Upgrade OpenSSH

Klantcommunicatie

Onderwerp: Upgrade OpenSSH

Beste Klant/Collega,

Op woensdag 22 maart zullen wij een software upgrade uitvoeren op OpenSSH, dwz op de serversoftware voor ssh logins.

Bestaande sessies worden niet onderbroken. Nieuwe sessies zullen op basis van de nieuwe software gaan. Aangezien de nieuwe software versie backwards compatible is met de oude versie verwachten we geen impact.

Dit raakt de volgende omgevingen:

  • upload-sites.omroep.nl
  • bnnvara-shell1.omroep.nl
  • ddu-shell1.omroep.nl
  • eo-shell1.omroep.nl
  • nos-shell1.omroep.nl
  • npov-shell1.omroep.nl
  • tvvod-upload.omroep.nl
  • sftp.tt888.nl
  • upload-testsites.omroep.nl
  • test.bnnvara-shell1.omroep.nl.
  • test.ddu-shell1.omroep.nl.
  • test.nos-shell1.omroep.nl.
  • test.npov-shell1.omroep.nl.

Ondanks dat we verwachten dat deze change geen impact heeft is dit wel een goed moment om even naar de gebruikte ssh sleutels te kijken. Er bestaan namelijk verschillende types ssh sleutels, te weten dsa, rsa, ecdsa en ed25519. Het geval wil dat zgn dsa sleutels tegenwoordig als minder veilig beschouwd worden en dit is dan ook de aanleiding deze –indien nodig– te vervangen door iets beters: rsa of ed25519.

  • dsa: “klassieke sleutel”, fixed keylength van 1024 bits, wordt tegenwoordig als minder veilig beschouwd
  • rsa: “klassieke sleutel”. variabele keylength. Sleutels >= 2048 bits worden als veilig beschouwd. Verscheidene organisaties adviseren 4096 bits.
  • ecdsa: “Elliptic Curve”. Er zijn twijfels of de NSA dit type sleutels kan kraken
  • ed25519: “Elliptic Curve” op basis van 100% verifieerbare informatie. Wordt beschouwd als zijnde zeer veilig.

Wij willen een overgansperiode van een maand in acht nemen. In deze maand honoreren we nog dsa sleutels, daarna niet meer. Gedurende die maand is het mogelijk om:

  • te kijken of er dsa sleutels gebruikt worden
  • deze te vervangen door een veiliger type (rsa of ed25519)

Welk type sleutel je moet kiezen hangt af van de gebruikte client software. Als je client het ondersteunt kan je het best een ed25519 sleutel kiezen (veilig, snel). Maar nog niet alle software ondersteunt dit. Kies in zo'n geval een rsa sleutel met een keylength van 2048 of 4096 bits.

Om te checken wat voor types sleutels er gebruikt worden kan je kijken in de ~/.ssh/authorized_keys file op de server waar je naar toe ssh'd. DSA sleutels zijn te herkennen aan de string “ssh-dss”. Voorbeeld:

$ grep ssh-dss ~/.ssh/authorized_keys
ssh-dss AAAAB3NzaC1kc3MAA...enz.enz.. user@host

Als blijkt dat er dsa sleutels gebruikt worden dan is het verstandig deze te vervangen door nieuwe sleutels. Hoe dat in z'n werk gaat staat uitgelegd hier: http://hosting.omroep.nl/glossary:ssh

  • aankondigingen/2017/upgrade-openssh.txt
  • Last modified: 2019/05/28 10:47
  • (external edit)