SFTP: libssh2_userauth_publickey_fromfile: PUBLICKEY_UNVERIFIED (19)

German support forum

Moderators: sheep, Hacker, Stefan2, white

AndreasWittig
Junior Member
Junior Member
Posts: 11
Joined: 2020-06-04, 20:44 UTC

SFTP: libssh2_userauth_publickey_fromfile: PUBLICKEY_UNVERIFIED (19)

Post by *AndreasWittig »

Neuerdings erhalten ich vom SFTP-Plugin 2.70 diesen Verbindungsfehler:

Code: Select all

...
Unterstützte Authentifizierungsmethoden: publickey
Auth via public key for user: 4f8dcc72-BB
libssh2_userauth_publickey_fromfile: PUBLICKEY_UNVERIFIED (19)
Fehler: Authentifizierung via Benutzerzertifikat fehlgeschlagen!
Die identische Verbindung funktioniert via WinSCP. Die Keys sind mit PuttyGen gemäß Anleitung nach OpenSSH konvertiert und in die SFTP-Konfig eingetragen.
Die Verbindung hatte schon mal mit TotalCommander-SFTP geklappt - allerdings hatten sich seitdem mehrere Dinge gleichzeitig geändert: Update auf Windows 2004, Update SFTP-Plugin und Einsatz des Google-Authenticators remote-seitig. Der Authenticator ist allerdings ausgeschaltet für diesen User (mit WinSCP klappt die Verbindung)

Meine Hauptfrage: was bedeutet "libssh2_userauth_publickey_fromfile: PUBLICKEY_UNVERIFIED (19)" ?
Ich habe root-Rechte auf der Serve-Seite - habe aber auch da keine Idee mehr, was ich dort evtl zusätzlich konfigurieren sollte.
Ich konnte keine Hinweise auf eine Lösung finden.

Danke für euer tolles Produkt.

User avatar
ghisler(Author)
Site Admin
Site Admin
Posts: 39712
Joined: 2003-02-04, 09:46 UTC
Location: Switzerland
Contact:

Re: SFTP: libssh2_userauth_publickey_fromfile: PUBLICKEY_UNVERIFIED (19)

Post by *ghisler(Author) »

Die Authentifizierung findet bei Ihnen per Client-Zertifikat statt (publickey). Diese Authentifizierung schlägt fehl.

Einige User hatten Probleme mit Version 2.70 des Plugin, können Sie es mit Version 2.50 versuchen:
https://www.totalcommander.ch/win/fs/sftpplug250.zip
bzw.
https://www.totalcommander.ch/win/fs/sftpplug250xp.zip
Author of Total Commander
http://www.ghisler.com

AndreasWittig
Junior Member
Junior Member
Posts: 11
Joined: 2020-06-04, 20:44 UTC

Re: SFTP: libssh2_userauth_publickey_fromfile: PUBLICKEY_UNVERIFIED (19)

Post by *AndreasWittig »

a) ne - hat leider nicht geholfen (Plugin v2.50, zugehörige separate SSH-Dlls). Fehler unverändert.
b) parallel bin ich dem Verdacht nachgegangen, das CR/LF (Windows) bzw LF (Linux) in PEM- oder PUB-Datei eine Rolle spielen könnte. Leider auch nicht.

User avatar
ghisler(Author)
Site Admin
Site Admin
Posts: 39712
Joined: 2003-02-04, 09:46 UTC
Location: Switzerland
Contact:

Re: SFTP: libssh2_userauth_publickey_fromfile: PUBLICKEY_UNVERIFIED (19)

Post by *ghisler(Author) »

Könnten Sie beide Plugins versuchen, das normale und das eigentlich für XP gedachte, welches die OpenSSL-DLLs verwendet?

Die beiden unterstützen unterschiedliche Verschlüsselungsverfahren. Vielleicht fehlt eines für Ihren Server.
Author of Total Commander
http://www.ghisler.com

AndreasWittig
Junior Member
Junior Member
Posts: 11
Joined: 2020-06-04, 20:44 UTC

Re: SFTP: libssh2_userauth_publickey_fromfile: PUBLICKEY_UNVERIFIED (19)

Post by *AndreasWittig »

Danke für die Antworten. Es bleibt bei dem Fehler unabhängig von der Version des SFTP-Plugins:
a) sftpplug250
b) sftpplug250xp
c) sftpplug270

Code: Select all

Unterstützte Authentifizierungsmethoden: publickey
Auth via public key for user: 4f8dcc72-BB
libssh2_userauth_publickey_fromfile: PUBLICKEY_UNVERIFIED (19)
Fehler: Authentifizierung via Benutzerzertifikat fehlgeschlagen!
Schade ist, dass WinSCP eine Verbindung hinbekommt. Die korrekte Verbindung kann ich in /var/log/auth.log nachvollziehen.
Via SFTPPLUG erhalte ich nur

Code: Select all

Received disconnect from xx.yyy.zz.24 port 37802:11: Shutdown [preauth]
Disconnected from xx.yyy.zz.24 port 37802 [preauth]
Ich habe die Vermutung, dass evtl die SSH-Version (OpenSSH_7.2p2, OpenSSL 1.0.2g) eine Rolle spielen könnte. Diese kann ich allerdings nicht ohne Risiko wechseln.

