Je sais pas laquelle choisir entre les deux ?
y-a t'il une différence (l'algo bien sur, mais à part ça) ?
une plus fiable que l'autre ?
une plus adapté à un type d'utilisation, et l'autre non ?
ou peut-on les choisir totalement au hasard ?

Je crois que la plus secure estla DSA.

il y a une raison particulière pour ça ?
tu sais pas ou je pourrais trouver plus d'infos ?
j'ai cherché sur google, mais tout ce que j'ai pu trouver disait qu'il n'y a pas de différences notable depuis que les RSA sont ssh2
donc je suis paumé, surtout que j'y connais rien là-dedans, et ça m'interesserait d'en savoir un peu plus
 
je suis en train de matter le site d'openBSD sur la page openSSH pour voir si ils en parlent

j'ai pas trouvé grand chose
à priori, y-a pas grande différence notable, à part pour une utilisation pointue.
la seule page clair que j'ai pu trouver :
http://www.rsasecurity.com/rsalabs/faq/3-4-1.html
 
sinon, j'ai pu voir que la clé rsa pouvait être cassé 4 fois plus vite en simplifiant l'algo de décryptage (qui n'est donc pas fiable), en factorisant par nombre entier ou je sais plus quoi
enfin ça doit prendre encore du temps à priori
 
donc je crois que je vais prendre une clé DSA, mais sans trop savoir pourquoi
 
personne n'a jamais utilisé de tel clé ?
ceux qui en ont utilisé, quel type avez vous pris, et pourquoi ?

J'ai un serveur ssh pour me connecter a distance ainsi qu'un ami et on a utilise la cle DSA pour une question de niveau de cryptage (nombre de bits il me semble), malheureusement je ne m'en rapelle plus trop. Je recherche l'article de Linux Mag qui m'a servi a l'installer et je te dis pourquoi, je crois que c'est explique dedans.

 
ok, cool
tu peux me dire comment on fait d'ailleurs
ça m'évitera de lire le manuel
en fait j'ai commencé à lire, donc à priori je dois faire ssh-keygen sur mon pc et copier la clé public sur le serveur ?
mais où ?
et j'ai vu que j'avais dejà des clé dans /etc/ssh
elles servent à quoi ?

bon ça marche, c'était pas bien dur
et pour ceux que ça intéresse, les clé présente dans /etc/ssh, c'est pour le host based authentification

Cool.

par contre , j'ai pas compris à quoi sert la pass phrase
c'est pour augmenter le niveau de cryptage des données ?

Non, en fait quand le client voudra se logguer sur le serveur, on lui demandera de saisir le pass phrase qui lui a servi a generer sa cle. Tu peux tres bien n'utiliser qu'un mot de passe, mais c'est fortement deconseille apparement. Une phrase se casse certainement moins facilement et rapidement qu'un simple mot de passe.

 
 
Ben, elle sert pour l'authentication
 
^_^

La pass phrase sert à assurer le fait que personne ne t'a volé ta clé privée.

 
??? Ca sert a l'authentification lors de la connection non ? Parceque une cle privee sans la pass phrase ca sert a rien (ca y'est je viens de comprendre ce que tu voulais dire ).

 
 
Yep. C'est facile de copier une clé mais si t'as pas la passphrase ça te sert pas a grand chose
C'est ça l'authentication : verifier (on peut jamais etre sur a 100% mais bon) qu'on a bien affaire a la bonne personne a l'autre bout du  fil.
 
^_^
 
EDIT : orthographe rules

oula !    
pas compris là
pour moi, l'interet des clé était qu'on avait plus à saisir de mdp, non ??    
parce qu'avant que je génère mes clé, je rentrais sans arrét mes mdp et c'est vite lourd !
alors si maintenant je dois rentrer un pass phrase    
 
et la clé public se copie facilement, mais encore faudrait t-il qu'il copie la clé privé le voleur non ?

 
 
Ouais, tu confonds un peu tout.
Si tu veux pas t'emmerder a rentrer ta passphrase a chaque fois > man ssh-agent.
Si tu veux comprendre le fonctionnement du systeme public/private key > http://www.google.com/search?hl=en [...] +mechanism (ce sera plus facile a comprendre si tu as une bonne explication ).
 
^_^
 
EDIT : http://developer.netscape.com/tech [...] works.html pour l'explication du systeme public/private keys

 
fait chier merde ... pourquoi ça marche comme j'ai fait ?  
ça devient lourd là, si en plus faut que je me tappe de l'anglais
 
en fait j'ai suivi ça moi :
http://forum.hardware.fr/forum2.ph [...] h=&subcat=
ainsi que le lien donné par chaica dessus
tu peux me dire ce qui va pas dans ce qu'ils mettent ?

en fait pour être clair :
est-ce que comme j'ai fait, c'est moins secure qu'avec le ssh-agent ? et pourquoi ?
 
bon et pis je lirais le mechanism quand j'aurais le temps

 
Fallait dire que t'etais allergique a l'anglais
Ce lien a l'air pas mal : http://www.defense.gouv.fr/actuali [...] ontenu.htm
 
^_^

impulse a écrit a écrit :   Fallait dire que t'etais allergique a l'anglais Ce lien a l'air pas mal : http://www.defense.gouv.fr/actuali [...] ontenu.htm   ^_^

 
 
disons que je suis pas vraiment allergique, mais je suis pas vraiment une star en anglais, et j'ai bouffé assez de docs en anglais pour le moment (j'arrete pas, ça devient lourd à force   )

 
 
Qu'est ce que tu as fait ? Tu as créé ta clé privée sans passphrase ? Je t'explique vite fait a quoi sert l'agent : tu demarres l'agent > il te demande ta passphrase. Ensuite a chaque fois qu'un programme demande ta passphrase, l'agent fourni la clé a ta place (comme ça tu tapes ta clé une seule fois et c'est bon).
 
^_^

 
 
Bof. C'est pas trop genant et c'est un peu obligé si tu bosses ds le secteur info...
Il faut dire que c'est souvent bien plus facile de trouver une bonne doc en anglois plutot qu'en bon vieux françois.
 
^_^
 
PS : en fait j'ai le bouquin "SSH, the secure shell : the definitive guide" devant les yeux... je n'invente rien et je ne suis pas du tout un specialiste SSH ; j'ai juste la bonne doc.

 
ok
moi en fait, j'ai fait comme dit dans le lien que je t'ai mis vers un autre topic :
j'ai créer ma clé sans pass phrase avec ssh-keygen
j'ai un privé et une public dans le rep ~/.ssh
j'ai copié la public sur le serveur dans le fichier ~/.ssh/authorized_keys
et ça marche
 
je précise que j'ai une debian, et que ça vient p-t de là si ça marche
parce que j'ai un pote à qui j'ai dit de faire pareil avec ça mandrake (le serveur est une woddy) et ça marche pas  

 
ouai mais je te dis, je suis pas allergique a l'anglais, j'ai installer un cvs avec la doc anglais
et je me suis aider de doc en anglais pour apache et mysql ... donc ça va
mais là j'ai pu envie    

extrait de mon bouquin :
 

Another way to achieve password-less logins is to use an unencrypted private key with no passphrase. Although this technique can be appropriate for automation purposes, never do this for interactive use. Instead, use the SSH agent, which provides the same benefits with much greater security. Don't use unencrypted keys for interactive SSH!

 
No comment  
 
^_^

impulse a écrit a écrit : extrait de mon bouquin :   Another way to achieve password-less logins is to use an unencrypted private key with no passphrase. Although this technique can be appropriate for automation purposes, never do this for interactive use. Instead, use the SSH agent, which provides the same benefits with much greater security. Don't use unencrypted keys for interactive SSH!   No comment     ^_^

 
pk il parle de unemcrypted key, ça existe avec ssh ?
sinon, c'est pour éviter, en priorité, de ne pas avoir à saisir de mdp avec cvs
mais ma clé est encrypté, elle a juste pas de passphrase
 
ou j'ai pas bien compris

 
 
Alors utilise un agent. C'est vraiment pas complexe a mettre en place et ça marche nickel (j'utilise un agent perso et ça roule).
T'as 2-3 commandes a taper et hop, plus de passphrase a taper toutes les 5 minutes. C'est du genre :
 
$ ssh-agent $SHELL   => pour creer l'agent
$ ssh-add            => pour ajouter la clé ds ton agent
 
Et voila.
 
^_^

 
ok j'essaierais ça, merci
sinon je lirais ta doc pour comprendre pk ce que je fais ne va pas
 
 

ça y est, je viens de comprendre un truc là : si qq'un recupère ce qu'il se passe sur le reseau tout en ayant la clé publique (facile à récupérer à priori ?), il peut facilement décrypter les données "protégées" ?
et le ssh-agent règle ce problème ?
 
 
... je continue à lire mais vous pouvez quand même répondre

tatanka a écrit a écrit : ça y est, je viens de comprendre un truc là : si qq'un recupère ce qu'il se passe sur le reseau tout en ayant la clé publique (facile à récupérer à priori ?), il peut facilement décrypter les données "protégées" ? et le ssh-agent règle ce problème ?     ... je continue à lire mais vous pouvez quand même répondre

 
 
je viens de comprendre un autre aspect du problème :
en fait, ssh gère de problème de sécurité: l'authentification et le cryptage des données
avec ma méthode, le cryptage n'est pas assuré, mais l'authentification si, n'est-ce pas ?
et le ssh-agent gère en plus un cryptage des données sûr ?
 
j'ai bon ?  vous me dites si je me gourre

bon j'ai tout lu mais je suis toujours pas sur de la différence de niveau de sécurité entre la solution que j'ai suivi et la solution utilisant ssh-agent ?

