149569
Oct 10, 2021, updated at 13:29:50 (UTC)
8529
1
2
OpenSSH 8.8 Update - Putty Versions Hinweis
Moin zusammen,
folgendes ist mir gerade selbst auf die Füße gefallen:
Bekannt ist ja das OpenSSH ja die schon lange als unsicher geltenden ssh-rsa Keys basierend auf SHA1 als deprecated gekennzeichnet hat. Ab OpenSSH Version 8.8p1 wurde nun per Default der ssh-rsa public key Algorithmus mit SHA1 entfernt. Die PubkeyAcceptedAlgorithms Direktive enthält diesen Algorithmus also nicht mehr wenn die Option in der Config nicht explizit aufgeführt wird, soweit so gut.
Alle meine Keys waren auch schon lange auf SHA512 Stand.
Beachten sollte man aber nun das man Putty in einer Version >= 0.75 verwenden sollte, also mindestens 0.75 oder neuer, da die älteren Versionen bei diesen RSA Typen noch den SHA1 Algorithmus beim Login verwenden und der Server dies dann ablehnt. Meine Version hatte dann leider noch die 0.74 aus 2020 und dann kam es am Server zur Meldung im journal:
da dachte ich zuerst, kann doch nicht sein, mein Key ist doch schon lange up todate mit SHA512... Hmmm also mal in die Change-Logs von Putty geschaut und ....
Ab Version 0.75 wurden in Putty nämlich diesbezüglich Änderungen vorgenommen
https://www.chiark.greenend.org.uk/~sgtatham/putty/changes.html
Wenn ihr also auch darüber stolpert => Putty aktualisieren und die Auth mittels Public Key klappt wieder wie gewohnt sofern der Key auch tatsächlich nicht mit SHA1 erstellt wurde.
Sollte man aus welchem Grund auch immer noch alte Putty Versionen oder Keys mit SHA1 nutzen, kann man das Nutzen der unsicheren Keys in der sshd_config auch wieder aktivieren, was man aber wirklich nur im absoluten Ausnahmefall und höchstens übergangsweise machen sollte.
folgendes ist mir gerade selbst auf die Füße gefallen:
Bekannt ist ja das OpenSSH ja die schon lange als unsicher geltenden ssh-rsa Keys basierend auf SHA1 als deprecated gekennzeichnet hat. Ab OpenSSH Version 8.8p1 wurde nun per Default der ssh-rsa public key Algorithmus mit SHA1 entfernt. Die PubkeyAcceptedAlgorithms Direktive enthält diesen Algorithmus also nicht mehr wenn die Option in der Config nicht explizit aufgeführt wird, soweit so gut.
Alle meine Keys waren auch schon lange auf SHA512 Stand.
Beachten sollte man aber nun das man Putty in einer Version >= 0.75 verwenden sollte, also mindestens 0.75 oder neuer, da die älteren Versionen bei diesen RSA Typen noch den SHA1 Algorithmus beim Login verwenden und der Server dies dann ablehnt. Meine Version hatte dann leider noch die 0.74 aus 2020 und dann kam es am Server zur Meldung im journal:
userauth_pubkey: key type ssh-rsa not in PubkeyAcceptedAlgorithms [preauth]
Ab Version 0.75 wurden in Putty nämlich diesbezüglich Änderungen vorgenommen
https://www.chiark.greenend.org.uk/~sgtatham/putty/changes.html
- Upgraded default SSH key fingerprint format to OpenSSH-style SHA-256.
- Upgraded private key file format to PPK3, with improved passphrase hashing and no use of SHA-1.
Wenn ihr also auch darüber stolpert => Putty aktualisieren und die Auth mittels Public Key klappt wieder wie gewohnt sofern der Key auch tatsächlich nicht mit SHA1 erstellt wurde.
Sollte man aus welchem Grund auch immer noch alte Putty Versionen oder Keys mit SHA1 nutzen, kann man das Nutzen der unsicheren Keys in der sshd_config auch wieder aktivieren, was man aber wirklich nur im absoluten Ausnahmefall und höchstens übergangsweise machen sollte.
HostkeyAlgorithms +ssh-rsa
PubkeyAcceptedAlgorithms +ssh-rsa
Please also mark the comments that contributed to the solution of the article
Content-ID: 1373660060
Url: https://administrator.de/contentid/1373660060
Printed on: December 10, 2024 at 14:12 o'clock
1 Comment
Nur zur Info/Ergänzung zum gleichen Thema:
Aktuelle WinSCP Versionen sind auch von dem Update von OpenSSH auf 8.8p1 betroffen wenn man sich per ssh-rsa2 Schlüssel einwählen möchte, man siehe dazu folgende Bugtracker Einträge
Bug 1952 – Support rsa-sha2-256 and rsa-sha2-512 SSH public key algorithms
Cannot connect with publickey since openssh 8.8p1-1
Ab Version 6 die zum jetzigen Zeitpunkt noch nicht final ist wurde der Bug behoben.
Als temporärer Workaround wird das gleiche Empfohlen das @149569 oben schon genannt hat.
Grüße Uwe
Aktuelle WinSCP Versionen sind auch von dem Update von OpenSSH auf 8.8p1 betroffen wenn man sich per ssh-rsa2 Schlüssel einwählen möchte, man siehe dazu folgende Bugtracker Einträge
Bug 1952 – Support rsa-sha2-256 and rsa-sha2-512 SSH public key algorithms
Cannot connect with publickey since openssh 8.8p1-1
Ab Version 6 die zum jetzigen Zeitpunkt noch nicht final ist wurde der Bug behoben.
Als temporärer Workaround wird das gleiche Empfohlen das @149569 oben schon genannt hat.
Grüße Uwe