User avatar
Horst.Epp
Power Member
Power Member
Posts: 3758
Joined: 2003-02-06, 17:36 UTC
Location: Germany

Re: SFTP: libssh2_userauth_publickey_fromfile: PUBLICKEY_UNVERIFIED (19)

Post by *Horst.Epp »

AndreasWittig wrote:
2020-06-11, 16:43 UTC
...
Ich habe die Vermutung, dass evtl die SSH-Version (OpenSSH_7.2p2, OpenSSL 1.0.2g) eine Rolle spielen könnte. Diese kann ich allerdings nicht ohne Risiko wechseln.
Wo ist da ein Risiko ?
Die OpenSSL Files sind doch nur im TC zu ändern und da in wenigen Mausklicks wieder auf dem alten Stand.
Windows 10 Home x64 May 2020 Update, Version 2004 (OS Build 19041.331)
Intel(R) Core(TM) i7-4770 CPU @ 3.40GH, 16GB RAM
TC 9.51 x64 / x86, Everything 1.4.1.984 (x64)

AndreasWittig
Junior Member
Junior Member
Posts: 11
Joined: 2020-06-04, 20:44 UTC

Re: SFTP: libssh2_userauth_publickey_fromfile: PUBLICKEY_UNVERIFIED (19)

Post by *AndreasWittig »

Das ist die SSL-Version der Serverseite. Gegen den Server verbinden sich auch Kunden per sftp

User avatar
ghisler(Author)
Site Admin
Site Admin
Posts: 39712
Joined: 2003-02-04, 09:46 UTC
Location: Switzerland
Contact:

Re: SFTP: libssh2_userauth_publickey_fromfile: PUBLICKEY_UNVERIFIED (19)

Post by *ghisler(Author) »

Können Sie bitte erst ermitteln, ob die Keys überhaupt unterstützt werden?
1. Der private Schlüssel sollte mit
-----BEGIN OPENSSH PRIVATE KEY-----
oder
-----BEGIN RSA PRIVATE KEY-----
oder
-----BEGIN DSA PRIVATE KEY-----
oder
-----BEGIN EC PRIVATE KEY-----
beginnen.
2. Der öffentliche Schlüssel sollte mit ssh-rsa, ecdsa-sha2-nistp521 o.ä. beginnen. Womit beginnt Ihr Schlüssel?
Author of Total Commander
http://www.ghisler.com

AndreasWittig
Junior Member
Junior Member
Posts: 11
Joined: 2020-06-04, 20:44 UTC

Re: SFTP: libssh2_userauth_publickey_fromfile: PUBLICKEY_UNVERIFIED (19)

Post by *AndreasWittig »

4f8dcc72-BB-op.pem

Code: Select all

-----BEGIN OPENSSH PRIVATE KEY-----
b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAACFwAAAAdz
...
AgMEBQYH
-----END OPENSSH PRIVATE KEY-----
4f8dcc72-BB2.pub

Code: Select all

ssh-rsa AAAAB3NzaC1yc2EA ... STw== imported-openssh-key

User avatar
ghisler(Author)
Site Admin
Site Admin
Posts: 39712
Joined: 2003-02-04, 09:46 UTC
Location: Switzerland
Contact:

Re: SFTP: libssh2_userauth_publickey_fromfile: PUBLICKEY_UNVERIFIED (19)

Post by *ghisler(Author) »

Doch, damit sollte es gehen, zumindest hier funktioniert es zu einem Raspberry PI mit einem solchen Schlüssel.

Falls der private Schlüssel verschlüsselt ist, haben Sie vielleicht ein falsches Passwort eingetragen?
Author of Total Commander
http://www.ghisler.com

AndreasWittig
Junior Member
Junior Member
Posts: 11
Joined: 2020-06-04, 20:44 UTC

Re: SFTP: libssh2_userauth_publickey_fromfile: PUBLICKEY_UNVERIFIED (19)

Post by *AndreasWittig »

ich habe den identischen privaten Schlüssel (*.pem) mit und ohne Passphrase. Der Fehler tritt identisch auf. Wird der Schlüssel ohne Passphrase verwendet, erscheint auch kein Dialog zu dessen Abfrage - d.h. die privaten Schlüssel werden lokal korrekt geladen.

