id: Гость   вход   регистрация
текущее время 13:24 28/02/2021
Автор темы: poptalk, тема открыта 14/08/2015 21:32 Печать
Категории: криптография, софт, алгоритмы, протоколы, уязвимости, свободный софт
http://www.pgpru.com/Форум/UnixLike/АлгоритмDSAВOpenSSHВыключенПоУмолчанию
создать
просмотр
ссылки

алгоритм DSA в OpenSSH выключен по умолчанию


Приходит мне следующая новость:

In light of recently discovered vulnerabilities, the new openssh-7.0p1 release deprecates keys of ssh-dss type, also known as DSA keys. See the upstream announcement for details.

Иду по ссылке:

Support for ssh-dss, ssh-dss-cert-* host and user keys is disabled by default at run-time. These may be re-enabled using the instructions at http://www.openssh.com/legacy.html

Иду по ссылке:

OpenSSH 7.0 and greater similarly disables the ssh-dss (DSA) public key algorithm. It too is weak and we recommend against its use.

По виду просто голословное утверждение. Хотелось бы разобраться, что происходит. Какие уязвимости, где факты, где хотя бы статьи? Поиском в интернете ничего не нашёл.


 
Комментарии
— sentaus (14/08/2015 22:00)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Я так понимаю, это именно DSS с ключами размером не более 1024 бит и прибитой гвоздями SHA-1. Непонятно только, почему при этом RSA-1024 остаётся в разрешённых.
— poptalk (14/08/2015 22:15)   профиль/связь   <#>
комментариев: 269   документов: 13   редакций: 4
$ man ssh-keygen
DSA keys must be exactly 1024 bits as specified by FIPS 186-2.

Я слышал, что в FIPS 186-3 это ограничение сняли.
— pgprubot (15/08/2015 14:20, исправлен 15/08/2015 14:22)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Они явно об этом не пишут, но намёк более, чем прозрачный:


Support for the 1024-bit diffie-hellman-group1-sha1 key exchange is disabled by default at run-time. It may be re-enabled using the instructions at http://www.openssh.com/legacy.html

Всему виной LogJam [1], [2], [3], который вы проспали.



«Они работают над этим» ©:


Future deprecation notice
=========================

We plan on retiring more legacy cryptography in the next release
including:


  • Refusing all RSA keys smaller than 1024 bits (the current minimum is 768 bits)
  • Several ciphers will be disabled by default: blowfish-cbc, cast128-cbc, all arcfour variants and the rijndael-cbc aliases for AES.
  • MD5-based HMAC algorithms will be disabled by default.

This list reflects our current intentions, but please check the final release notes for OpenSSH 7.1 when it is released.


Поздно уже, переходите на эллиптику — браузеры и Tor уже там:


Deploy (Ephemeral) Elliptic-Curve Diffie-Hellman (ECDHE). Elliptic-Curve Diffie-Hellman (ECDH) key exchange avoids all known feasible cryptanalytic attacks, and modern web browsers now prefer ECDHE over the original, finite field, Diffie-Hellman.

Скоро все там будем.


JFI: Armor-вывод приватного SSH-ключа на эллиптике — 5 строк, его публичный — одна строка. Компактность поражает. При умелом кодировании публичный ключ эллиптики можно выучить наизусть и вводить с клавиатуры. ☺

— poptalk (15/08/2015 14:53)   профиль/связь   <#>
комментариев: 269   документов: 13   редакций: 4
Всему виной LogJam

При чём здесь это?
— pgprubot (15/08/2015 15:46)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Сравните это:

If you want to continue to support non-elliptic-curve Diffie-Hellman, at the very least, you should disable Group 1 support, by removing the diffie-hellman-group1-sha1 Key Exchange. It is fine to leave diffie-hellman-group14-sha1, which uses a 2048-bit prime.

It is also an option to use generate new, unique Diffie-Hellman groups: <...>

с тем, что написано выше по вашим же ссылкам:

Support for the 1024-bit diffie-hellman-group1-sha1 key exchange is disabled by default at run-time.
— poptalk (16/08/2015 17:35)   профиль/связь   <#>
комментариев: 269   документов: 13   редакций: 4
А при чём тут DSA?
— pgprubot (17/08/2015 00:35)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70
DSA — всё тот же дискретный логарифм и всё тот же DH, поэтому, я так понимаю, все проблемы праймов, о которых в красках рассказывалось на сайте про LogJam, тут тоже имеют место быть.
— poptalk (17/08/2015 14:38)   профиль/связь   <#>
комментариев: 269   документов: 13   редакций: 4
DSA — всё тот же дискретный логарифм и всё тот же DH

Что?! Вы приравниваете DSA к DH? :) То, что найдена уязвимость в какой-то реализации DH, не значит, что DSA уязвим. Всё равно спасибо вам, теперь мне ясно, откуда пошла эта паранойя.
— poptalk (17/08/2015 14:42)   профиль/связь   <#>
комментариев: 269   документов: 13   редакций: 4
А кто-нибудь может напомнить мне, где в OpenSSH используется Diffie-Hellman? Я соединяюсь с сервером, клиентская программа показывает мне публичный ключ сервера, если он совпадает с тем, что я получил по надёжному каналу, я работаю с сервером. Где здесь Diffie–Hellman?
— sentaus (17/08/2015 15:42, исправлен 17/08/2015 21:05)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Где здесь Diffie–Hellman?

Diffie–Hellman нужен для согласования общего секрета для формирования ключа для симметричного алгоритма шифрования канала. Без него forward secrecy не будет.

Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3