OpenSSH + [ PuTTY | SSH2DOS] a min. delka klice (delsi)
Miroslav BENES
mbenes na tenez.cz
Pátek Září 26 13:55:50 CEST 2003
> Teoreticka minimalni delka je rekneme 3 bity, protoze nejmensi
> modul je za predpokladu, ze to ma byt soucin dvou ruznych prvocisel,
> roven prave 2*3 = 6 = 110 binarne.
Aha :)
Ja spis chtel vedet minimum ktere jsou aplikace schopne
akceptovat (za pouziti velmi mirnych donucovacich prostredku).
> Ale to uz to rovnou muzete
> "sifrovat" pomoci rot13. :)
??
Mozna jsem mimo, ale domnival jsem se, ze pro prihlasovani "bez
hesla" se pouziva dvojice klicu (s prazdnou passphrase) a ze se
tyto klice pouziji jen pro overeni prav a navazani spojeni a
samotne prenosy dat uz se resi jinak.
Nebo se pletu ?
> Selze to nekde v hlubinach OpenSSL, konkretne v RSA_verify. ...
>
> Jde o to, ze z klienta prijde neco divneho, co nema dostatecny padding
> (v PKCS#1, ta hlaska od ssh_rsa_verify je neco trochu jineho).
OK, takze zda se ze niz nez na (overenych) 512b asi jit nemuzu.
> Tak tady je myslim hlavni problem ten, ze ten dosovy klient je
> zmrveny a pada na drzku.
Nerekl bych - mam vyzkouseno pro klice 512 a 1024 slape jak
vino. Ale mozna ze pro tak kratke klice tam nastane chybovy stav
ktery neni osetreny ..
> > Byla by rychlejsi odezva pri navazovani spojeni pomoci SSH1 ?
>
> Zkuste to.
No nakonec se mi i tohle povedlo, ale musel jsem po delsim
badani zmenit poradi na "Protocol 1,2", protoze v opacnem poradi
se to spojeni nikdy nenavazalo ..
Sice nechodi SSH2DOS (32-bit), ktery porad chce spojeni pres
protokol SSH2 (a nevim jak mu vnutit SSH1), ale zase bezi klient
SSHDOS (16-bit).
Rychlost odezvy je vyrazne vyssi (hruby odhad) - pro klice o
delce 512b je odezva z klienta DOS 6.22 na 386/40MHz :
SSH1 pomoci SSHDOS cca 6 s
SSH2 pomoci SSH2DOS cca 15 sec
No je to lepsi nez dratem do oka. Akorat by to chtelo jeste
zlepsit odezvy za normalniho provozu, kdy se obrazovka
prekreslovala rychleji :-\
# a neslo by pouzivat nekryptovane rsh misto ssh?
Nevim. Mozna by to slo, akorat nevim jak.
Pro pristup z Win stanic neni problem - muzu nasadit Putty. Ale
potrebuju pristupovat i z DOSovych stanic a pro DOS a TCP/IP
jsem dokazal akorat tak nad knihovou WatTCP sestavit TEL386
(Telnet klient), SSHDOS a SSH2DOS (16 a 32b SSH klienti) a PING.
S tim moc zazraku nenadelam.
Navic Telnet protokol (aspon pokud je mi znamo) neumozni
prihlaseni bez zadani hesla a nemuzu nijak zjistit kdo se
vlastne prihlasuje. Pritom u protokolu SSH mam moznost vycist IP
adresu z promenne SSH_CLIENT -> z ni zjistim MAC -> ...
Zatim se mi jako jedina pouzitelna cesta jak se pripojit z DOSu
na linuxovy server zda byt nasazeni SSH(2)DOS. Jestli mate nekdo
nejaky lepsi napad, budu vam vdecny.
Dekuji zucastnenym za jejich prispevky a tesim se na pripadne
dalsi reakce.
--------------------------
Miroslav BENES
E-mail : mbenes na tenez.cz
TENEZ Chotebor, a.s
--------------------------
Další informace o konferenci Linux