"Marco Ciampa" <ciampix@xxxxxxxxx> writes: > Inoltre è interessante vedere che ottengo gli stessi messaggi anche > rifacendo le chiavi e che secondo il README: > > If ssh-vulnkey says "Unknown (no blacklist information)", then it has no > information about whether that key is affected. In this case, you > can examine the modification time (mtime) of the file using "ls -l". > Keys generated before September 2006 are not affected. > > Cioè, sencondo quanto dice, le chiavi che ho appena rifatto (che danno gli > stessi messaggi) potrebbero essere vulnerabili...ma che senso ha? Fermiamoci a riflettere un momento e vedrai che la cosa ha perfettamente senso. Le chiavi vulnerabili vengono identificate confontandole con quelle presenti in un elenco di chiavi "cattive". Questo eleno non contiene tutte le possibili chiavi "cattive". Credo che non siano state gnerate tutte le chiavi "cattive" per formati di chiavi e lunghezze delle medesime fuori dal comune. In particolare la blacklist contiene solo le chiavi RSA a 2048 bit e le DSA a 1024 bit. Se usi ciavi di lunghezza diversa da quelle contenute nella blacklist ovviamente ssh-vulnkeys non sa con cosa confrontare le chiavi che trova sul tuo sistema. Per questo diche che le chiavi sono potenzialmente vulnerabili. Un'altro parametro per avere indicazione di chiavi vulnerabili è il fatto che siano state generate nell'intervallo di tempo in cui sui sistemi debian è stato possibile avere il pacchetto di openssh con la vulnerabilità. In particolare, come dice la documentazione, questo periodo va da settembre 2006 al rilascio del pacchetto corretto in questi giorni. Ovviamente le chiavi generate con la versione corretta di openssl non sono notoriamente vulnerabili (ma nel tuo caso continuano ad essere generate con una lunghezza per la quale non è stata creata una blacklist). Spro che adesso sia tutto un po' più chiaro. Ciao -- Daniele -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx