VNX: Qualsys-Scan erkennt QID 38738 – Öffentlicher Schlüssel des SSH-Servers zu klein
Summary: VNX: Qualsys-Scan erkennt QID 38738 – Öffentlicher Schlüssel des SSH-Servers zu klein (vom Nutzer korrigierbar)
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Der Qualsys-Scan erkennt die folgende QID:
QID 38738 – SSH Server Public Key Too Small:
"THREAT: Das SSH-Protokoll (Secure Shell) ist eine Methode für die sichere Remoteanmeldung von einem Computer auf einen anderen. Der SSH-Server verwendet einen kleinen öffentlichen Schlüssel. Best Practices erfordern, dass digitale RSA-Signaturen mindestens 2048 Bit lang sind, um eine angemessene Sicherheit zu gewährleisten. Schlüssellängen von 1024 sind bis 2013 akzeptabel, aber seit 2011 gelten sie als veraltet. Weitere Informationen finden Sie in der NIST-Sonderpublikation 800-131A (http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar1.pdf).
Nur Serverschlüssel, die nicht Teil eines Zertifikats sind, werden in dieser QID gemeldet. OpenSSH-Zertifikate, die Kurzschlüssel verwenden, werden in QID 38733 aufgeführt. X.509-Zertifikate, die Kurzschlüssel verwenden, werden in QID 38171 gemeldet.
LÖSUNG: DSA-Schlüssel und RSA-Schlüssel, die kürzer als 2048 Bit sind, gelten als anfällig. Es wird empfohlen, eine öffentliche RSA-Schlüssellänge von mindestens 2048 Bit oder mehr zu installieren oder zu ECDSA oder EdDSA zu wechseln."
Cause
Die VNX-Control Station verwendet einen 2048-Bit-RSA-Schlüssel, der DSA-Schlüssel ist jedoch 1024 Bit.
Resolution
Wenn wir uns die Schlüssel der Control Station unter /etc/ssh/sshd_config ansehen, können wir sehen, dass der öffentliche und der private Schlüssel von RSA eine 2048-Bit-Signatur haben:
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94: f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
Der DSA-Schlüssel ist jedoch nur 1024 Bit lang:
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d: b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
DSA-Schlüssel über 1024 Bit werden nicht unterstützt, die Lösung besteht normalerweise darin, DSA-basierte Schlüssel auf dem Server zu deaktivieren. In unserem Fall ist dies jedoch nicht möglich, da die ältere OpenSSH-Version auf der Control Station läuft. Die Option zum Deaktivieren von DSA auf der Serverseite ist HostKeyAlgorithms. Sie ist in der Version von OpenSSL, die auf der Control Station ausgeführt wird, nicht vorhanden.
Dieser Schlüssel wird nicht für die Client-/Serverauthentifizierung verwendet und kann nicht zum Entschlüsseln des Datenverkehrs verwendet werden. Er wird nur verwendet, um die Hostauthentifizierung über known_hosts zu überprüfen und den anfänglichen Handshake zu unterstützen. Dies wird nicht als Sicherheitslücke betrachtet und es gibt derzeit keine Pläne, openSSL auf eine Version zu aktualisieren, die die HostKeyAlgorithms-Option unterstützen würde. Im Moment gibt es keine Möglichkeit, den DSA-Hostschlüssel auf dem SSH-Server der Control Station zu deaktivieren. Daher gibt es keine Möglichkeit, die Ursache für die Erkennung des kleineren Schlüssels durch den Scan zu beheben.
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94: f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
Der DSA-Schlüssel ist jedoch nur 1024 Bit lang:
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d: b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
DSA-Schlüssel über 1024 Bit werden nicht unterstützt, die Lösung besteht normalerweise darin, DSA-basierte Schlüssel auf dem Server zu deaktivieren. In unserem Fall ist dies jedoch nicht möglich, da die ältere OpenSSH-Version auf der Control Station läuft. Die Option zum Deaktivieren von DSA auf der Serverseite ist HostKeyAlgorithms. Sie ist in der Version von OpenSSL, die auf der Control Station ausgeführt wird, nicht vorhanden.
Dieser Schlüssel wird nicht für die Client-/Serverauthentifizierung verwendet und kann nicht zum Entschlüsseln des Datenverkehrs verwendet werden. Er wird nur verwendet, um die Hostauthentifizierung über known_hosts zu überprüfen und den anfänglichen Handshake zu unterstützen. Dies wird nicht als Sicherheitslücke betrachtet und es gibt derzeit keine Pläne, openSSL auf eine Version zu aktualisieren, die die HostKeyAlgorithms-Option unterstützen würde. Im Moment gibt es keine Möglichkeit, den DSA-Hostschlüssel auf dem SSH-Server der Control Station zu deaktivieren. Daher gibt es keine Möglichkeit, die Ursache für die Erkennung des kleineren Schlüssels durch den Scan zu beheben.
Affected Products
VNX2 SeriesProducts
VNX VG10, VNX VG2, VNX VG50, VNX VG8, VNX1 Series, VNX2 Series, VNX5200, VNX5300, VNX5400, VNX5500, VNX5600, VNX5700, VNX5800, VNX7500, VNX7600Article Properties
Article Number: 000056369
Article Type: Solution
Last Modified: 03 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.