Blog.YHT.Web.ID

Icon

Bosan adalah awal dari penciptaan perubahan.

SSH nistp521 Key-sign

Dari temuan 1 minggu yang lalu, ada kerentanan yang mempengaruhi koneksi SSH dari perangkat lunak PuTTY dan embedders seperti FileZilla. Kerentanan ini terkait dengan penggunaan RNG (Random Number Generator) yang bias pada tanda tangan ECDSA dengan kunci 521-bit (kurva NIST P521/ecdsa-sha2-nistp521), yang memungkinkan penyerang untuk memulihkan kunci pribadi.

Temuan dan Rekomendasi

Kunci pribadi ECDSA 521-bit yang default digunakan dengan PuTTY atau Pageant dipastikan terpengaruh. Jika Anda menggunakan kunci pribadi tersebut untuk otentikasi ke layanan SSH, Anda harus mempertimbangkan mengganti kunci tersebut karena dipastikan rentan. Pada penggunaan ssh-keygen dapat dipastikan aman karena default menggunakan rsa2048.

Bila kunci Anda terpengaruh, kemungkinan dampak lebih lanjut, jika penyerang adalah operator SSH server yang menyalahgunakan informasi, kunci dapat digunakan untuk mengakses layanan lain yang menggunakan kunci yang sama. Hal ini juga dapat mempengaruhi perangkat lunak lain seperti WinSCP, TortoiseGit, dan TortoiseSVN pada versi lama.

Rekomendasi untuk mengatasi kerentanan adalah dengan membuat kunci baru dan menghapus kunci publik yang lama dari file authorized_keys dari mesin server.

Jenis Kunci SSH

Berikut jenis kunci yang Anda yang dapat digunakan dalam protokol SSH:

  1. DSA (Digital Signature Algorithm):
    • DSA adalah algoritma kunci asimetris yang digunakan untuk menandatangani pesan digital.
    • Saat ini, DSA dianggap sudah kurang relevan digunakan.
  2. ECDSA (Elliptic Curve Digital Signature Algorithm):
    • ECDSA adalah varian dari DSA yang menggunakan kurva eliptis untuk operasinya.
    • ECDSA menawarkan tingkat keamanan yang setara dengan RSA namun dengan menggunakan kunci yang lebih pendek, sehingga lebih efisien dalam hal penggunaan sumber daya.
  3. ECDSA-SK (Elliptic Curve Digital Signature Algorithm with Secure Key):
    • ECDSA-SK adalah varian ECDSA yang diimplementasikan dengan kunci keamanan tambahan, biasanya dengan menggunakan token (secure key) untuk menyimpan kunci pribadi.
  4. Ed25519:
    • Ed25519 adalah algoritma kunci asimetris yang didasarkan pada kurva edwards (Edwards Curve) dengan panjang kunci 255 bit.
    • Ed25519 menawarkan keamanan yang paling baik saat ini dengan kunci yang lebih pendek dibandingkan dengan RSA atau DSA, dan sehingga lebih cepat karena penggunaan sumber daya yang lebih efektif.
  5. Ed25519-SK:
    • Seperti ECDSA-SK, Ed25519-SK adalah varian dari Ed25519 yang diimplementasikan dengan keamanan tambahan menggunakan token untuk penyimpanan kunci pribadi.
  6. RSA (Rivest-Shamir-Adleman):
    • RSA adalah algoritma kunci asimetris yang menggunakan faktorisasi bilangan bulat besar untuk operasinya.
    • RSA telah menjadi salah satu algoritma kunci asimetris yang paling umum digunakan dalam SSH dan berbagai protokol keamanan lainnya.

Setiap jenis kunci memiliki karakteristik uniknya sendiri, seperti keamanan, efisiensi, dan fitur tambahan keamanan. Pemilihan jenis kunci yang tepat tergantung pada kebutuhan keamanan dan kinerja sistem Anda. Kunci Ed25519 saat ini lebih direkomendasikan karena tingkat keamanan yang tinggi dan dengan tingkat efisiensi yang baik.

Cek Kunci

Untuk melakukan pengecekan kunci yang sudah digunakan bisa menggunakan perintah berikut:

$ % ssh-keygen -lf .ssh/id_rsa.pub

Kategori: /etc/issue

Tag:

Leave a Reply