29 Nov
2012
29 Nov
'12
6:22 p.m.
Tak ja si taky zaflamewaruji :-)
TL;DR: odpoved je SSHFP || TOFU || Perspectives, ale neni to bez prace
On 11/29/2012 05:57 PM, Jirka Bourek wrote:
No to si snad děláš srandu. Pochopil bych odpověď
"hodilo by se, ale
nebyl čas to udělat". Ale odpověď ve stylu "je to zbytečnost"? Vážně?
+1
On 11/29/2012 06:02 AM, Pavel Snajdr wrote:
to muzes pokracovat:
1. jak muzes verit, ze v template neni rootkit?
2. jak muzes verit, ze cela komunikace se serverem neni zaznamenavana?
Dle tehle logiky se muzeme vratit k telnetu. Duvod vsech techhle
"vymyslu" je "layered security".
3. do nekonecna
Neni pravda. Cf. model checking, provable security, provable computing
(ale drahe jak svin, dela to tak mozna Boeing a NASA, protoze Goedelova
veta o neuplnosti neni uplne prejici).
Nejblizsi jednoduche reseni je SSHFP zaznam v DNS (podporovano primo v
SSH klientu, mozna nekde bude treba nejaky option zapnout), napr.:
dig +dnssec -t SSHFP perdulce.torproject.org
Druha "workaround" metoda je pouzit pristup Perspectives - podivat se na
SSH fingerprinty z ruznych mist/IP po svete (lze treba z runych jinych
stroju/VPS nebo pres Tor, viz option ProxyCommand u SSH a NEWNYM v Tor
control protocol).
Pokud fingerprinty z ruznych mist sedi, je to nejspis v poradku; pokud
se lisi, je definitivne problem.
Pristup SSH "do you think this fingerprint is correct" pri prvnim
pripojeni navzdory jeho jednoduchosti je dost ucinny (TOFU = trust on
first use). Na stejnem principu je tez zalozen HSTS (HTTP Strict
Transport Security) a bylo kolem TOFU uz dost flamewaru.
Stejne bych se nikdy neodvazil tvrdit, ze na "protokol X jsem MitM
nevidel". Jednak jsem videl a druhak plati "absence of evidence doesn't
imply evidence of absence".
OM