Ich habe mir 2021 einen Brother ADS-1700W Dokumentenscanner gekauft um mein Büro endlich papierlos zu bekommen. Das Gerät ist an sich auch sehr gut, was kann man für die knapp 320€ die ich damals bezahlt habe auch erwarten.
Ein Problem gibt es jedoch und das es mich einige Zeit gekostet hat dieses zu finden wollte ich dies hier einmal dokumentieren.
Und zwar kann man bei dem Scanner etliche Netzwerk Geräte als Scan Ziel angeben unter anderem auch einen SFTP Server, ein Dienst der quasi auf jedem Linux Rechner läuft. Das schöne daran: die Übertragung darüber ist um einiges schneller als via SMB und Co und dazu auch noch nach aktuellen Verfahren verschlüsselt. Und da fängt das Problem auch an. Die Einrichtung an sich sich ist schon nicht trivial, ich kann dafür die Anleitung von Philipp Pagel empfehlen, denn man muss schon am output von ssh-keygen rumeditieren damit der Scanner den Schluckt: http://techbotch.org/blog/automated-document-scanner/index.html#automated-document-scanner
Aber selbst mit dem editierten Key bekomme ich keine Verbindung zu meinem Debian 11 Server, was ist also los?
Nach einigem wühlen in den Logs des OpenSSH Server stellte sich heraus das dieser sich dran stört das der Scanner als Kex Exchange Algorithm nur Verfahren mit dem SHA1 Hashverfahren wie etwa diffie-hellman-group1-sha1 unterstützt. Diese sind bei neueren Linux Distributionen aber per default deaktiviert da SHA1 als unsicher gilt. Die Verbindung schlecht also fehl bis man die Legacy Option im SSH Server aktiviert hat.
Diese zu aktivieren ist recht einfach, einfach folgende Zeile an die sshd_config anfügen: KexAlgorithms +diffie-hellman-group14-sha1
Danach kann sich der Dokumentenscanner verbinden.
Sauber ist das natürlich nicht:
- Das Webinterface des Scanners gibt keinen Hinweis darauf warum der Verbindungsaufbau fehl schlägt.
- Das Problem ist nur durch den Administrator des OpenSSH Servers zu diagnostizieren
- Ein Workaround ist wie bereits erwähnt die dementsprechenden Kex Algorithmen per Legacy Option wieder einzuschalten. Das ist erstens unsicher (vorallem bei öffentlichen Verbindungen) und kann auch nur durch den Server Administrator durchgeführt werden.
Die einzige akzeptable Lösung wäre es den SSH Client in der Firmware des ADS-1700W zu updaten damit dieser aktuelle kryptographische Verfahren via SSH/SFTP unterstützt.
Ich habe die Firma Brother am 06.10.22 über das Problem informiert, eine neue Firmware Version gibt es leider immer noch nicht obwohl das Problem wohl weitergeleitet wurde. Da dieses Gerät aber auch bei Behörden etc im Einsatz ist (unser Impfzentrum hat die Geräte zum Beispiel genutzt) wäre es sinnvoll diese Lücke schnell zu schließen.
Danke für deinen Beitrag. Mit Debian 12 ist auch das nicht mehr ausreichend. Ich musste folgendes hinzufügen:
KexAlgorithms +diffie-hellman-group14-sha1
HostKeyAlgorithms +ssh-rsa
PubkeyAcceptedAlgorithms +ssh-rsa