En fait SSH se sert de ta passphrase pour crypter ta clé privée (ton identity file). Si tu mets une passphrase vide, ta clé n'est pas cryptée.  
 
Il ne faut pas confondre cryptage de ta clé privée et cryptage de tes communications via SSH : SSH crypte les infos qui circulent entre le client et le serveur, que tu aies une clé privée cryptée ou une clé sans passphrase ne change rien a ce niveau.  
 
L'agent est un programme qui stocke ta clé privée pour la fournir a ta place quand un programme te la demande. Quand tu veux ajouter ta clé dans un agent, et que cette clé est cryptée, tu dois rentrer ta passphrase pour decrypter ta clé et la stocker ds l'agent. Ta clé est donc en clair ds l'agent. Il est toutefois assez compliqué d'extraire une clé de l'agent donc cette solution est bien plus secure que celle avec une clé privée non cryptée.
 
Voila.
 
^_^

 
 
Pour eclaircir encore un peu + :
 
L'interet des clés ce n'est pas d'eviter de rentrer un mdp : ce systeme est plus secure pour les raisons suivantes >
 
- il y a 2 composants a voler : le fichier qui contient ta clé ET la passphrase alors qu'avec le password il suffit de recuperer ce password et c'est bon
 
- la passphrase ou ta clé ne circulent jamais entre le client et le serveur, on ne peut donc pas les "sniffer" comme un password
 
- les clés cryptées generées par une machine sont tres difficiles (voire impossible) a decrypter alors qu'un password est bcp plus facile a deviner ou a cracker. De + si on veut cracker ta clé il faut deja la recuperer
 
Je me repete un peu dans ce topic mais c'est pour que tu voies bien comment ça marche. Si tu n'as pas bien saisi le fontionnement du systeme des clés je te conseille de lire le lien que je t'ai filé : c'est en anglais mais c'est tres court et facile a comprendre. Perso c'est grace a cet exemple que j'ai compris le fonctionnement des clés publiques/privées (c'est pas forcement evident de comprendre comment ça marche).
 
^_^

merci beaucoup à toi impulse      
 
j'ai lu le lien vers le site du gouvernement, qui explique très bien la chose, mais j'avais pas compris que la clé privé n'était pas cryptée
grâce à tes explication, j'ai bien saisie le truc maintenant
je me mets le ssh-agent tout de suite du coup

 
 
De rien. Je suis en plein dans SSH en ce moment et je dois dire que je n'ai pas compris tout suite les subtilités de cet outil. Si il y a des bouquins de + de 500 pages sur SSH c'est pas pour rien, y'a bcp de trucs a apprendre/comprendre pour s'en servir correctement et sans la bonne doc c'est pas evident de s'y retrouver au debut.
 
^_^

bon ok, mais quand je redémarre, l'agent n'existera plus, le man n'en parle pas bcp on dirait ...  
donc faut refaire le ssh-add ??    
c'est vite fastidieux non ?
 
ou un simple script dans les rc avec :

dedans, suffirait-il ?

j'ai encore dit une connerie : les deux lignes seraient plutot à mettre dans un des script de login genre ~/.bashrc mais il faut encore utiliser la passphrase, donc ça aussi ça n'ira pas !  
 
bref, j'aimerais savoir si le ssh-agent est encore envi après un reboot, ça serait moins pénible que d'avoir à tout refaire à chaque reboot (c'est fastidieux)

 
 
Mouais...
T'es pas sous windows la ! Tu rebootes pas toutes les 5 minutes...
Perso ça fait + de 6 mois que j'ai pas rebooté donc ça ne me gene pas trop
Sinon tu peux le configurer pour qu'il se lance au demarrage effectivement, tu auras juste a taper ta passphrase quand tu te logues.
 
^_^

 
ouai mais je dois rebooter sous windows parce que j'ai toujours pas réussi à faire marcher edonkey sous linux
idem pour mon graveur
idem pour cs (qui rame avec wine)
idem pour l'imprimante (canon trop recente)
et je crois que c'est tout, mais c'est déjà suffisant pour avoir à rebooter
mais mon serveur ne reboot jamais non plus  

bordel, quand je fais  

il est censé exécuter ce qu'il affiche à l'écran non ??! les export du pid et de la socket unix, il le fait pas, résultat, ssh-add peut pas se connecter au ssh-agent et y-a rien qui marche, c'est lourd, j'ai oublié quoi là ?