อนุทิน 151510 - นาย ฉัตรชัย จันทร์พริ้ม

ถึงแม้ openssh จะยังรองรับการใช้งาน อัลกอริทึมสำหรับการสร้าง key แบบเก่าอยู่ ทั้งแบบ DSA, RSA แต่ก็มีคำแนะนำ [1] ให้เปลี่ยนไปใช้ อัลกอริทึม ED25519 สำหรับการเข้ารหัสแทน

ซึ่งดูดี และ น่าจะไม่มีปัญหา ถ้าหากว่าไม่ได้ใช้งานบน เดสทอปและ ตัวเดสทอปนั้น ไม่ได้ใช้ gnome-keyring [3] เพราะ gnome-keyring bug ตัวนี้ [4] ที่มีปัญหามาหลายปี และ น่าจะยังไม่มีการแก้ไขในช่วงเวลาอันใกล้นี้

แต่วิธีการแก้ปัญหาไม่ได้ยากเกินไป ก็คือ กำหนดให้ตัว gnome-keyring ไม่รวมเอา ssh เข้ามาจัดการโดยตัวมันเอง ผลก็คือ ตัว ssh-agent ซึ่งรองรับ ED25519 โดยตัวมันเองอยู่แล้ว ก็รับหน้าที่ในการจัดการต่อไปได้โดยไม่มีปัญหา (ในกรณีที่เราไม่ได้ใช้ ssh key นี้ไปใช้งานอย่างอื่นด้วย)

วิธีการกำหนดให้ gnome-keyring-daemon ไม่รวมเอา ssh มาจัดการด้วย ก็สามารถกำหนดไว้ในไฟล์ gnome-keyring-ssh.desktop ได้ โดยทำตามนี้ (เป็นคำสั่งบน command line)

$ cp /etc/xdg/autostart/gnome-keyring-ssh.desktop ~/.config/autostart/
$ echo "X-GNOME-Autostart-enabled=false" >> .config/autostart/gnome-keyring-ssh.desktop

หลังจากนั้นก็ logout และ login กลับเข้ามาในตัว desktop ใหม่ โปรแกรมที่ใช้ในการจัดการ keyring สำหรับ ssh อย่างเช่น keychain [5]
ก็ควรที่จะกลับมาจัดการ key ที่ใช้อัลกอริทึม ED25519 ได้อย่างถูกต้อง

[1] http://blog.siphos.be/2015/08/switching-openssh-to...
[2] http://ed25519.cr.yp.to/
[3] https://wiki.gnome.org/Projects/GnomeKeyring
[4] https://bugzilla.gnome.org/show_bug.cgi?id=723274
[5] http://www.funtoo.org/Keychain

เขียน 23 Apr 2017 @ 02:18 ()

คำสำคัญ (Tags) #ed25519 algorithm#ssh key#gnome-keyring#ssh-agent



ความเห็น (0)