utok pres ssh
Stanislav Meduna
stano-cznews na meduna.org
Čtvrtek Leden 17 20:34:08 CET 2002
On Thu, 17 Jan 2002 14:43:57 +0000 (UTC), Pavel Kankovsky wrote:
: A ted jak se pocita session id: vezme se modul serverova host key,
: dale modul server key (klic, ktery si demon generuje za provozu) a jeste
: se prida cookie, coz je hodnota, kterou zasle klient, a z toho celeho se
: udela MD5.
Bezpecnost podobnych cookie je pravda nanajvys taka, ako nahodne
su generovane. Nemam privelku doveru v to, ze nahodnost softwareovych
generatorov je aspon taka, ako pocet bitov pouzivanych klucov...
Nepoznam vnutornosti ssh, takze tym netvrdim nic o odolnosti konkretnej
implementacie.
: Kdyz je nekdo idiot (to zahrnuje jak uzivatele odmackavajici
: bezmyslenkovite to, na co se jich pocitac pta, tak spravce, kteri svevolne
: vymenuji host keys kazdy druhy mesic), tak mu neni pomoci (jedine ve
: specialnich zarizenich pro podobne postizene spoluobcany).
a) Malokto si napr. inou cestou overi spravny key predtym, ako
sa _prvykrat_ logne, a to sa tyka aj skusenych pouzivatelov.
b) Predstava o nutnych bezpecnostnych opatreniach sa moze u spravcu
a pouzivatela velmi podstatne lisit a ten pouzivatel moze danu
hlasku odklepnut s plnym vedomim, co moze znamenat :-(
BTW, keby som bol zly muz v prostriedku, mozno by mi stacilo nachytat
jedneho pouzivatela z tisic... Na to sa casto zabuda - uspesny utok
je aj ten, ktory sa podari statisticky castejsie ako by zodpovedalo
sile sifry, nielen ten ucinny v 100% pripadov.
Zdravi
--
Stano
Další informace o konferenci Linux