~~META:
title = C2021D13: Mogelijke inlogproblemen als gevolg van openssh update
~~
{{htmlmetatags>
metatag-keywords=(software update openssh 8.8)
metatag-og:title=(Mogelijke inlogproblemen als gevolg van openssh update)
metatag-og:description=(
	In de software update ronde van oktober zit ook een update van
	openssh naar versie 8.8. In deze versie wordt een ouder en
	onveilig algoritme (RSA SHA-1) gedisabled. Het gevolg kan zijn
	dat je met oude keys niet meer kan inloggen, of geen uitgaande
	ssh sessies naar bv bitbucket kan doen. Lees hieronder wat
	daaraan te doen valt.
	)
}}
====== C2021D13: Mogelijke inlogproblemen als gevolg van openssh update ======
====== Aankondiging: Mogelijke inlogproblemen als gevolg van openssh update ======
Beste klant/collega,

(Is dit bericht niet goed leesbaar? Bekijk dan de [[|online versie]].)

In de [[c2021d13-software-updates-202110|software update ronde
van oktober]] zit ook een update van openssh naar versie 8.8. In
deze versie wordt een ouder en onveilig algoritme (RSA SHA-1)
gedisabled. Het gevolg kan zijn dat je met oude keys niet meer kan
inloggen, of geen uitgaande ssh sessies naar bv bitbucket kan doen.
In de [[https://www.openssh.com/txt/release-8.8|releasenotes]] van
OpenSSH wordt uitgelegd wat er veranderd is:
>This release disables RSA signatures using the SHA-1 hash algorithm
>by default. This change has been made as the SHA-1 hash algorithm is
>cryptographically broken, and it is possible to create chosen-prefix
>hash collisions for <USD$50K

====== Probleem: Ik kan niet meer inloggen op upload-(test)sites.omroep.nl ======
Dit wordt waarschijnlijk veroorzaakt doordat de key waarmee je probeert
in te loggen te oud is. Dit zal een key van type RSA SHA-1 zijn en deze
wordt nu afgekeurd door de server wegens te onveilig.

De oplossing hiervoor is om een nieuw keypair aan te maken. Bij het
aanmaken van een keypair kan je het type key kiezen. De default hiervoor
is ''rsa-sha2-512'', wat prima is. Er zijn ook andere prima keuzes als
''ed25519''. Wat je in elk geval **niet** moet kiezen is ''rsa'', omdat
er dan weer een key van type RSA SHA-1 gegenereerd wordt kan
worden((afhankelijk van de exacte versie van de ssh client die je
gebruikt om de keys mee te genereren, nieuwere clients genereren
rsa-sha2-512 als je om rsa vraagt)) en ook **niet**
een ''dsa'' of ''ecdsa'' key omdat die beschouwd worden als
[[https://nbeguier.medium.com/a-real-world-comparison-of-the-ssh-key-algorithms-b26b0b31bfd9|onveilig]].

Het aanmaken van een nieuw keypair onder Linux en macOS kan met
''ssh-keygen'', bijvoorbeeld:
<code>
ssh-keygen -t ed25519
</code>

Voor andere ssh clients kan vaak op [[:glossary:ssh|gelijksoortige wijze]] een nieuw
keypair gemaakt worden. Voordat je dat doet is het aan te raden om eerst
te checken of de client die je gebruikt nog wel up-to-date is. Oudere
clients kunnen mogelijk niet de benodigde key types aanmaken.

Vervolgens kan je een [[https://support.npohosting.nl/|support ticket]]
aanmaken met het verzoek om de zojuist gemaakt public key aan je account
toe te voegen. Vergeet in de aanvraag niet om:
  * je **public** key mee te sturen
  * te vertellen over welk account het gaat

====== Probleem: Ik kan wel inloggen op upload-(test)sites.omroep.nl, maar kan vanaf daar niet meer over ssh bij bitbucket ======
Een veel gebruikte manier van werken is om op
upload-(test)sites.omroep.nl een checkout van een git repository op
bitbucket te hebben staan, en dan bij een deploy iets te doen als ''git
pull'' van de betrokken repository.
Als je checkout via ssh gemaakt is (''git clone git@bitbucket.org:<repo>'')
dan zal een latere ''git pull'' resulteren in een uitgaande ssh sessie
naar bitbucket. Echter, daar is een probleem, want de NPO systemen
ondersteunen standaard geen oude keypairs meer, terwijl bitbucket nog geen
nieuwe keypairs ondersteunt.
Hier valt omheen te werken door aan de NPO kant in te stellen om
//toch// een oud keypair te gebruiken, door onderstaand stanza op te
nemen in ''~/.ssh/config'' van upload-(test)sites.omroep.nl:
<code>
Host bitbucket.org
	HostkeyAlgorithms +ssh-rsa
	PubkeyAcceptedAlgorithms +ssh-rsa
</code>

Op de atlassian support site staat een mooi artikel met iets meer
[[https://community.atlassian.com/t5/Bitbucket-articles/OpenSSH-8-8-client-incompatibility-and-workaround/ba-p/1826047|uitleg]].

==== Bereikbaarheid ====
Team Hosting&Streaming is gedurende al het onderhoud via de normale
kanalen bereikbaar. Zie de [[:contact|contact pagina]].