aankondigingen:2021:c2021d13-openssh-8.8

C2021D13: Mogelijke inlogproblemen als gevolg van openssh update

Aankondiging: Mogelijke inlogproblemen als gevolg van openssh update

Beste klant/collega,

(Is dit bericht niet goed leesbaar? Bekijk dan de online versie.)

In de software update ronde van oktober zit ook een update van openssh naar versie 8.8. In deze versie wordt een ouder en onveilig algoritme (RSA SHA-1) gedisabled. Het gevolg kan zijn dat je met oude keys niet meer kan inloggen, of geen uitgaande ssh sessies naar bv bitbucket kan doen. In de releasenotes van OpenSSH wordt uitgelegd wat er veranderd is:

This release disables RSA signatures using the SHA-1 hash algorithm
by default. This change has been made as the SHA-1 hash algorithm is
cryptographically broken, and it is possible to create chosen-prefix
hash collisions for <USD$50K

Probleem: Ik kan niet meer inloggen op upload-(test)sites.omroep.nl

Dit wordt waarschijnlijk veroorzaakt doordat de key waarmee je probeert in te loggen te oud is. Dit zal een key van type RSA SHA-1 zijn en deze wordt nu afgekeurd door de server wegens te onveilig.

De oplossing hiervoor is om een nieuw keypair aan te maken. Bij het aanmaken van een keypair kan je het type key kiezen. De default hiervoor is rsa-sha2-512, wat prima is. Er zijn ook andere prima keuzes als ed25519. Wat je in elk geval niet moet kiezen is rsa, omdat er dan weer een key van type RSA SHA-1 gegenereerd wordt kan worden1) en ook niet een dsa of ecdsa key omdat die beschouwd worden als onveilig.

Het aanmaken van een nieuw keypair onder Linux en macOS kan met ssh-keygen, bijvoorbeeld: 

ssh-keygen -t ed25519

Voor andere ssh clients kan vaak op gelijksoortige wijze een nieuw keypair gemaakt worden. Voordat je dat doet is het aan te raden om eerst te checken of de client die je gebruikt nog wel up-to-date is. Oudere clients kunnen mogelijk niet de benodigde key types aanmaken.

Vervolgens kan je een support ticket aanmaken met het verzoek om de zojuist gemaakt public key aan je account toe te voegen. Vergeet in de aanvraag niet om:

  • je public key mee te sturen
  • te vertellen over welk account het gaat

Probleem: Ik kan wel inloggen op upload-(test)sites.omroep.nl, maar kan vanaf daar niet meer over ssh bij bitbucket

Een veel gebruikte manier van werken is om op upload-(test)sites.omroep.nl een checkout van een git repository op bitbucket te hebben staan, en dan bij een deploy iets te doen als git pull van de betrokken repository. Als je checkout via ssh gemaakt is (git clone git@bitbucket.org:<repo>) dan zal een latere git pull resulteren in een uitgaande ssh sessie naar bitbucket. Echter, daar is een probleem, want de NPO systemen ondersteunen standaard geen oude keypairs meer, terwijl bitbucket nog geen nieuwe keypairs ondersteunt. Hier valt omheen te werken door aan de NPO kant in te stellen om toch een oud keypair te gebruiken, door onderstaand stanza op te nemen in ~/.ssh/config van upload-(test)sites.omroep.nl: 

Host bitbucket.org
	HostkeyAlgorithms +ssh-rsa
	PubkeyAcceptedAlgorithms +ssh-rsa

Op de atlassian support site staat een mooi artikel met iets meer uitleg.

Bereikbaarheid

Team Hosting&Streaming is gedurende al het onderhoud via de normale kanalen bereikbaar. Zie de contact pagina.

1)
afhankelijk van de exacte versie van de ssh client die je gebruikt om de keys mee te genereren, nieuwere clients genereren rsa-sha2-512 als je om rsa vraagt
  • aankondigingen/2021/c2021d13-openssh-8.8.txt
  • Last modified: 2024/04/16 07:59
  • by 127.0.0.1