Verification: Difference between revisions

From Chaosdorf Wiki
(Von www verschoben)
 
m (linkfix)
Line 5: Line 5:
= Signierte Keyliste =
= Signierte Keyliste =


Unter <https://www.chaosdorf.de/chaosdorf-keys.asc> liegt eine Liste mit
Unter <https://chaosdorf.de/chaosdorf-keys.asc> liegt eine Liste mit
den Signaturen aller Chaosdorf-Keys, diese ist von den Admins per PGP
den Signaturen aller Chaosdorf-Keys (ohne {{H|extern}}), diese ist von den Admins per PGP
signiert. Mit ''gpg --verify chaosdorf-keys.asc'' kannst du überprüfen, ob die
signiert. Mit ''gpg --verify chaosdorf-keys.asc'' kannst du überprüfen, ob die
Signaturen valide sind, und dann die aufgelisteten Signaturen der Hostkeys mit
Signaturen valide sind, und dann die aufgelisteten Signaturen der Hostkeys mit

Revision as of 17:43, 26 February 2013

Beim ersten Login z.B. auf dem Shellserver wird SSH natürlich wissen wollen, ob die Key-Signatur denn auch stimmt. Um diese zu verifizieren, bieten wir zwei Möglichkeiten an:

Signierte Keyliste

Unter <https://chaosdorf.de/chaosdorf-keys.asc> liegt eine Liste mit den Signaturen aller Chaosdorf-Keys (ohne extern), diese ist von den Admins per PGP signiert. Mit gpg --verify chaosdorf-keys.asc kannst du überprüfen, ob die Signaturen valide sind, und dann die aufgelisteten Signaturen der Hostkeys mit den von SSH abgefragten vergleichen.

Monkeysphere

Die obige Methode ist zwar schön und gut, aber doch jede Menge unnötiges Rumgetippe. Um das ganze zu vereinfachen, gibt es das Monkeysphere-Projekt.

Hier müsst ihr nur noch monkeysphere (in den meisten Distros bereits paketiert) installieren und könnt nach diesem howto die Keys automatisch verifizieren lassen.

$ sudo apt-get install monkeysphere
$ ssh -oProxyCommand='monkeysphere ssh-proxycommand %h %p' shells.chaosdorf.de

Die öffentlichen Teile der Chaosdorf-Hostkeys liegen im Web of Trust und sind von den Admins mit ihren privaten Keys signiert worden. Falls ihr einen passenden Trustpath habt (so einer lässt sich in ca. 5 Minuten im Clubraum aufbauen ;-) ), wird Monkeysphere diesen erkennen und anhand dessen schauen, ob die Signatur von shells.chaosdorf.de korrekt ist.

Es trägt den Key dann von sich aus in der known_hosts ein, ihr müsst keine ellenlangen Signaturen mehr vergleichen.

Ob ihr Monkeysphere nur einmalig zum Verifizieren benutzt, oder direkt dauerhaft für alle Hosts konfiguriert, bleibt natürlich euch überlassen.

Man kann damit übrigens auch HTTPS-Zertifikate verifizieren. Das scheint bisher aber nur mit Firefox zu gehen und wurde von uns noch nicht getestet.