используем ключи ECDSA в SSH

2013-09-20 23:04 | Автор: jekader | Filed under: FedoraMD, Jekader

У всех на слуху страшилки про то как кровавые спецслужбы нас прослушивают, читают почту, и знают какие GIF'ки с котятками мы посмотрели. Отличный повод включить паранойю и сгененировать для SSH ключи на основе эллиптической криптографии!

Делается это очень просто, но к сожалению невозможно в дистрибутивах с американской "пропиской", не включающих код с патентованными алгоритмами.

1) генерируем ключики:
# cd /etc/ssh
# ssh-keygen -t ecdsa -b 521
когда спросят название, пишем /etc/ssh/ssh_host_ecdsa_key
пароль не ставим

2) добавляем в /etc/ssh/sshd_config строчку
HostKey /etc/ssh/ssh_host_ecdsa_key
3) перезапускаем sshd и пользуемся!

Подводный камень - как уже говорилось - патенты. Fedora и производные не поддерживают EC алгоритмы, PuTTY тоже ECDSA не понимает. С другой стороны RSA и DSA ключи не стираются, так что неполноценные SSH клиенты достучаться до сервера всё равно смогут.

Метки: debian, openssh

5 комментариев »

комментариев 5

1. Nucleardragon:
   �������� 21, 2013 20:30

   Достаточна подробная статья на тему эллиптических кривых в ssh
   http://www.debianzilla.com/setevaya-bezopasnost/openssh/

2. jekader:
   �������� 22, 2013 0:02

   @Nucleardragon спасибо, развёрнутая статья. Жаль только не объяснено почему именно не рекомендуется к использованию ssh-keygen

3. Валентин Даниэлин:
   �������� 24, 2013 23:33

   Доброго времени суток! Уважаемая администрация данного сайта! Я обращаюсь в комменах, так как не смог найти ваших контактов нигде! Я по поводу партнерского дела. Хочу пригласить Вас в партнерку своего сайта http://linuxmd.net чтобы много не писать тут, прошу обратится ко мне в Skype: valentin_scerbakov или по моб. 078 53 34 94 !Жду

4. jekader:
   ������� 16, 2013 16:18

   @Валентин Даниэлин (Skype: valentin_scerbakov, моб. 078533494) — вижу паранойей ты не страдаешь 😀

   Тебе может быть интересно присоединиться к этой рассылке:
   https://groups.google.com/forum/#!forum/linuxmd-developers

5. jekader:
   ������� 16, 2013 20:31

   Кстати для федоровцев, согласно багзилле, EC алгоритмы включены начиная с:
   openssl-1.0.1e-4.fc18.1
   openssl-1.0.1e-4.fc19.1
   openssl-1.0.1e-27.fc20
   openssl-1.0.1e-27.fc21

   Вот bugzilla:
   https://bugzilla.redhat.com/show_bug.cgi?id=319901

   Жду с нетерпением пока опомнится Fedora Legal и скажет чтобы отключили назад 😀

Leave a comment

Имя

Mail (will not be published)

Сайт

Δ

CAPTCHA Code *