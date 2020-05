Znamená to tedy, že budoucí verze OpenSSH přestanou podporovat RSA klíče? Je tedy nutné urychleně přejít na klíče založené na jiných algoritmech?

Stejně tak, nahlédneme-li do souboru ~/.ssh/known_hosts , objevíme podobně identifikované serverové klíče:

Čtenář bez hlubší znalosti protokolu SSH může snadno propadnout panice. Podívá-li se totiž třeba do souboru ~/.ssh/authorized_keys , najde tam seznam povolených klíčů:

Ponořme se do standardů SSH

Abychom na otázky dokázali odpovědět, pojďme se ponořit na stranu 15 dokumentu RFC 4253, který standardizuje transportní vrstvu protokolu SSH:

The "ssh-rsa" key format has the following specific encoding: string "ssh-rsa" mpint e mpint n Here the 'e' and 'n' parameters form the signature key blob. Signing and verifying using this key format is performed according to the RSASSA-PKCS1-v1_5 scheme in [RFC3447] using the SHA-1 hash. The resulting signature is encoded as follows: string "ssh-rsa" string rsa_signature_blob

Je zde vidět, že týž řetězec ssh-rsa v protokolu označuje jak samotný veřejný klíč RSA s parametry e a n , tak i algoritmus elektronického podpisu pomocí tohoto klíče. A protože k implementaci elektronického podpisu je kromě klíče potřeba také vytvořit otisk podepisované zprávy, dokument zde napevno předepisuje použití funkce SHA-1. A to je přesně ten důvod, proč tento algoritmus není možné nadále bezpečně používat.

Problém je v SHA-1, nikoli v RSA

Odpověď na výše uvedené otázky tedy samozřejmě zní: Nikoli. Klíče založené na RSA budou fungovat nadále stále stejně, budou-li dostatečně dlouhé. Standard popisující výměnu klíčů byl v březnu 2018 v dokumentu RFC 8332 rozšířen o podporu algoritmů, které pro podpis s klíči typu RSA používají otisky z rodiny SHA-2, konkrétně rsa-sha2-256 a rsa-sha2-512 . Tento dokument také explicitně zmiňuje, že se stávajícími RSA klíči nic v nepořádku není a není tedy potřeba měnit jejich kódování:

Since RSA keys are not dependent on the choice of hash function, the new public key algorithms reuse the "ssh-rsa" public key format as defined in [RFC4253]: string "ssh-rsa" mpint e mpint n All aspects of the "ssh-rsa" format are kept, including the encoded string "ssh-rsa". This allows existing RSA keys to be used with the new public key algorithms, without requiring re-encoding or affecting already trusted key fingerprints.

Podpora pro RFC 8332 byla přidána v OpenSSH verze 7.2, které vyšlo už v únoru 2016. Pořadí preferencí algoritmů pro výměnu klíče je nastaveno tak, že algoritmus ssh-rsa se použije jen v případě, že novější algoritmy podporovány nejsou.