Ed25519-SSH-Schlüssel im Terminal generieren

Wer in den letzten Jahren einen SSH-Schlüssel generiert hat, wird meist RSA als kryptografischen Verfahren dafür genutzt haben. Mittlerweile geht die Empfehlung für neue Schlüssel mehrheitlich zu solchen, welche auf elliptische Kurven basieren. Ein solcher Schlüssel kann im Terminal über den Befehl:

ssh-keygen -t ed25519

generiert werden. Alternativ kann eine entsprechende E-Mail-Adresse für den Schlüssel definiert werden:

ssh-keygen -t ed25519 -C ""

Anschließend wird ein entsprechender Schlüssel erzeugt:

The key fingerprint is:
SHA256:1RCIsYVjuj9JUdpkAQEpnHmQEI2n+VsW1hr5dPk/X9w 
The key's randomart image is:
+--[ED25519 256]--+
|o*.=.o+*ooo.     |
|. O o =o=  o     |
| + o =.B .. .    |
|o   * = +.       |
| . . B oS.       |
|  . = o   .    ..|
|   + o .   .    E|
|  .   +     o  . |
|       .     o.  |
+----[SHA256]-----+

Wer sich den öffentlichen Schlüssel anschaut, wird feststellen, das dieser wesentlich kürzer ist:

ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIDQFUwFRKdr/6xq208X6ME9kQF0pxVWSEmIkMqJXwUZ2 

Die Länge des Schlüssels verglichen mit den RSA-Schlüsseln sagt allerdings direkt nichts über die Sicherheit des Schlüssels aus. Grundsätzlich sind die Ed25519-Schlüssel kürzer als vergleichbare RSA-Schlüssel. Daneben ist das Verfahren schneller und resistenter gegen Kollisionsattacken und sollte daher in Zukunft gewählt werden.

SSH mit mehreren Schlüsseln nutzen

Normalerweise erzeugt man einen privaten und einen öffentlichen Teil seines SSH-Schlüssels, hinterlegt den öffentlichen Teil auf den entsprechenden Servern und loggt sich mit diesen dort ein. Nun kann es aber durchaus vorkommen, dass man mit unterschiedlichen Schlüsselpaaren arbeiten muss um sich auf verschiedenen Servern einzuloggen. Zur Lösung dieses Problems existieren zwei Herangehensweisen, welche beide mit der SSH-Konfigurationsdatei arbeiten. Die Konfigurationsdatei ist im Home-Verzeichnis der Nutzers unter .ssh/config zu finden ist. Bei der ersten Möglichkeit werden die entsprechenden Schlüssel in der Konfigurationsdatei hinterlegt:

IdentityFile ~/.ssh/id_rsa
IdentityFile ~/.ssh/id_rsa_production
IdentityFile ~/.ssh/id_rsa_test
IdentityFile ~/.ssh/id_rsa_integration

Damit werden bei einem Login auf einem Server die Schlüssel der Reihe nach durchprobiert. Bei der zweiten Möglichkeit wird ein Host pro Server konfiguriert:

Host production production.example.com
    HostName production.example.com
    User root
    IdentityFile ~/.ssh/id_rsa_production
    

Host test test.example.com
    HostName test.example.com
    User root
    IdentityFile ~/.ssh/id_rsa_test

Host integration integration.example.com
    HostName integration.example.com
    User root
    IdentityFile ~/.ssh/id_rsa_integration

In der Konfiguration des Hosts befinden sich neben dem Host auch die zu nutzende Schlüsseldatei. Als weiteren Vorteil kann man die SSH-Verbindung nun über den definierten Kurznamen aufrufen:

ssh production

Dabei wird die Verbindung mit der definierten Schlüsseldatei aufgebaut, so dass ein durchprobieren der unterschiedlichen Schlüssel vermieden wird.

RSA SecurID und das iPhone 5

Die Firma RSA Security erwirtschaftete 2005 einen Umsatz 83,2 Millionen US-Dollar. Mittlerweile gehört sie zur EMC Corporation. Außerdem ist sie für das Sicherheitssystem SecureID zuständig, welches nicht immer durch seine Sicherheit glänzte. Für die Erzeugung der PINs gibt es neben den Hardwarelösung wie z.B. dem RSA SecurID SID800-Token die Möglichkeit diese PINs über die App RSA SecurID auf einem iOS-Gerät zu erzeugen.

Die App RSA SecurID

Die App RSA SecurID

Öffnet man diese App auf einem Gerät wie dem iPhone 5 oder dem iPhone 5s wird man erstaunt sein was man sieht – schwarze Balken. Das iPhone 5 gibt es mittlerweile seit September 2012 und eine Firma mit über 1000 Mitarbeitern hat es immer noch nicht geschafft eine seiner wichtigsten Apps an die Auflösung eines neuen Gerätes anzupassen. Nun glänzt Apple nicht durch seine überbordende Produktvielfalt, es gibt nur eine Handvoll Modelle welche bei einer solchen Anpassung zu berücksichtigen sind. Der Vorgang selbst dauert auf einem Mac mit installiertem XCode keine 15 Minuten. Selbst wenn man die neue App dann auch noch drei Monate testen muss, ist dies kein Argument, schließlich schreiben wir mittlerweile das Jahr 2014. Die Funktionalität der App ist dadurch nicht beeinträchtigt, aber trotzdem fragt man sich doch, warum eine Firma wie RSA Security nicht in der Lage ist etwas benutzerfreundlicher zu sein.