OSDN -- Develop and Download Open Source Software

Ticket #45439
Ticket List Submit New Ticket RSS

知っているホスト鍵のアルゴリズムを優先する

Open Date: 2022-08-24 04:52 Last Update: 2022-10-03 13:53

Reporter:
doda
Owner:
(None)
Type:
Feature Requests
Status:
Open
Component:
TTSSH
MileStone:
Tera Term 5.0
Priority:
5 - Medium
Severity:
5 - Medium
Resolution:
None
File:
None
Vote
Score: 0
No votes
0.0% (0/0)
0.0% (0/0)

Details

接続先のホスト鍵がすでにknown_hostsに登録されていた場合、そのホスト鍵のアルゴリズムを優先して使うようにする。

ホスト鍵アルゴリズムの優先設定が ssh-ed25519, ecdsa-sha2-nistp521, ssh-rsa だった時に、

known_hostsに接続先ホストのecdsa-sha2-nistp521鍵が登録されていた場合、

ホスト鍵アルゴリズムとして ecdsa-sha2-nistp521, ssh-ed25519, ssh-rsa を通知する。

複数のホスト鍵がknown_hostsに登録されていた場合、その中での優先順位はホスト鍵の優先設定に従う。

メリット/デメリット

メリット:

  • サーバ側で新しいホスト鍵アルゴリズムに対応した時でも、すでに安全が確認出来ている(はずの)ホスト鍵で接続できる
  • ⇒ クライアント側で確認ダイアログが出ないので、サーバ側の設定変更を行いやすい

デメリット:

  • サーバ側が設定変更しても、古い方式のホスト鍵が使われ続ける事になる

デメリットに関しては #45436 の設定で緩和可能。例えば前述の設定を使っている時にホスト側で新たにssh-ed25519に対応した場合、

  1. ecdsa-sha2-nistp521 で接続する
  2. ホスト鍵の通知で ssh-ed25519 鍵をknonw_hostsに記録する
  3. 次回接続時以降は ssh-ed25519 で接続する

という動作になる。

OpenSSHの動作

HostKeyAlgorithmsが未設定の場合はこの動作になる。HostKeyAlgorithmsを設定してあるとその指定に従う。

Tera Termでは設定がされているかで判断するのは難しい為、「すでに知っているホスト鍵の方式を優先する」のような設定で有効/無効を切り替えるようにするのが妥当か。

デフォルト設定

#45436 の設定が実装されて on ならば有効でもデメリットがほぼ無いので、こちらも on をデフォルトにするのが妥当か。

Ticket History (3/3 Histories)

2022-08-24 04:52 Updated by: doda
  • New Ticket "知っているホスト鍵のアルゴリズムを優先する" created
2022-09-04 02:43 Updated by: doda
  • Details Updated
2022-10-03 13:53 Updated by: tanny
Comment

知ってる鍵のアルゴリズムを優先するのは、やめたほうがいいです。 この動作はCVE-2020-14145にて脆弱性だと指摘されているからです。

OpenSSHでも、(脆弱性ではないが) バグとして8.4で動作を変更しています。

Attachment File List

No attachments

Edit

You are not logged in. I you are not logged in, your comment will be treated as an anonymous post. » Login