Tak ja si taky zaflamewaruji :-)
TL;DR: odpoved je SSHFP || TOFU || Perspectives, ale neni to bez prace
On 11/29/2012 05:57 PM, Jirka Bourek wrote:
No to si snad děláš srandu. Pochopil bych odpověď "hodilo by se, ale nebyl čas to udělat". Ale odpověď ve stylu "je to zbytečnost"? Vážně?
+1
On 11/29/2012 06:02 AM, Pavel Snajdr wrote:
to muzes pokracovat:
- jak muzes verit, ze v template neni rootkit?
- jak muzes verit, ze cela komunikace se serverem neni zaznamenavana?
Dle tehle logiky se muzeme vratit k telnetu. Duvod vsech techhle "vymyslu" je "layered security".
- do nekonecna
Neni pravda. Cf. model checking, provable security, provable computing (ale drahe jak svin, dela to tak mozna Boeing a NASA, protoze Goedelova veta o neuplnosti neni uplne prejici).
Nejblizsi jednoduche reseni je SSHFP zaznam v DNS (podporovano primo v SSH klientu, mozna nekde bude treba nejaky option zapnout), napr.:
dig +dnssec -t SSHFP perdulce.torproject.org
Druha "workaround" metoda je pouzit pristup Perspectives - podivat se na SSH fingerprinty z ruznych mist/IP po svete (lze treba z runych jinych stroju/VPS nebo pres Tor, viz option ProxyCommand u SSH a NEWNYM v Tor control protocol). Pokud fingerprinty z ruznych mist sedi, je to nejspis v poradku; pokud se lisi, je definitivne problem.
Pristup SSH "do you think this fingerprint is correct" pri prvnim pripojeni navzdory jeho jednoduchosti je dost ucinny (TOFU = trust on first use). Na stejnem principu je tez zalozen HSTS (HTTP Strict Transport Security) a bylo kolem TOFU uz dost flamewaru.
Stejne bych se nikdy neodvazil tvrdit, ze na "protokol X jsem MitM nevidel". Jednak jsem videl a druhak plati "absence of evidence doesn't imply evidence of absence".
OM