OpenSSH + [ PuTTY | SSH2DOS] a min. delka klice (delsi)

Miroslav BENES mbenes na tenez.cz
Pátek Září 26 13:55:50 CEST 2003


> Teoreticka minimalni delka je rekneme 3 bity, protoze nejmensi
> modul je za predpokladu, ze to ma byt soucin dvou ruznych prvocisel,
> roven prave 2*3 = 6 = 110 binarne.

Aha :)
Ja spis chtel vedet minimum ktere jsou aplikace schopne 
akceptovat (za pouziti velmi mirnych donucovacich prostredku).


> Ale to uz to rovnou muzete
> "sifrovat" pomoci rot13. :)

??

Mozna jsem mimo, ale domnival jsem se, ze pro prihlasovani "bez 
hesla" se pouziva dvojice klicu (s prazdnou passphrase) a ze se 
tyto klice pouziji jen pro overeni prav a navazani spojeni a 
samotne prenosy dat uz se resi jinak.
Nebo se pletu ?


> Selze to nekde v hlubinach OpenSSL, konkretne v RSA_verify. ...
> 
> Jde o to, ze z klienta prijde neco divneho, co nema dostatecny padding
> (v PKCS#1, ta hlaska od ssh_rsa_verify je neco trochu jineho). 

OK, takze zda se ze niz nez na (overenych) 512b asi jit nemuzu.


> Tak tady je myslim hlavni problem ten, ze ten dosovy klient je
> zmrveny a pada na drzku.

Nerekl bych - mam vyzkouseno pro klice 512 a 1024 slape jak 
vino. Ale mozna ze pro tak kratke klice tam nastane chybovy stav 
ktery neni osetreny ..


> > Byla by rychlejsi odezva pri navazovani spojeni pomoci SSH1 ?
> 
> Zkuste to.

No nakonec se mi i tohle povedlo, ale musel jsem  po delsim 
badani zmenit poradi na "Protocol 1,2", protoze v opacnem poradi 
se to spojeni nikdy nenavazalo ..

Sice nechodi SSH2DOS (32-bit), ktery porad chce spojeni pres 
protokol SSH2 (a nevim jak mu vnutit SSH1), ale zase bezi klient 
SSHDOS (16-bit).
Rychlost odezvy je vyrazne vyssi (hruby odhad) - pro klice o 
delce 512b je odezva z klienta DOS 6.22 na 386/40MHz  :

SSH1 pomoci SSHDOS		cca 6 s
SSH2 pomoci SSH2DOS		cca 15 sec

No je to lepsi nez dratem do oka. Akorat by to chtelo jeste 
zlepsit odezvy za normalniho provozu, kdy se obrazovka 
prekreslovala rychleji :-\



# a neslo by pouzivat nekryptovane rsh misto ssh?

Nevim. Mozna by to slo, akorat nevim jak.

Pro pristup z Win stanic neni problem - muzu nasadit Putty. Ale 
potrebuju pristupovat i z DOSovych stanic a pro DOS a TCP/IP 
jsem dokazal akorat tak nad knihovou WatTCP sestavit TEL386 
(Telnet klient), SSHDOS a SSH2DOS (16 a 32b SSH klienti) a PING.
S tim moc zazraku nenadelam.

Navic Telnet protokol (aspon pokud je mi znamo) neumozni 
prihlaseni bez zadani hesla a nemuzu nijak zjistit kdo se 
vlastne prihlasuje. Pritom u protokolu SSH mam moznost vycist IP 
adresu z promenne SSH_CLIENT -> z ni zjistim MAC -> ...

Zatim se mi jako jedina pouzitelna cesta jak se pripojit z DOSu 
na linuxovy server zda byt nasazeni SSH(2)DOS. Jestli mate nekdo 
nejaky lepsi napad, budu vam vdecny.



Dekuji zucastnenym za jejich prispevky a tesim se na pripadne 
dalsi reakce.



--------------------------
Miroslav BENES
E-mail   : mbenes na tenez.cz
TENEZ Chotebor, a.s
--------------------------



Další informace o konferenci Linux