SSH : Passer sur des clés ecdsa et ed25519

openssh.gif ECDSA est actuellement l'algorithme recomandé pour des changes basés sur des clés publiques/privées. Elliptic Curve Digital Signature Algorithm (ECDSA) est un algorithme de signature numérique à clé publique, variante de DSA. Il fait appel à la cryptographie sur les courbes elliptiques. Plus d'information sur Wikipedia

Attention : vous devez utiliser une version d'Openssh supérieur où égale à 6.5 pour avoir le support des ce type de clés.

Pour générer une paire de clés au format ecdsa et ed25519 :

Côté client

ssh-keygen -t ecdsa -b 256 -f <fichier de clé ECDSA>
ssh-keygen -t ed25519  -f <fichier de clé ED25519>

Côté serveur

Modifier le fichier /etc/ssh/sshd_config pour y ajouter (au début du fichier):

HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key

Vous pouvez aussi choisir de désactiver le support des clés RSA et DSA en supprimant les lignes :

HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key

Et une fois que tout fonctionne correctement supprimer les anciennes clé host dans /etc/ssh/

sudo rm -v /etc/ssh/ssh_host_dsa_key*
sudo rm -v /etc/ssh/ssh_host_rsa_key*

N'oubliez pas de relancer le service SSH après (sous linux).

sudo systemctl restart sshd

Add a comment

Comments can be formatted using a simple wiki syntax.

They posted on the same topic

Trackback URL : http://blogs.simc.be/simc/index.php/trackback/429

This post's comments feed