После шести месяцев разработки представлен релиз OpenSSH 8.1, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP...Подробнее: https://www.opennet.me/opennews/art.shtml?num=51640
> В ssh-keygen добавлена экспериментальная поддержка упрощённой схемы создания и верификации цифровых подписейМного лет ждал. "Классическая" схема GnuPG с импортом в хранилище, доверием и неочевидными опциями ком. строки сделана явно не для людей.
> В цифровую подпись встраивается информация о пространстве имён для исключения путаницы при применении в различных областях (например, для email и файлов);Зато теперь есть немного больше информации о владельце.
Хранилище ключей нужно для реализации web of trust, которая частично реализована в ssh через вручную редактируемую базу ключей в ALLOWED SIGNERS файле
Понимаю зачем нужен GnuPG, но иногда хочется чего-то более простого. Мои типичные юзкейсы: зашифровать и расшифровать бэкап, подписать и проверить подпись пакета. Ни то, ни другое не выходит за пределы моей инфраструктуры, и этой инфраструктуре я полностью доверяю. Мне не нужны цепочки доверия, не нужен сервер ключей, не нужен централизованный отзыв, не нужен gpg-agent, не нужны пароли и не нужно ещё сто тысяч возможностей GnuPG, о которых я даже не знаю.
Новый простой и стандартный инструмент для узкой задачи взамен раздутого 10Мб GnuPG - это прекрасно.
Но ALLOWED SIGNERS вам всё равно придётся создать насколько я понял, не ясно чем это тогда проще gpg --homedir dir и создания отдельной базы ключей под конкретную задачу "зашифровать и расшифровать бэкап, подписать и проверить подпись пакета".
Просто у OpenBSD есть ещё утилита https://man.openbsd.org/signify тут реально видно чем она проще gpg
minisign еще проще
> rsa-sha2-512Оказывается, помимо sha и sha3, существует sha2?
А почему именно sha2, а не sha3?
https://crypto.stackexchange.com/questions/72507/why-isn-t-s...
Установил SSH-клиент,что дальше? Куда все подключаются?3 дня назад установил SSH-клиент,теперь куда подключался через telnet подключаюсь через SSH-клиент,всё безопасно получается.А куда вы обычно подключаетесь своим SSH-клиентом,что посоветуете?
> Установил SSH-клиент,что дальше? Куда все подключаются?
> что посоветуете?ssh root@localhost
А что там с алгоритмами на изогениях?
Да.
> В списках алгоритмов шифрования для ssh и sshd для вставки предлагаемых по умолчанию алгоритмов теперь можно использовать символ "^". Например, для добавления ssh-ed25519 к списку по умолчанию можно указать "HostKeyAlgorithms ^ssh-ed25519"Не самое интуитивно понятное назначение. Я бы скорее принял такую запись за исключение, а не добавление, по аналогии с набором символов в [] в регулярках.
В C -- это исключающее или, что довольно интуитивно объясняет запись ^ssh-ed25519.
Раньше для этой цели интуитивно использовали or, типа: aaa | bbb | ccc
> Раньше для этой цели интуитивно использовали or, типа: aaa | bbb |
> cccИ что подсказывает интуиция на тему того, какой из вариантов дефолтный? Мне она подсказывает, что первый, но не потому что "или", а потому что так программу выбора писать проще: надо взять нулевой элемент из массива, и если он не-NULL, то вот он дефолтный вариант. Последний взять будет сложнее, потому что сначала надо будет сверится с количеством элементов в массиве. Средний будет взять ещё сложнее, потому что мало всех тех делений, которые придётся производить, будет неопределённость что делать, в случае чётного количества элементов.