de sécurité entre la solution que j'ai suivi et la solution utilisant ssh-agent ?
Marsh Posté le 17-07-2002 à 08:51:24
En fait SSH se sert de ta passphrase pour crypter ta clé privée (ton identity file). Si tu mets une passphrase vide, ta clé n'est pas cryptée.
Il ne faut pas confondre cryptage de ta clé privée et cryptage de tes communications via SSH : SSH crypte les infos qui circulent entre le client et le serveur, que tu aies une clé privée cryptée ou une clé sans passphrase ne change rien a ce niveau.
L'agent est un programme qui stocke ta clé privée pour la fournir a ta place quand un programme te la demande. Quand tu veux ajouter ta clé dans un agent, et que cette clé est cryptée, tu dois rentrer ta passphrase pour decrypter ta clé et la stocker ds l'agent. Ta clé est donc en clair ds l'agent. Il est toutefois assez compliqué d'extraire une clé de l'agent donc cette solution est bien plus secure que celle avec une clé privée non cryptée.
Voila.
^_^
Marsh Posté le 17-07-2002 à 09:09:16
Citation : pour moi, l'interet des clé était qu'on avait plus à saisir de mdp, non ?? |
Pour eclaircir encore un peu + :
L'interet des clés ce n'est pas d'eviter de rentrer un mdp : ce systeme est plus secure pour les raisons suivantes >
- il y a 2 composants a voler : le fichier qui contient ta clé ET la passphrase alors qu'avec le password il suffit de recuperer ce password et c'est bon
- la passphrase ou ta clé ne circulent jamais entre le client et le serveur, on ne peut donc pas les "sniffer" comme un password
- les clés cryptées generées par une machine sont tres difficiles (voire impossible) a decrypter alors qu'un password est bcp plus facile a deviner ou a cracker. De + si on veut cracker ta clé il faut deja la recuperer
Je me repete un peu dans ce topic mais c'est pour que tu voies bien comment ça marche. Si tu n'as pas bien saisi le fontionnement du systeme des clés je te conseille de lire le lien que je t'ai filé : c'est en anglais mais c'est tres court et facile a comprendre. Perso c'est grace a cet exemple que j'ai compris le fonctionnement des clés publiques/privées (c'est pas forcement evident de comprendre comment ça marche).
^_^
Marsh Posté le 17-07-2002 à 10:54:55
merci beaucoup à toi impulse
j'ai lu le lien vers le site du gouvernement, qui explique très bien la chose, mais j'avais pas compris que la clé privé n'était pas cryptée
grâce à tes explication, j'ai bien saisie le truc maintenant
je me mets le ssh-agent tout de suite du coup
Marsh Posté le 17-07-2002 à 11:14:57
Citation : merci beaucoup à toi impulse |
De rien. Je suis en plein dans SSH en ce moment et je dois dire que je n'ai pas compris tout suite les subtilités de cet outil. Si il y a des bouquins de + de 500 pages sur SSH c'est pas pour rien, y'a bcp de trucs a apprendre/comprendre pour s'en servir correctement et sans la bonne doc c'est pas evident de s'y retrouver au debut.
^_^
Marsh Posté le 17-07-2002 à 12:00:44
bon ok, mais quand je redémarre, l'agent n'existera plus, le man n'en parle pas bcp on dirait ...
donc faut refaire le ssh-add ??
c'est vite fastidieux non ?
ou un simple script dans les rc avec :
ssh-agent |
dedans, suffirait-il ?
Marsh Posté le 17-07-2002 à 12:07:16
j'ai encore dit une connerie : les deux lignes seraient plutot à mettre dans un des script de login genre ~/.bashrc mais il faut encore utiliser la passphrase, donc ça aussi ça n'ira pas !
bref, j'aimerais savoir si le ssh-agent est encore envi après un reboot, ça serait moins pénible que d'avoir à tout refaire à chaque reboot (c'est fastidieux)
Marsh Posté le 17-07-2002 à 12:27:33
Citation : j'ai encore dit une connerie : les deux lignes seraient plutot à mettre dans un des script de login genre ~/.bashrc mais il faut encore utiliser la passphrase, donc ça aussi ça n'ira pas ! |
Mouais...
T'es pas sous windows la ! Tu rebootes pas toutes les 5 minutes...
Perso ça fait + de 6 mois que j'ai pas rebooté donc ça ne me gene pas trop
Sinon tu peux le configurer pour qu'il se lance au demarrage effectivement, tu auras juste a taper ta passphrase quand tu te logues.
^_^
Marsh Posté le 17-07-2002 à 13:52:51
impulse a écrit a écrit :
|
ouai mais je dois rebooter sous windows parce que j'ai toujours pas réussi à faire marcher edonkey sous linux
idem pour mon graveur
idem pour cs (qui rame avec wine)
idem pour l'imprimante (canon trop recente)
et je crois que c'est tout, mais c'est déjà suffisant pour avoir à rebooter
mais mon serveur ne reboot jamais non plus
Marsh Posté le 17-07-2002 à 14:41:24
bordel, quand je fais
ssh-agent |
il est censé exécuter ce qu'il affiche à l'écran non ??! les export du pid et de la socket unix, il le fait pas, résultat, ssh-add peut pas se connecter au ssh-agent et y-a rien qui marche, c'est lourd, j'ai oublié quoi là ?
Marsh Posté le 15-07-2002 à 18:18:27
Je sais pas laquelle choisir entre les deux ?
y-a t'il une différence (l'algo bien sur, mais à part ça) ?
une plus fiable que l'autre ?
une plus adapté à un type d'utilisation, et l'autre non ?
ou peut-on les choisir totalement au hasard ?