149569
Goto Top

OpenSSH 8.8 Update - Putty Versions Hinweis

Moin zusammen,
folgendes ist mir gerade selbst auf die Füße gefallen:

Bekannt ist ja das OpenSSH ja die schon lange als unsicher geltenden ssh-rsa Keys basierend auf SHA1 als deprecated gekennzeichnet hat. Ab OpenSSH Version 8.8p1 wurde nun per Default der ssh-rsa public key Algorithmus mit SHA1 entfernt. Die PubkeyAcceptedAlgorithms Direktive enthält diesen Algorithmus also nicht mehr wenn die Option in der Config nicht explizit aufgeführt wird, soweit so gut.

Alle meine Keys waren auch schon lange auf SHA512 Stand.

Beachten sollte man aber nun das man Putty in einer Version >= 0.75 verwenden sollte, also mindestens 0.75 oder neuer, da die älteren Versionen bei diesen RSA Typen noch den SHA1 Algorithmus beim Login verwenden und der Server dies dann ablehnt. Meine Version hatte dann leider noch die 0.74 aus 2020 und dann kam es am Server zur Meldung im journal:
userauth_pubkey: key type ssh-rsa not in PubkeyAcceptedAlgorithms [preauth]
da dachte ich zuerst, kann doch nicht sein, mein Key ist doch schon lange up todate mit SHA512... Hmmm also mal in die Change-Logs von Putty geschaut und ....

Ab Version 0.75 wurden in Putty nämlich diesbezüglich Änderungen vorgenommen

https://www.chiark.greenend.org.uk/~sgtatham/putty/changes.html

  • Upgraded default SSH key fingerprint format to OpenSSH-style SHA-256.
  • Upgraded private key file format to PPK3, with improved passphrase hashing and no use of SHA-1.


Wenn ihr also auch darüber stolpert => Putty aktualisieren und die Auth mittels Public Key klappt wieder wie gewohnt sofern der Key auch tatsächlich nicht mit SHA1 erstellt wurde.


Sollte man aus welchem Grund auch immer noch alte Putty Versionen oder Keys mit SHA1 nutzen, kann man das Nutzen der unsicheren Keys in der sshd_config auch wieder aktivieren, was man aber wirklich nur im absoluten Ausnahmefall und höchstens übergangsweise machen sollte.
HostkeyAlgorithms +ssh-rsa
PubkeyAcceptedAlgorithms +ssh-rsa

Content-ID: 1373660060

Url: https://administrator.de/contentid/1373660060

Ausgedruckt am: 21.11.2024 um 12:11 Uhr

colinardo
colinardo 13.10.2021 aktualisiert um 11:05:49 Uhr
Goto Top
Nur zur Info/Ergänzung zum gleichen Thema:

Aktuelle WinSCP Versionen sind auch von dem Update von OpenSSH auf 8.8p1 betroffen wenn man sich per ssh-rsa2 Schlüssel einwählen möchte, man siehe dazu folgende Bugtracker Einträge

Bug 1952 – Support rsa-sha2-256 and rsa-sha2-512 SSH public key algorithms

Cannot connect with publickey since openssh 8.8p1-1

Ab Version 6 die zum jetzigen Zeitpunkt noch nicht final ist wurde der Bug behoben.

Als temporärer Workaround wird das gleiche Empfohlen das @149569 oben schon genannt hat.

Grüße Uwe