@MSGID: <5ac9ee4c08bob@sick-of-spam.invalid>
c7142098
@REPLY: 1@dont-email.me> 307345f7
@REPLYADDR Bob Latham <bob@sick-of-spam.invalid>
@REPLYTO 2:5075/128 Bob Latham
@CHRS: CP866 2
@RFC: 1 0
@RFC-Message-ID:
<5ac9ee4c08bob@sick-of-spam.invalid>
@RFC-References: <5ac99d449fbob@sick-of-spam.invalid>
1@dont-email.me>
@TZUTC: 0100
@PID: NewsHound/v1.53-32 RC1
@TID: FIDOGATE-5.12-ge4e8b94
In article 1@dont-email.me>,
   druck <news@druck.org.uk> wrote:
> On 25/07/2023 18:43, Bob Latham wrote:
> > RISCOS 5.29
> > Nettle v0.2043b
> > Raspberry pi:  Raspberry Pi OS lite
> > 
> > I have several raspberry pi devices running the standard OS not
> > RISCOS. Using Putty.exe on a PC I can SSH into the pi just fine but I
> > can`t manage this with Nettle.
> > 
> > In Nettle I get this error..
> > 
> > Nettle: SSH connection failed in step 0: Unable to exchange
> > encryption keys.

> There`s two ways around this, the first and best is to get hold of
> a more recent version of the command line ssh port for RISC OS,
> which supports modern key exchange types. There is one out there
> somewhere as I`m using it.

I`ve done a comprehensive search for this but all links seem to be
dead. :-(

> The other alternative is to check which key exchange mechanisms
> your version is offering using the -vv option, then make an
> exception on the Linux machine to support this old method -
> luckily you can make it specific to your RISC OS machine(s) IP
> address, so you aren`t opening up a massive vulnerability to
> everyone.

> I can provide more details if pressed.

Well unfortunately this seems to be my only option. So would you
supply more details please?

I`ve no idea where to enter the -vv command and experimenting has
only given embarrassing results. So info on that please and how to
modify my Pi devices please.

As regards security, I have no WAN port open or forwarded on my
router so no entry that way. Router is an Asus AC68U running the
latest Merlin Firmware. My synology NAS boxes are not exposed except
in regard of checking home for updates. you cannot see them
externally. 

I think my biggest vulnerability is ironically from an external
security camera system which does maintain an outgoing connection to
base such that I can see what`s happening on my cameras from
anywhere. No alternative that I know of, if I want the functionality.
    

> > However, I can use Nettle to access my Synology NAS and that
> > works fine.

> It probably supports all the old cypher suites which everyone else
> considers too risky to use, and SMBv1 too. 

Yes, I have SMB1 still switched on for obvious reasons. Being able to
connect to my NAS is essential and there is still no SMB2/3 client
for RISCOS, This is by far the most likely reason I`ll be forced to
finally drop RISCOS. 

> When was the last time the firmware was updated? 

On the latest version of DSM6. DSM 7 does not support the app
BubbleUPnPServer and so is of much less use to me.

> Although even then they more likely to leave old stuff enabled than
> to break anything customers might still be using.

Probably so yes. I`ve looked at DSM 7 and found it still allows you
to switch on SMB1 but it is off by default. After trying it I had the
fun of reverting to DSM6 but managed it.

Thank you for your help.

Bob.

--- NewsHound/v1.53-32 RC1
 * Origin: None (2:5075/128)
SEEN-BY: 5001/100 5005/49 5015/255 5019/40 5020/715
848 1042 4441 12000
SEEN-BY: 5030/49 1081 5075/128
@PATH: 5075/128 5020/1042 4441