ubuntuusers.de

Ich habe unlängst meinen Desktop und meinen (noch lokalen) Server auf Ubuntu 16.04 aktualisiert, und möchte bei dieser Gelegenheit auch meine ssh Sicherheitsstrategie überarbeiten. Dazu zählt ED25519 (statt DSA, RSA und ECDSA). Quelle dafür: https://wiki.mozilla.org/Security/Guidelines/OpenSSH#Modern. Gesagt, getan. Login mit neuem Key klappt wunderbar.

Jetzt möchte ich natürlich meine Passphrase nicht jedes mal eingeben. Also:

# Add key to ssh-agent
$ ssh-add ~/.ssh/id_ed25519_mylabel_mydate

Und genau hier knallts, zumindest bei ED25519 und ECDSA - und ein weiterer Nachmittag vergeht mit ätzender Fehlersuche. Man findet heraus, dass es am Gnome-Keyring liegt, und dass dieser Bug bereits seit 2011 bekannt ist (siehe https://bugs.launchpad.net/ubuntu/+source/gnome-keyring/+bug/1393531 oder https://bugs.launchpad.net/ubuntu/+source/gnome-keyring/+bug/771272). Status: Triaged, Importance LOW!!!

Es werden Workarounds diskutiert und angeboten, die alle mein Know-How überfordern, oder zu Folgeproblemen an anderer Stelle führen können.

Was mache ich nun?

1. Zurück zu RSA (Empfehlung der NSA)

2. Windows statt Linux auf dem Desktop

Also, ohne mich da jetzt richtig reingefuchst zu haben: das hier scheint mir doch ein relativ einfacher Workaround zu sein.

Zurück zu RSA (Empfehlung der NSA)

Why not? Mit 4096 Bit ist auch die NSA (noch) überfordert.

Windows statt Linux auf dem Desktop

Ah, das Scheunentor öffnen, weil sonst ein kleiner Spalt klafft? Oder wie soll ich das verstehen? 😀

Nein, "Windows" war an dieser Stelle eher eine Frustfloskel. Ich muss es auf einem Client einsetzen (wg. alternativloser Adobe SW), aber ich boote diesen immer mit einem gewissen Grundekel.

Danke für den Link. Den kannte ich schon - empfand den Eingriff ins System aber persönlich als zu gravierend. Derzeit bin ich situationsbedingt bei der NIX-Einrichtung wieder halbwegs im Thema, aber ein halbes Jahr später hätte ich diese Eingriffe wieder vergessen.

Ich finde eher erschreckend, dass ed25519 bei 16.04 nicht ab Werk funktioniert. Fehlfunktionen betreffen hier nicht nur den Gnome-Keyring. Auch andere "offizielle" Dinge, wie phpmyadmin oder postfixadmin sind ab Werk (apt install...) unbrauchbar.

tskv schrieb:

Ich finde eher erschreckend, dass ed25519 bei 16.04 nicht ab Werk funktioniert.

Naja, da ist der Gnom im Winterschlaf. Motto: bevor der Kryptologe etwas Neues anfasst geht er erst mal zur Paranoia-Therapie... ☺

Nicht mal Arch hat das am Laufen, und arbeitet ebenfalls drumrum.

Ähm: das hier schon gesehen? - Wobei ich mit keychain keinerlei Erfahrung habe...

Cool, das hatte ich noch nicht gefunden. Mit der Anmerkung am Ende könnte ich leben. Werde das morgen mal testen. Und ja, ich neige bei Servern dazu, paranoide Mechanismen zu wählen. Aktuell betrifft es nur meinen Entwicklungsserver im LAN, aber der ist nur eine Vorbereitung für einen neuen Live-Server.

EDIT: Die verlinkte Methode funktioniert, ich habe mich schlussendlich aber doch dagegen entschieden (Bastelkram), und nutze jetzt wieder RSA.