Upgrade OpenSSH
Klantcommunicatie
Aankondiging
Onderwerp: Upgrade OpenSSH
Beste Klant/Collega,
Op woensdag 22 maart zullen wij een software upgrade uitvoeren op OpenSSH, dwz op de serversoftware voor ssh logins.
Bestaande sessies worden niet onderbroken. Nieuwe sessies zullen op basis van de nieuwe software gaan. Aangezien de nieuwe software versie backwards compatible is met de oude versie verwachten we geen impact.
Dit raakt de volgende omgevingen:
-
upload-sites.omroep.nl
-
bnnvara-shell1.omroep.nl
-
ddu-shell1.omroep.nl
-
eo-shell1.omroep.nl
-
nos-shell1.omroep.nl
-
npov-shell1.omroep.nl
-
tvvod-upload.omroep.nl
-
sftp.tt888.nl
-
upload-testsites.omroep.nl
-
test.bnnvara-shell1.omroep.nl.
-
test.ddu-shell1.omroep.nl.
-
test.nos-shell1.omroep.nl.
-
test.npov-shell1.omroep.nl.
Ondanks dat we verwachten dat deze change geen impact heeft is dit wel
een goed moment om even naar de gebruikte ssh sleutels te kijken. Er
bestaan namelijk verschillende types ssh sleutels, te weten dsa
,
rsa
, ecdsa
en ed25519
. Het geval wil dat zgn dsa
sleutels tegenwoordig als minder veilig beschouwd worden en dit is dan
ook de aanleiding deze –indien nodig– te vervangen door iets beters:
rsa
of ed25519
.
-
dsa: “klassieke sleutel”, fixed keylength van 1024 bits, wordt tegenwoordig als minder veilig beschouwd
-
rsa: “klassieke sleutel”. variabele keylength. Sleutels >= 2048 bits worden als veilig beschouwd. Verscheidene organisaties adviseren 4096 bits.
-
ecdsa: “Elliptic Curve”. Er zijn twijfels of de NSA dit type sleutels kan kraken
-
ed25519: “Elliptic Curve” op basis van 100% verifieerbare informatie. Wordt beschouwd als zijnde zeer veilig.
Wij willen een overgansperiode van een maand in acht nemen. In deze maand honoreren we nog dsa sleutels, daarna niet meer. Gedurende die maand is het mogelijk om:
-
te kijken of er dsa sleutels gebruikt worden
-
deze te vervangen door een veiliger type (rsa of ed25519)
Welk type sleutel je moet kiezen hangt af van de gebruikte client
software. Als je client het ondersteunt kan je het best een ed25519
sleutel kiezen (veilig, snel). Maar nog niet alle software ondersteunt
dit. Kies in zo'n geval een rsa sleutel met een keylength van 2048 of
4096 bits.
Om te checken wat voor types sleutels er gebruikt worden kan je kijken
in de ~/.ssh/authorized_keys
file op de server waar je naar toe
ssh'd. DSA sleutels zijn te herkennen aan de string “ssh-dss”.
Voorbeeld:
$ grep ssh-dss ~/.ssh/authorized_keys ssh-dss AAAAB3NzaC1kc3MAA...enz.enz.. user@host
Als blijkt dat er dsa sleutels gebruikt worden dan is het verstandig deze te vervangen door nieuwe sleutels. Hoe dat in z'n werk gaat staat uitgelegd hier: http://hosting.omroep.nl/glossary:ssh