SSL-Zertifikate

[Leverator]

Hallo zusammen,

bei der Installation von Debian werden automatisch SSL- und SSH-Zertifikate in /etc/ssh bzw. /etc/ssl erzeugt.
Zur Zeit arbeite ich an einem System, das automatisch Rechner mit einer Mini-CD und einer preseed.cfg installiert.

Da ich zum Testen ein und den selben Rechner verwende, ist mir folgendes aufgefallen:
Versuche ich mich nun per ssh auf den frisch installierten Rechner zu verbinden, so passiert mir das öfter, dass mein ssh-client sich nicht darüber beschwert, das der host-key sich geändert habe. Nach etwa 5 Neuinstallationen kommt es vor, dass die Keys bereits vorhanden sind.

Die Frage ist nun: Ist es möglich, dass trotz Neuinstallation der Host-key sich nicht geändert hat, bzw. einem alten gleicht?

Grüße,
Lev

[syssi]

Der Host-Key wird von einem Zufallszahlengenerator gewuerfelt. Ist dieser Zufallszahlengenerator kaputt, dann koennte man sich dein beschriebenes Szenario vorstellen.

[uname]

Um zufällige Schlüssel zu erzeugen brauchst du etwas Entropie, die bei einer zweiten Installation nicht identisch sein sollte Persönlich halte ich es für sehr unwahrscheinlich bis unmöglich ... oder hast du die Debian-Version bei der NSA gezogen?

Die Host-Keys werden im übrigen mit "postinst" aus dem Paket openssh-server erzeugt.

Code: Alles auswählen

ar x <paket.deb>
tar xvzf control.tar.gz
cat postinst

Unter /etc/ssl/certs sollten die SSL-Zertifikate aus ca-certificates stehen. Die sind aber vorgegeben und hoffentlich alle korrekt.

[Leverator]

Hallo zusammen,

@uname: Der Rechner könnte bei den automatischen Installationen immer die gleiche "entropie" vorfinden... Könnte das vielleicht der Grund sein?

Ich werde das Verhalten mal in den nächsten Tagen genauer beobachten und die generierten Host-Keys für den Vergleich extern sichern.


Viele Grüße,
Lev

[syssi]

Ist ziemlich unwahrscheinlich. Sicher, dass du die Ausgabe des SSH-Clients nicht falsch interpretiert hast? Speichern der Keys und ein spaeterer Vergleich ist ein guter Ansatz!