Beim ersten Login z.B. auf dem Shellserver wird SSH natürlich wissen wollen, ob die Key-Signatur denn auch stimmt. Um diese zu verifizieren, bieten wir zwei Möglichkeiten an:

Unter <https://www.chaosdorf.de/chaosdorf-keys.asc> liegt eine Liste mit den Signaturen aller Chaosdorf-Keys, diese ist von den Admins per PGP signiert. Mit gpg --verify chaosdorf-keys.asc kannst du überprüfen, ob die Signaturen valide sind, und dann die aufgelisteten Signaturen der Hostkeys mit den von SSH abgefragten vergleichen.

Die obige Methode ist zwar schön und gut, aber doch jede Menge unnötiges Rumgetippe. Um das ganze zu vereinfachen, gibt es das Monkeysphere-Projekt.

Hier müsst ihr nur noch monkeysphere (in den meisten Distros bereits paketiert) installieren und könnt nach diesem howto die Keys automatisch verifizieren lassen.

$ sudo apt-get install monkeysphere
$ ssh -oProxyCommand='monkeysphere ssh-proxycommand %h %p' shells.chaosdorf.de

Die öffentlichen Teile der Chaosdorf-Hostkeys liegen im Web of Trust und sind von den Admins mit ihren privaten Keys signiert worden. Falls ihr einen passenden Trustpath habt (so einer lässt sich in ca. 5 Minuten im Clubraum aufbauen ;-) ), wird Monkeysphere diesen erkennen und anhand dessen schauen, ob die Signatur von shells.chaosdorf.de korrekt ist.

Es trägt den Key dann von sich aus in der known_hosts ein, ihr müsst keine ellenlangen Signaturen mehr vergleichen.

Ob ihr Monkeysphere nur einmalig zum Verifizieren benutzt, oder direkt dauerhaft für alle Hosts konfiguriert, bleibt natürlich euch überlassen.

Man kann damit übrigens auch HTTPS-Zertifikate verifizieren. Das scheint bisher aber nur mit Firefox zu gehen und wurde von uns noch nicht getestet.