Sichere Dialog- und Dateitransferverbindungen mit Secure Shell

Abhörsichere Verbindungen werden insbesondere von Infoanbietern auf dem zentralen Webserverpark der WWU zur Pflege der dort abgelegten Daten verwendet. Genaue Hinweise für verschiedene Software finden Sie deshalb unter: http://www.uni-muenster.de/ZIV/Technik/WWW/PflegeSSH.html

Der Webserverpark verlangt es, auch andere SSH-Server sollte man mit dieser Methode nutzen: Die Identitätskontrolle erfolgt nicht mehr mit einem Passwort, sondern mit einem kryptographischen Public-Key-Verfahren. Die genaue Vorgehensweise wird ebenfalls auf der genannten Seite beschrieben. Anstelle des Hochladens des eigenen öffentlichen Schlüssels mittels MeinZIV muss bei anderen Servern natürlich ein anderer Weg gefunden werden, der von den Betreibern des jeweiligen Servers vorgegeben wird.

Besonderheiten für seltenere Spezialfälle

Umwandlung X.509-Zertifikat in SSH-Public-Key

Manche Benutzer von Smartcards und eTokens verfügen nach der Erzeugung des Schlüsselpaars nicht über die von SSH benötigte Datei mit dem öffentlichen Schlüssel, sondern nur über ein X.509-Zertifikat im PEM-Format (meist mit der Dateiendung .pem oder .cer). Aus diesem lässt sich auf Linux-Systemen mit folgender Befehlskette eine SSH-Public-Key-Datei erzeugen:

openssl x509 -in CERTFILE -pubkey -noout |
sed -e'1d' -e'$d' |               
pkcs1-conv --public-key-info --base-64 |  
sexp-conv |  
sed -e'1s/(rsa/(rsa-pkcs1-sha1/' |  
sexp-conv -s transport |
lsh-export-key --openssh >SSHFILE

Auf den meisten Linux-Systemen ist es nötig, vor Eingabe dieser Kommandofolge erst die Softwarepakete lsh-utils und nettle-bin nachzuinstallieren. (Diese Befehlsfolge wurde entnommen aus http://www.imsc.res.in/~kapil/blog/floss/converting-keys-2008-05-15-12-14.html)

-- RainerPerske - 2009-11-03