Topic: TF Vérifier empreintes clé SSH

Bonjour,

Cette page n’a plus l’air d’actualité.
https://www.tuxfamily.org/en/news/2008051401

The authenticity of host 'ssh.tuxfamily.org (212.85.158.7)' can't be established.
RSA key fingerprint is SHA256:2I7RpLvWCbEPDVMd3O9T3N/MVQlPWL1uVVxPYO1yvYc.

ssh-keyscan 212.85.158.7

Bon, j’ai fait ça et après? Comment je vérifie que c’est bien la bonne empreinte?

Merci! (et je veux bien rajouter l’info précise à la FAQ quand j’aurai tout compris)

Re: TF Vérifier empreintes clé SSH

Hello,

librefan wrote:

Cette page n’a plus l’air d’actualité. https://www.tuxfamily.org/en/news/2008051401

Pour une news de 2008 (10 ans déjà !), ça n'est que moyennement choquant :)

librefan wrote:

The authenticity of host 'ssh.tuxfamily.org (212.85.158.7)' can't be established.
RSA key fingerprint is SHA256:2I7RpLvWCbEPDVMd3O9T3N/MVQlPWL1uVVxPYO1yvYc.

Ok, SHA256:2I7RpLvWCbEPDVMd3O9T3N/MVQlPWL1uVVxPYO1yvYc... Je te confirme que ce fingerprint est correct

librefan wrote:
ssh-keyscan 212.85.158.7

Cette commande-ci devrait te retourner :

212.85.158.7 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA1YP+v8DIEXdL8NCiTWe7EuSd2rkVd9GWspru2W8s1Be0tMcoDOvPUAQ0lzty/9X6rsPbCH/64tg8YVfdbgX5Bxt9+g1chFiDgpyDcvwUypI88UOKzde7u8KZeFnGegCti0J5ZU2r1s0fQyzaG3gNllbSz9zAuBoCrXEyOphToSh3Go141Bc8NxQn4DbIz6lpJmrHfcy1s8AzJZxeDfOy12XuJecY7QUGXIJkz9ffQJtlHIc+mbs+p+QDc2Is1GTMo57J2aeGVsKtwtOVRKasqqOQ++P4le/wMuHp47mbptAa8UGqRSx6Fge+27OixPQTcsq5w7L48VES0IHrECfp2Q==
librefan wrote:

Bon, j’ai fait ça et après? Comment je vérifie que c’est bien la bonne empreinte?

Merci! (et je veux bien rajouter l’info précise à la FAQ quand j’aurai tout compris)

Pour être franc, notre exposition des fingerprints est au mieux chaotique, au pire inexistante, comme le démontre une recherche du mot-clé "fingerprint" sur notre FAQ. N'hésite pas à compléter cette dernière, elle a été conçue dans cette optique.

Re: TF Vérifier empreintes clé SSH

Merci Xavier,

En fait la page https://www.tuxfamily.org/en/news/2008051401 est restée d’actualité jusqu’à Debian Jessie. Mais en passant à Debian Stretch, rien ne va plus ;)

En fait, je ne sais plus comment j’avais fait, mais j’avais pu afficher l’empreinte de la clé en raccourci si on peut dire.

J’avais fait ça à l’époque:

ssh-keygen -lf key.pub

Mais est-ce que ça vérifie quelque chose (je ne crois pas) ou ça enregistre la clé, bonne ou pas bonne?

Mes excuses pour ce pataugage

Et en passant, votre poisson était instructif et rigolo à la fois :-D

Re: TF Vérifier empreintes clé SSH

librefan wrote:

En fait la page https://www.tuxfamily.org/en/news/2008051401 est restée d’actualité jusqu’à Debian Jessie. Mais en passant à Debian Stretch, rien ne va plus ;)

Je pense que tu veux dire de Wheezy à Jessie, parce que Jessie, on y est toujours et Stretch, on n'y est pas encore :)

librefan wrote:

J’avais fait ça à l’époque:

ssh-keygen -lf key.pub

Mais est-ce que ça vérifie quelque chose (je ne crois pas) ou ça enregistre la clé, bonne ou pas bonne?

