[vpsFree.cz: community-list] SSH - key fingerprints

Ondrej Mikle ondrej.mikle at gmail.com
Thu Nov 29 19:22:15 CET 2012


Tak ja si taky zaflamewaruji :-)

TL;DR: odpoved je SSHFP || TOFU || Perspectives, ale neni to bez prace

On 11/29/2012 05:57 PM, Jirka Bourek wrote:
> No to si snad děláš srandu. Pochopil bych odpověď "hodilo by se, ale
> nebyl čas to udělat". Ale odpověď ve stylu "je to zbytečnost"? Vážně?

+1

On 11/29/2012 06:02 AM, Pavel Snajdr wrote:

> to muzes pokracovat:
>
> 1. jak muzes verit, ze v template neni rootkit?
> 2. jak muzes verit, ze cela komunikace se serverem neni zaznamenavana?

Dle tehle logiky se muzeme vratit k telnetu. Duvod vsech techhle 
"vymyslu" je "layered security".

> 3. do nekonecna

Neni pravda. Cf. model checking, provable security, provable computing 
(ale drahe jak svin, dela to tak mozna Boeing a NASA, protoze Goedelova 
veta o neuplnosti neni uplne prejici).


Nejblizsi jednoduche reseni je SSHFP zaznam v DNS (podporovano primo v 
SSH klientu, mozna nekde bude treba nejaky option zapnout), napr.:

dig +dnssec -t SSHFP perdulce.torproject.org


Druha "workaround" metoda je pouzit pristup Perspectives - podivat se na 
SSH fingerprinty z ruznych mist/IP po svete (lze treba z runych jinych 
stroju/VPS nebo pres Tor, viz option ProxyCommand u SSH a NEWNYM v Tor 
control protocol).
Pokud fingerprinty z ruznych mist sedi, je to nejspis v poradku; pokud 
se lisi, je definitivne problem.


Pristup SSH "do you think this fingerprint is correct" pri prvnim 
pripojeni navzdory jeho jednoduchosti je dost ucinny (TOFU = trust on 
first use). Na stejnem principu je tez zalozen HSTS (HTTP Strict 
Transport Security) a bylo kolem TOFU uz dost flamewaru.

Stejne bych se nikdy neodvazil tvrdit, ze na "protokol X jsem MitM 
nevidel". Jednak jsem videl a druhak plati "absence of evidence doesn't 
imply evidence of absence".

OM



More information about the Community-list mailing list