OpenSSH 8.8 Update - Putty Versions Hinweis

Mitglied: hacktor
Moin zusammen,
folgendes ist mir gerade selbst auf die Füße gefallen:

Bekannt ist ja das OpenSSH ja die schon lange als unsicher geltenden ssh-rsa Keys basierend auf SHA1 als deprecated gekennzeichnet hat. Ab OpenSSH Version 8.8p1 wurde nun per Default der ssh-rsa public key Algorithmus mit SHA1 entfernt. Die PubkeyAcceptedAlgorithms Direktive enthält diesen Algorithmus also nicht mehr wenn die Option in der Config nicht explizit aufgeführt wird, soweit so gut.

Alle meine Keys waren auch schon lange auf SHA512 Stand.

Beachten sollte man aber nun das man Putty in einer Version >= 0.75 verwenden sollte, also mindestens 0.75 oder neuer, da die älteren Versionen bei diesen RSA Typen noch den SHA1 Algorithmus beim Login verwenden und der Server dies dann ablehnt. Meine Version hatte dann leider noch die 0.74 aus 2020 und dann kam es am Server zur Meldung im journal:
da dachte ich zuerst, kann doch nicht sein, mein Key ist doch schon lange up todate mit SHA512... Hmmm also mal in die Change-Logs von Putty geschaut und ....

Ab Version 0.75 wurden in Putty nämlich diesbezüglich Änderungen vorgenommen

https://www.chiark.greenend.org.uk/~sgtatham/putty/changes.html

  • Upgraded default SSH key fingerprint format to OpenSSH-style SHA-256.
  • Upgraded private key file format to PPK3, with improved passphrase hashing and no use of SHA-1.


Wenn ihr also auch darüber stolpert => Putty aktualisieren und die Auth mittels Public Key klappt wieder wie gewohnt sofern der Key auch tatsächlich nicht mit SHA1 erstellt wurde.


Sollte man aus welchem Grund auch immer noch alte Putty Versionen oder Keys mit SHA1 nutzen, kann man das Nutzen der unsicheren Keys in der sshd_config auch wieder aktivieren, was man aber wirklich nur im absoluten Ausnahmefall und höchstens übergangsweise machen sollte.

Content-Key: 1373660060

Url: https://administrator.de/contentid/1373660060

Ausgedruckt am: 27.11.2021 um 07:11 Uhr

Mitglied: colinardo
colinardo 13.10.2021 aktualisiert um 11:05:49 Uhr
Goto Top
Nur zur Info/Ergänzung zum gleichen Thema:

Aktuelle WinSCP Versionen sind auch von dem Update von OpenSSH auf 8.8p1 betroffen wenn man sich per ssh-rsa2 Schlüssel einwählen möchte, man siehe dazu folgende Bugtracker Einträge

Bug 1952 – Support rsa-sha2-256 and rsa-sha2-512 SSH public key algorithms

Cannot connect with publickey since openssh 8.8p1-1

Ab Version 6 die zum jetzigen Zeitpunkt noch nicht final ist wurde der Bug behoben.

Als temporärer Workaround wird das gleiche Empfohlen das @hacktor oben schon genannt hat.

Grüße Uwe
Heiß diskutierte Beiträge
question
Installationsproblem Office 2021 - alle Links öffnen Edge! gelöst SarekHLVor 1 TagFrageMicrosoft Office14 Kommentare

Hallo zusammen, ich habe gerade Office 2021 auf einem Notebook installiert und habe ein seltsames Phänomen! Die Verknüpfungen zu den Office-Programmen führen allesamt zu Edge! ...

question
Umzug von Hyper-V zu VMware und erneute Aktivierung von Windowspianoman82Vor 1 TagFrageWindows Server11 Kommentare

Hallo! Ich habe eine Frage im Hinblick auf Windows-Aktivierung da mir hier aktuell der Ansatz fehlt. Es geht um die Migration von diversen Windows Server ...

question
VPN Tunnel inkonsistent? gelöst NespressoVor 1 TagFrageNetzwerkprotokolle4 Kommentare

Hallo zusammen, das Thema VPN ist bei mir recht neu, doch habe ich es hinbekommen den Windows Server 2016 eigenen VPN dienst zu konfigurieren und ...

question
WSUS Problem mit Office + ExplorerfrenchfriesguyVor 1 TagFrageWindows Update7 Kommentare

Hallo zusammen ich/wir haben folgendes Problem mit einem Teil unseres Windows-Clients (W10E, 20H2) in Verbindung mit den Windows Updates. Die Updates werden über einen WSUS-Server ...

question
Eigener Server für Groupware und Nextcloudjonny-flashVor 1 TagFrageE-Mail5 Kommentare

Hallo zusammen, ich darf für ein kleines Startup temporär die Administration übernehmen, und habe bevor es los geht ein paar Fragen, die ich hier gern ...

question
VPN- 2 Sicherheitsfunktionen gelöst TekamolosVor 1 TagFrageVerschlüsselung & Zertifikate3 Kommentare

Hallo Jungs, beim Lernen habe ich diese Frage bekommen, da es im Internet sehr viel über VPN und viel Text und Protokolle gibt, war ich ...

question
Über das Notebook per Simkarte von unterwegs aus ins Internet?isarc01Vor 22 StundenFrage5G, 4G, LTE, UMTS, EDGE & GPRS8 Kommentare

Hallo, folgende Frage: Wenn ich über mein Notebook über eine angemeldete SIM Karte mit einer Datenflatrate ins Internet gehen möchte, benötige ich hier einen bestimmten ...

question
Mobilfunk-Internet ins Heimnetzwerk integrieren? gelöst AvarianVor 16 StundenFrageNetzwerkmanagement6 Kommentare

Hallo, Ich bin neu hier. Wir sind vorletztes Jahr umgezogen. Die Gelegenheit habe ich damals direkt genutzt, um künftig auf wackelige WLAN-Lösungen (Repeater, Mesh-Repeater, Powerlines ...