Ça ne vérifie rien, ça n'enregistre rien, ça ne fait qu'afficher le fingerprint de la clé publique contenue dans key.pub... Mais ça se cumule bien avec ta commande précédente :

ssh-keyscan 212.85.158.7 > tuxfamily-ssh.pub
ssh-keygen -lf tuxfamily-ssh.pub

Sortie:

2048 SHA256:2I7RpLvWCbEPDVMd3O9T3N/MVQlPWL1uVVxPYO1yvYc 212.85.158.7 (RSA)

Comme tu peux le constater, cela correspond exactement à ce que te sortait ton client ssh lors de ta première connexion.
Concernant la façon de vérifier : par définition, il n'y a pas de moyen magique de vérifier le fingerprint lors de la première connexion, il faut aller chercher la valeur attendue par un moyen tiers auquel on fait confiance ; par exemple, il faudrait idéalement qu'on maintienne une page dédiée sur la FAQ pour exposer ce fingerprint (et les autres). Auquel cas, c'est à la FAQ que tu ferais confiance.

librefan wrote:

Et en passant, votre poisson était instructif et rigolo à la fois :-D

Merci -- pas de faute d'anglais cette année ? :)

Re: TF Vérifier empreintes clé SSH

Ah, grand merci xavier, c’est le petit truc qui me manquait:

ssh-keyscan 212.85.158.7 > tuxfamily-ssh.pub
ssh-keygen -lf tuxfamily-ssh.pub

Concernant la façon de vérifier : par définition, il n'y a pas de moyen magique de vérifier le fingerprint lors de la première connexion, il faut aller chercher la valeur attendue par un moyen tiers auquel on fait confiance ; par exemple, il faudrait idéalement qu'on maintienne une page dédiée sur la FAQ pour exposer ce fingerprint (et les autres). Auquel cas, c'est à la FAQ que tu ferais confiance.

Oui, ça je comprends bien. C’est comme les clés publiques des gens, rien ne vaut une key-signing party.

Sur la FAQ, n’importe qui peut faire des modifications, j’aurais plus confiance dans une page de news que l’équipe de TF fait elle-même. On peut avoir davantage confiance dans le travail de TF pour la bonne marche et la sécurité des serveurs que dans Yahoo ou Orange ;-)

Passage de versions de Debian: ce n’était pas clair, je voulais parler de mon passage à moi. Sous ma Jessie, la page de 2008 fonctionnait encore pour moi, j’ai pu "vérifier" les clés. Donc, ce fut une page longue durée ;-)

Pour l’anglais du poisson, j’ai lu rapidement mais il y a quelques hics. Veux-tu que je propose une correction? C’est peut-être un peu tard?

Re: TF Vérifier empreintes clé SSH

librefan wrote:

Sur la FAQ, n’importe qui peut faire des modifications, j’aurais plus confiance dans une page de news que l’équipe de TF fait elle-même.

Ah oui, j'avais zappé cet aspect. C'est donc à nous de prendre ça en charge.

librefan wrote:

Pour l’anglais du poisson, j’ai lu rapidement mais il y a quelques hics. Veux-tu que je propose une correction? C’est peut-être un peu tard?

Un peu tard pour l'audience initialement visée mais pas trop tard pour le reste du monde. Sans même proposer une correction, nous faire une liste succinte des principaux hics nous aiderait déjà beaucoup. Dans la pratique, tu peux nous communiquer cela soit sur ce forum (dans un nouveau topic), soit par email à l'équipe de modération.

Re: TF Vérifier empreintes clé SSH

Merci beaucoup pour http://fingerprint.tuxfamily.org/
Il manque encore HTTPS mais ça va sûrement venir.
Et je n’ai pas bien compris:

(also, you should end up on "pastis")

Ça veut dire que si on s’est connecté en SSH à ssh.tuxfamily.org, on doit voir une invite contenant le nom du serveur

pastis

?

Pour le poisson, ok pour les hics et bien sûr je n’aurais pas fait les corrections dans ce fil ;-)

Re: TF Vérifier empreintes clé SSH

librefan wrote:

Merci beaucoup pour http://fingerprint.tuxfamily.org/
Il manque encore HTTPS mais ça va sûrement venir.

En effet : HTTPS apparaît dans la nuit suivant la création d'un espace web, d'où le délai, mais c'est désormais chose faite.

librefan wrote:

Et je n’ai pas bien compris:

(also, you should end up on "pastis")

Ça veut dire que si on s’est connecté en SSH à ssh.tuxfamily.org, on doit voir une invite contenant le nom du serveur pastis ?

Oui, tout à fait -- j'ai retouché le texte pour clarifier ça. Ça n'est pas un gage de sécurité, loin de là, mais ça reste une information utile.