Journal OpenSSH No Longer Has To Depend On OpenSSL

Posté par Dabowl_75 le 22 septembre 2015 à 10:48. Licence CC By‑SA.

Étiquettes :

sept.

2015

Cher Nal,

durant mes pérégrinations sur la toile, je suis tombé sur un article mentionnant l'adoption du cipher Poly1305 dans OpenSSH, ce qui amène à la possibilité de défaire la dépendance entre SSL et SSH.

L'option de compilation "make OPENSSL=no" est désormais réalité.

http://it.slashdot.org/story/14/04/30/1822209/openssh-no-longer-has-to-depend-on-openssl

Bon OK je suis en retard d'un an, l'article est pas frais etc etc…

Bref, le but de ce journal n'est pas de faire étalage d'une nouveauté d'il y a un an mais plutôt de récolter des retours d'expérience parmi vous.

Existe t-il des distributions Linux offrant cette possibilité ?

Avez-vous recompilé SSH pour vous défaire du carcan SSL ?

De mon côté, ne travaillant pas sous Linux mais sur un autre Unix, je dois recompiler SSH afin de mettre à jour mon parc d'environ 1000 machines, et du coup je suis bien tenté par l'aventure.

Mais j'aimerais éviter d'essuyer les plâtres autant que possible. De toute manière nous sommes des professionnels, on fera retour arrière si ça merde trop :-)

# Que de questions

Posté par ckiller le 22 septembre 2015 à 11:20. Évalué à 4.

Tant de questions, et très intéressantes de surcroît. Ça aurait mérité une demande d'aide dans le forums.

De toute manière, nous sommes des professionnels

En tant que professionnel, il y a des procédures à respecter, sinon, c'est le début de la chienlit

Cordialement,

Lead Senior Management of trolling archiving since 1515 Marignan
# Le mauvais pro et le bon pro

Posté par stopspam le 22 septembre 2015 à 12:54. Évalué à 10.

De toute manière nous sommes des professionnels, on fera retour arrière si ça merde trop :-)

Le vrai pro le fait direct en prod sans downgrade possible. C'est normal, c'est un vrai pro ;)
- [^] # Re: Le mauvais pro et le bon pro
  
  Posté par KiKouN le 22 septembre 2015 à 14:49. Évalué à 10.
  
  Le vrai pro l'a déjà fait. L'article date d'un an, faut pas déconner.
- [^] # Re: Le mauvais pro et le bon pro
  
  Posté par Jiehong (site web personnel) le 22 septembre 2015 à 17:21. Évalué à 3.
  
  Le vrai vrai pro attend encore 2 ans, histoire d'être sûr !
  - [^] # Re: Le mauvais pro et le bon pro
    
    Posté par ondex2 le 22 septembre 2015 à 21:30. Évalué à 10.
    
    Le vrai pro il a un vrai métier avec des vraies choses à faire, alors recompiler openssh avec/sans openssl, il s'en fout royalement…
    - [^] # Re: Le mauvais pro et le bon pro
      
      Posté par MTux le 23 septembre 2015 à 08:39. Évalué à 10.
      
      Pff.. amateurs.
      Le monde évolue, faut vivre avec son temps.
      Le vrai pro fait uniquement du pilotage de projet, les tâches techniques il les confie à un sous-traitant !!!
- [^] # Re: Le mauvais pro et le bon pro
  
  Posté par kowalsky le 24 septembre 2015 à 16:12. Évalué à 3.
  
  Pour être sur que ça marche en prod, il faut tester en prod.
  - [^] # Re: Le mauvais pro et le bon pro
    
    Posté par Juke (site web personnel) le 25 septembre 2015 à 14:08. Évalué à 7.
    
    Pour être sur que ça marche en prod, il faut tester en prod.
    
    tester c'est douter.
  - [^] # Re: Le mauvais pro et le bon pro
    
    Posté par KiKouN le 25 septembre 2015 à 17:47. Évalué à 5.
    
