-
Muss ich jetzt was machen oder Github?
Autor: dabbes 03.06.15 - 14:41
ist mir nicht ganz klar.
-
Re: Muss ich jetzt was machen oder Github?
Autor: theonlyone 03.06.15 - 14:42
Ist eben eine theoretische Lücke, wenn dein SSH Schlüssel zu schlecht ist, solltest du den austauschen.
GitHub hat die entsprechend gescannt und die Inhaber der Repos informiert.
Für das 0815 Projekt dürfte es praktisch irrelevant sein (Sicherheitslücke hin oder her, so ein Repo interessiert ja sonst keinen). -
Re: Muss ich jetzt was machen oder Github?
Autor: dabbes 03.06.15 - 15:07
Hab ein Repo mit 10K Downloads / Monat, da mich Github nicht informiert hat, ist wohl alles OK.
Im Artikel hab ich nur einen passenden Hinweis vermisst ob etwas unternommen werden muss. -
Re: Muss ich jetzt was machen oder Github?
Autor: Heinzel 03.06.15 - 15:21
dabbes schrieb:
--------------------------------------------------------------------------------
> ist mir nicht ganz klar.
Ich habe mir damals(tm) einen neuen Key gesetzt und den alten gelöscht.
Nicht daß sich jemand für mein Repository interessieren würde, just in case... :) -
Re: Muss ich jetzt was machen oder Github?
Autor: ehwat 03.06.15 - 15:57
dabbes schrieb:
> Im Artikel hab ich nur einen passenden Hinweis vermisst ob etwas
> unternommen werden muss.
Hast du einen alten Key? z.B. 1024 Bit Schlüssellänge oder einen "weak debian key" ( testen mit dem Tool ) ? Wenn ja, Schlüssel austauschen.
Hast du deinen Key, nach, sagen wir mal, 2011 generiert, am besten noch mit puttygen, solltest du recht safe sein. -
Re: Muss ich jetzt was machen oder Github?
Autor: hab (Golem.de) 03.06.15 - 17:00
Wenn Du Deinen Key bei Github benutzt musst Du vermutlich nichts machen, da Github die problematischen Keys wie im Text steht deaktiviert hat.
Aber wenn Du unahängig davon einen SSH-Key nutzt der möglicherweise mit einem alten Debian erstellt wurde solltest Du den prüfen. -
Re: Muss ich jetzt was machen oder Github?
Autor: der-dicky 03.06.15 - 17:26
Was genau macht den schlüssel der mit puttygen generiert wurde jetzt besser als den den ich mit ssh-keygen generiere?
-
Re: Muss ich jetzt was machen oder Github?
Autor: jokey2k 03.06.15 - 18:32
PuTTYgen nutzt nicht OpenSSL als Library, somit hat man nicht das debian 65536-keys problem, was wie im Artikel beschrieben um 2008 existierte
-
Re: Muss ich jetzt was machen oder Github?
Autor: der-dicky 03.06.15 - 20:01
Da das war aber 2008 und nicht nach 2011...



