Interview de Damien Miller, développeur principal d'OpenSSH

Posté par  . Modéré par Nÿco.
Étiquettes :
0
21
déc.
2005
Sécurité
Damien Miller accorde une interview pour Security Focus et nous parle des nouveautés pour openSSH 4.3 à venir ainsi que de protocoles de cryptologie.

La grosse nouveauté de cette version est le support d'un protocole VPN.

Damien Miller donne aussi une illustration du problème posé par les brevets logiciels qui "protègent" les protocoles basés sur la théorie des courbes elliptiques. Le support d'un protocole de VPN est une fonctionnalité très attendue. Cela permettra, via un serveur openSSH d'utiliser un tunnel sécurisé lorsqu'on est connecté à un réseau sans fil où le trafic n'est pas chiffré. Le principe est le même que pour OpenVPN mais il est basé sur le protocole SSH.

Le développeur principal d'openSSH aborde aussi le problème des brevets sur la plupart des méthodes ECC (Crypto utilisant la théorie des Courbes Elliptiques) qui ont rebuté les développeurs d'openSSH car "the whole area is a minefield that we don't really want to navigate" (Traduction ; "Le domaine est un champs de mines que nous n'avons pas vraiment envie de parcourir")

En vrac, les autres questions sont à propos
- du support matériel pour les fonctions de chiffrement,
- de l'élargissement des clés RSA et DSA,
- du support du protocole SSHv1
- de quelques défenses contre des attaques de vers (hashage des adresses dans le fichier known_host)
...

Aller plus loin

  • # VPN

    Posté par  (site web personnel) . Évalué à 2.

    Après lecture de l'article, petite explication de la fonctionalité VPN :

    La nouvelle fonctionalité de OpenSSH c'est le tuneling (connait pas de mot équivalent en FR) qui n'est plus seulement de niveau 4 : TCP, comme avant, mais peut maintenant être niveau 3 et même niveau 2 (permettant un pont) dans les couches TCP/IP.

    A l'auteur de la dépêche : quel est le rapport avec les réseaux sans-fils ?
    • [^] # Re: VPN

      Posté par  (site web personnel) . Évalué à 4.

      A l'auteur de la dépêche : quel est le rapport avec les réseaux sans-fils ?

      Je pense qu'il a voulu dire tout simplement que dans le cas d'un réseau sans fil pour lequel tu n'as pas confiance (non chiffré ou à chiffrement faible, public, ...), cela peut représenter un moyen très simple et très rapide de mettre en place une liaison sûre (avec un chiffrement fort) avec l'extérieur :

      1 - je me connecte en SSH à une machine autorisée à router du traffic
      2 - je rajoute une route par défaut passant par cet hôte (ou par la passerelle du réseau ainsi atteint)

      Ca y est, je suis protégé pour tous les portocoles gérés par ce type de tunnel, la seule condition pour le faire c'est de disposer de cet hôte configuré comme il faut (avec un compte suffisant sur celui-ci, routant le traffic, avec les ACLs qui vont bien), et de pouvoir l'atteindre sur le port SSH en écoute.

      Effectivement, c'est intéressant comme fonctionnalité.

      Aller, re-dodo (ah, les joies de l'astreinte!).
    • [^] # Re: VPN

      Posté par  . Évalué à 3.

      Oui, OpenSSH pourra créer des tunnels en attachant des interfaces de type tun/tap à la volée (comme le fait, par exemple, OpenVPN).

      La question que je me pose maintenant est de savoir s'il faudra impérativement disposer des droits root sur les deux machines (ssh en root, vers un compte root) pour pouvoir faire ça, ou si des "astuces" sont envisageable pour ne déleguer que les droits nécessaires à la création d'interfaces et la manipulation des tables de routage. Ou bien (idéalement) si ceci est géré directement par le daemon sshd, qui tourne en root (avec eventuellement une liste de d'utilisateurs autorisés dans le fichier de conf) plutôt que par un processus fils (qui tourne avec les droits de l'utilisateur qui est connecté).
      Avez vous plus d'infos à ce sujet ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.