    Il faut tester en prod pour corriger le dev.
# Quel objectif ?

Posté par Kerro le 22 septembre 2015 à 20:40. Évalué à 4.

Quel est le soucis avec OpenSSL ?

Si on supprime la dépendance à OpenSSL, cela implique de mettre à jour les clients ?
- [^] # Re: Quel objectif ?
  
  Posté par Dabowl_75 le 22 septembre 2015 à 23:47. Évalué à 3.
  
  cela implique en effet que les clients soient suffisamment récents pour prendre en charge les ciphers en question.
  
  Quant à la dépendance à openssl, je ne vais pas te dresser la liste des CVE qui sont parus entre 2014 et 2015 mais ils sont nombreux et critiques pour certains.
  
  Que je sache cela n'a en revanche jamais porté atteinte à SSH directement pour le moment, mais cette dépendance ne me plait guère et ne rassure pas pour l'avenir.
  
  Alors si on peut rendre SSH un peu plus autonome et mieux maîtriser la maintenance (un seul soft plutôt que deux), ce n'est pas plus mal.
  - [^] # Re: Quel objectif ?
    
    Posté par Antoine le 23 septembre 2015 à 09:27. Évalué à 10.
    
    Les CVE d'OpenSSL n'ont pas grande importance s'ils affectent des parties qui ne sont pas utilisées par OpenSSH. Vu que SSH est un protocol distinct de SSL, c'est probablement juste la partie calculatoire (implémentations des algos de chiffrement et signature) qui est utilisée, et là je doute qu'il y ait beaucoup de problèmes.
# OpenSSH sans OpenSSL, ça marche

Posté par Dabowl_75 le 23 septembre 2015 à 15:15. Évalué à 5. Dernière modification le 23 septembre 2015 à 15:54.
ça marche mais au prix de devoir regénérer toutes les paires de clefs au format ed25519 puisque les clefs RSA & DSA ne sont plus prises en charge.

Mais ça on s'en doutait un peu.

Une chose à savoir pour que la compilation passe avec la version portable et sous AIX (bien que je pense que ça n'a rien de spécifique à AIX), il faut modifier la ligne 5774 du script "configure" :
openssl=yes ==> openssl=no
Cette modification est nécessaire même si on appelle correctement "configure" avec les options qui vont bien (à adapter selon votre environnement) :
```
    ./configure \
                    --without-ssl \
                    --without-openssl-header-check \
                    --without-ssh1 \
                    --build=powerpc-ibm-aix \
                    --prefix=/etc/ssh \
                    --sysconfdir=/etc/ssh \
                    --exec-prefix=/etc/ssh \
                    --with-zlib=/opt/freeware \
                    --with-pid-dir=/var/run \
                    --bindir=/usr/bin \
                    --sbindir=/usr/sbin \
                    --libexecdir=/usr/sbin \
                    --mandir=/usr/share/man \
                    --sharedstatedir=/etc/ssh/share \
                    --with-privsep-path=/var/empty
```
Une autre chose à savoir est celle concernant les ciphers, vos clients doivent prendre en charge le chacha20 et poly1305.

http://it.slashdot.org/story/13/12/11/173213/openssh-has-a-new-cipher-chacha20-poly1305-from-dj-bernstein

Puis enfin, si vos sshd_config font appel au mauvais format de clefs ou de cipher, sshd ne démarrera pas, evidemment.

Hope this helps.
- [^] # Re: OpenSSH sans OpenSSL, ça marche
  
  Posté par Antoine le 23 septembre 2015 à 15:32. Évalué à 7.
  
  Autres emmerdes encore: les clés au format ed25519 ne sont pas supportées par gnome-keyring et seahorse:
  https://bugzilla.gnome.org/show_bug.cgi?id=723274
  https://bugzilla.gnome.org/show_bug.cgi?id=754028

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.