utok pres ssh

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Čtvrtek Leden 17 15:43:35 CET 2002 

On Thu, 17 Jan 2002, Pavol Luptak wrote:

> Pokym sa nemylim, SSH1 mal cez MITM kompromitovatelnu public-key 
> autentifikaciu,

Podivejme se na to, jak funguje RSA autentizace (uzivatelova) v SSH1:

1. klient posle svuj verejny klic
2. server vygeneruje nahodnou vyzvu a zasifruje ho verejnym klicem
3. klient vyzvu rozsifruje svym privatnim klicem, prida session id (!)
   a vypocita z toho MD5
4. server overi, ze prijata hodnota je MD5 z vyzvy a session id

Cili je zjevne, ze "muz uprostred" (dale jen mitm) muze uspesne predstirat
serveru, ze je klient, pouze v pripade, ze 1. jeho spojeni se serverem i
skutecnym klientem maji stejna session id, 2. zlomi RSA nebo MD5.

A ted jak se pocita session id: vezme se modul serverova host key,
dale modul server key (klic, ktery si demon generuje za provozu) a jeste
se prida cookie, coz je hodnota, kterou zasle klient, a z toho celeho se
udela MD5.

Vzhledem k tomu, ze nelze provest inicialni vymenu klicu, aniz by server
(skutecny, nebo mitm) znal privatni klice k verejnym host a server key,
ktere inzeruje, tak se opet jevi, ze dosahnout stejneho session id pro obe
spojeni muze mitm pouze v pripade, ze zlomi RSA a/nebo MD5.

Ergo se zda, ze mitm neni prakticky schopen provest uspesne RSA
autentizaci.

Pokud je tomu jinak, rad se poucim.

> Pouzivatel sice bude informovany o zmene kluca (warning ssh klienta), 
> 50% neskusenych aj skusenych pouzivatelov to ale odklepne
> (v domneni, ze cielovy server bol napriklad reinstalovany a
> administrator vygeneroval nove kluce)...

Kdyz je nekdo idiot (to zahrnuje jak uzivatele odmackavajici
bezmyslenkovite to, na co se jich pocitac pta, tak spravce, kteri svevolne
vymenuji host keys kazdy druhy mesic), tak mu neni pomoci (jedine ve
specialnich zarizenich pro podobne postizene spoluobcany).

To je proste argument typu "vas dum neni bezpecny, protoze ho lze vykrast,
kdyz nechate odemcene dvere". <flame> Ale u ICZ je zvykem desit lidi
podobnymi nesmysly, ze ano (viz kauzu OpenPGP). </flame>

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."

Další informace o konferenci Linux