• IT-Karriere:
  • Services:

Sicherheit: OpenSSH kündigt RSA mit SHA-1 ab

Obwohl SHA-1 angreifbar ist, kommt es immer noch häufig zum Einsatz. Auch bei SSH. Das soll sich ändern.

Artikel veröffentlicht am ,
Der Kugelfisch ist das Maskottchen von OpenSSH - hier in Form eines Drachens.
Der Kugelfisch ist das Maskottchen von OpenSSH - hier in Form eines Drachens. (Bild: Oldiefan/Pixabay)

In Zukunft soll es in OpenSSH kein SHA-1 mehr zur Schlüsselsignatur geben. Die Entwickler verweisen auf die Forschung von Gaëtan Leurent und Thomas Peyrin, die Anfang des Jahres einen Kollisionsangriff für unter 50.000 US-Dollar demonstrierten. Die Forscher konnten auf diese Weise einen zweiten GnuPG-Schlüssel mit dem gleichen SHA-1-Hashwert erzeugen.

Stellenmarkt
  1. Stadtverwaltung Bocholt, Bocholt
  2. ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr, Düsseldorf, Dortmund, Duisburg

Auch in OpenSSH sei die Verwendung von SHA-1 immer noch weit verbreitet, auch weil es der einzige verbleibende Algorithmus sei, der in den ursprünglichen SSH-RFCs spezifiziert wurde, schreiben die Entwickler in der Ankündigung der OpenSSH-Version 8.3 erneut betonen. Diese enthält vornehmlich Bugfixes und nur wenige kleinere Neuerungen.

Die OpenSSH-Entwickler kündigen an, den ssh-rsa-Algorithmus in einer zukünftigen Version standardmäßig zu deaktivieren, und verweisen auf bessere Alternativen wie den rsa-sha2-256/512-Algorithmus, der bereits seit OpenSSH 7.2 unterstützt wird. Weitere Alternativen seien die Algorithmen auf der Basis elliptischer Kurven, ssh-ed25519 und ecdsa-sha2-nistp256/384/521, die bereits seit OpenSSH-Version 6.5 beziehungsweise 5.7 zur Verfügung stehen. Gegen ECDSA bestehen jedoch ähnlich wie gegenüber DSA Vorbehalte.

Eine der nächsten SSH-Versionen soll zudem die UpdateHostKeys standardmäßig aktivieren, um eine automatische Migration zu besseren Algorithmen zu ermöglichen. Alternativ könne die Option schon jetzt manuell aktiviert werden, schreiben die Entwickler. Ob ein Server noch den veralteten Algorithmus verwendet, können SSH-Nutzer selbst überprüfen: Hierzu müssen sie ssh-rsa aus der Liste der erlaubten Algorithmen entfernen und anschließend einen Verbindungsversuch mit ssh -oHostKeyAlgorithms=-ssh-rsa user@host starten. Schlage die Schlüsselüberprüfung des Hosts fehl und sei kein anderer unterstützter Hostschlüsseltyp verfügbar, müsse der Server aktualisiert werden, erklären die OpenSSH-Entwickler.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
In eigener Sache: IT-Trainings zu Infrastruktur-, Development- und Security-Themen mit der Golem Akademie.
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. AOC Agon AG493UCX im Test
    Breit und breit macht ultrabreit
  2. Börse
    Was zur Hölle ist ein SPAC?
  3. Windows XP
    Der Windows-XP-Hügel steht noch
  4. Zoom Fatigue
    Warum Videokonferenzen uns so anstrengen
  5. Macbooks und iPhones
    Apple schätzt Reparierbarkeit von Macs unrealistisch ein
Anzeige
Spiele-Angebote
  1. 9,29€
  2. (u. a. Code Vein - Deluxe Edition für 23,99€, Railway Empire - Complete Collection für 23...
  4. 26,99€
Kommentarübersicht
Re: Sichere Keyerzeugung?
Schnarchnase 30. Mai 2020

Wobei sich ein Blick auf ed25519 für SSH lohnt. Die Unterstützung ist mittlerweile auf...

Wer hat denn die Anleitung erstellt?
rubberduck09 29. Mai 2020

Wie man rausfinden kann dass noch sha1 verwendet wird? timeout 2 ssh -vvv user@host...

Re: Puttygen SSH-1 (RSA) war also "böse"?
jnsp 29. Mai 2020

Die Änderung betrifft SSH-Host-Schlüssel, also solche die von einem SSH-Server verwendet...

Na da bin ich ja mal gespannt
robinx999 29. Mai 2020

Da bin ich ja mal gespannt, vermutlich werden die alten erst mal nur deaktiviert und...

Folgen Sie uns
       
Sprachsteuerung mit Apple Music im Vergleich

Eigentlich sollen smarte Lautsprecher den Musikkonsum auf Zuruf besonders bequem machen - aber das gelingt oftmals nicht. Überraschenderweise spielen Siri, Google Assistant und Alexa bei gleichen Sprachbefehlen andere Sachen, obwohl alle auf Apple Music zugreifen.

Sprachsteuerung mit Apple Music im Vergleich Video aufrufen
Zelda
The Legend of Zelda: Das Vorbild für alle Action-Adventures
The Legend of Zelda
Das Vorbild für alle Action-Adventures

The Legend of Zelda von 1986 hat das Genre geprägt. Wir haben den 8-Bit-Klassiker erneut gespielt - und waren hin- und hergerissen.
Von Benedikt Plass-Fleßenkämper

    Microsoft
    Surface Duo im Test: Microsoft, bitte bring ein Surface Duo 2!
    Surface Duo im Test
    Microsoft, bitte bring ein Surface Duo 2!

    Microsofts neuer Ausflug in die Smartphone-Welt ist gewagt - das Konzept stimmt aber. Nicht stimmig hingegen sind Software, Hardware und Preis.
    Ein Test von Tobias Költzsch

    1. Error 1016 Windows-Händler Lizengo ist online nicht mehr erreichbar
    2. Kubernetes Microsofts einfache Cloud-Laufzeitumgebung Dapr wird stabil
    3. Microsoft Surface Duo kostet in Deutschland ab 1.550 Euro
    Elektroauto
    AfD und Elektroautos: Herr, lass Hirn vom Himmel regnen!
    AfD und Elektroautos
    "Herr, lass Hirn vom Himmel regnen!"

    Der AfD-Abgeordnete Marc Bernhard hat im Bundestag gegen die Elektromobilität gewettert. In seiner Rede war kein einziger Satz richtig.
    Eine Analyse von Friedhelm Greis

    1. Nach Börsengang Lucid plant Konkurrenz für Teslas Model 3
    2. Econelo M1 Netto verkauft Elektro-Kabinenroller für 5.800 Euro
    3. Laden von E-Autos Spitzentreffen zu möglichen Engpässen im Stromnetz
    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /