In unserer digitalen Welt spielen sichere Authentifizierungsmethoden eine entscheidende Rolle. SSH ist eine solche Methode, die insbesondere in der IT-Branche weit verbreitet ist. Doch nicht allen ist klar: Die Sicherheit von SSH hängt maßgeblich von der Sicherheit der verwendeten Schlüssel ab. Veraltete Algorithmen und weniger offensichtliche Schwachstellen wie Fermat Faktorisierung oder der Debian OpenSSL Bug können Schlüssel – und damit den gesamten Authentifizierungsvorgang – anfällig machen. Die meisten Nutzer generieren ihre SSH-Schlüssel automatisch mit Tools wie OpenSSL oder PuTTY. Doch diese Tools können Schwachstellen aufweisen, die die generierten Schlüssel unsicher machen – meist ohne, dass die Nutzer es bemerken. Und auch wenn solche Schwachstellen behoben werden, bleiben die unsicheren Schlüssel oft noch lange im Umlauf. Mit dem Tool Badkeys ist es möglich, SSH-Schlüssel automatisch auf bestimmte Probleme zu prüfen. Wir haben das am Beispiel einer GitLab-Instanz ausprobiert und konnten so die Schlüssel aller Nutzer automatisch testen.
