# openssh warning: agent returned different signature..

## ChrisJumper

Hallo,

seit dem Update auf openssh 7.7 kommt bei jeder SSH Verbindung zu einem anderen Rechner:

```
$ ssh user@host.domain 

warning: agent returned different signature type ssh-rsa (expected rsa-sha2-512)
```

Eine kurze Nachforschung ergab: Das dieses Problem auftritt wenn der Client nicht ssh-agent nutzt zum Aufbau einer ssh Verbindung, sondern den gpg-agent. Weil dieser wohl signaturen nicht sauber auswertet (gpg-agent's ssh-agent does not handle flags in signing requests properly).

Aktuell verwende ich noch app-crypt/gnupg und da hat 2.2.8 wohl das Problem noch. Der Fix kommt wohl mit dem nächsten Update.

Mich hat es beunruhigt und ich hab die Keys neu erzeugt weil ich dachte die sind nicht ordentlich signiert, auf die anderen Systeme kopiert und veraltete Keys aus meinem Client ssh-agent geworfen.

Der Witz an der Sache ist aber folgender: Ich hab hier keinen gpg-agent am laufen. nur gnome-keyring. Ich denke das funktioniert ähnlich.

Aber wieso spielt gnome-keyring eine Rolle wenn ich von einem Terminal den ssh-Befehl absetze?****

Weder auf dem Zielsystem  wo ich mich über den sshd einlogge, läuft nur sshd und kein ssh-agent oder gpg-agent. Auf meinem Gnome-Desktop dessen Terminal die Fehlermeldung nach dem Login wohl anzeigt, läuft ein ssh-agent als auch gnome-keyring.

Wie kann ich den Key signieren?

```
$ $ ssh-add -l
```

Zeigt mir die Keys an, veraltete hab ich auch schon rausgeworfen.

Edit: Hier noch mal eine genauere Beschreibung der Warung:

```
 Warn when the agent returns a ssh-rsa (SHA1) signature when

a rsa-sha2-256/512 signature was requested. This condition is possible

when an old or non-OpenSSH agent is in use. bz#279
```

Und ein paar Links, aus meiner Suche nach einer Lösung.

https://bugzilla.mindrot.org/show_bug.cgi?id=2799

https://bugzilla.gnome.org/show_bug.cgi?id=775981

***Es sieht wohl so aus, als startet der gnome-keyring einen Wrapper für den ssh-agent. Der Fix der gnome-keyring Entwickler ist jetzt wohl nicht mehr diesen Wrapper zu verwenden sondern den ssh-agent von openssh.

----------