Ich habe umgekehrt versucht, Putty so zu konfigurieren, dass der identische Fehler dort ebenfalls auftritt. Ist mir nicht gelungen. Putty protokolliert diese Server-Parameter

Protocol
https://drive.google.com/file/d/13n8KRv4zWjDCLmQFIhIU1l_ssfRziTal


Properties
https://drive.google.com/file/d/1UGjxbToS8nWlkVZRTZG78z-b17c1repb

User avatar
ghisler(Author)
Site Admin
Site Admin
Posts: 39712
Joined: 2003-02-04, 09:46 UTC
Location: Switzerland
Contact:

Re: SFTP: libssh2_userauth_publickey_fromfile: PUBLICKEY_UNVERIFIED (19)

Post by *ghisler(Author) »

Mir fallen 2 Dinge auf:
1. Verschlüsselungsalgorithmus AES-256 SDCTR ist mir nicht bekannt, ich kenne nur AES-256 CTR. Die Methode SDCTR kann die DLL nicht. Vielleicht liegt es daran?
2. ecdsa-sha2-nistp-256 sollte im Prinzip unterstützt werden. Aber wieso ist der key dann ssh-rsa und nicht ssh-ecdsa-nistp-256?
Author of Total Commander
http://www.ghisler.com

AndreasWittig
Junior Member
Junior Member
Posts: 11
Joined: 2020-06-04, 20:44 UTC

Re: SFTP: libssh2_userauth_publickey_fromfile: PUBLICKEY_UNVERIFIED (19)

Post by *AndreasWittig »

Danke für die schnelle Info. Ich bin diese ganze Woche OFF im Schwarzwald. Nächste Woche schaue ich mal nach. Vielen Dank!

AndreasWittig
Junior Member
Junior Member
Posts: 11
Joined: 2020-06-04, 20:44 UTC

Re: SFTP: libssh2_userauth_publickey_fromfile: PUBLICKEY_UNVERIFIED (19)

Post by *AndreasWittig »

Hallo Hr.Ghisler,
ich bin ein kleine Stück weitergekommen: Übeltäter ist die Google-2-FA Authentifizierung.
Auf dem Server (Debian/Ubuntu) ist 2FA out-of-the-box installiert: https://www.thomas-krenn.com/de/wiki/SSH-Login_mit_2-Faktor-Authentifizierung_absichern

Die entsprechende serverseitige SSH-Konfiguration bringt zusätzlich zum 'publickey' folgende Ergänzungen in die Standard-Authorisierung via /etc/ssh/sshd_config ein:

Code: Select all

  ChallengeResponseAuthentication yes
  AuthenticationMethods publickey,keyboard-interactive
Mit "keyboard-interactive" kommt die DLL nicht klar. Damit wird ein zusätzlicher Prompt für den 2.Faktor generiert.
Einfaches hin-her schalten dieser Einträge (also Ausschalten der 2FA) führt dazu, dass das sFTP-Plugin geht bzw nicht geht. WinSCP kommt erstaunlicherweise mit jeder dieser Konstellation zurecht.

Soweit ich das übersehe ist das eher ein "missing feature" und kein Bug der betroffenen Komponenten?
Langfristig wird man an dieser Baustelle voraussichtlich nicht vorbeikommen.
Sofern Sie daran etwas machen können oder wollen, liefere ich gern weitere Infos zum Server, ggfs sogar einen Test-Account. Zu deren Austausch müssten Sie mir dann einen gesonderten Kommunikationskanal mitteilen. Kann man sich natürlich auch schnell im Docker selbst aufsetzen.

Vielen Dank mal bis hierher,
Andreas Wittig

User avatar
ghisler(Author)
Site Admin
Site Admin
Posts: 39712
Joined: 2003-02-04, 09:46 UTC
Location: Switzerland
Contact:

Re: SFTP: libssh2_userauth_publickey_fromfile: PUBLICKEY_UNVERIFIED (19)

Post by *ghisler(Author) »

Das Plugin kann derzeit leider nicht 2 separate Authentifizierungsmethoden gleichzeitig verwenden. Wenn Sie nur keyboard-interactive verwenden, dann kann das Plugin erst nach dem Passwort fragen und danach nach dem zweiten Faktor. Wie genau man publickey und zweiten Faktor kombiniert konnte ich leider nicht herausfinden.
Author of Total Commander
http://www.ghisler.com

Post Reply