Linux-Bulgaria.ORG

навигация

начало

пощенски списък

архив на групата

По Дата

Re: lug-bg: Re: SSH и man-in-the-middle атаки [Was: lug-bg: OT: Европарламента прие " Голямото подслушване"]

Subject: Re: lug-bg: Re: SSH и man-in-the-middle атаки [Was: lug-bg: OT: Европарламента прие " Голямото подслушване"]
From: Svilen Ivanov <svilen@xxxxxxxxxxxx>
Date: Thu, 15 Dec 2005 18:20:30 +0200
Delivered-to: lug-bg-list@xxxxxxxxxxxxxxxxxx
Delivered-to: lug-bg@xxxxxxxxxxxxxxxxxx
Organization: Netclime Inc.

> > Когато за пръв път правиш ssh към даден хост, нали тогава се осъщесвява
> > обмяна ка ключове? Ако, да - не е ли тривиално да се "уловят" тези
> > ключове и след това да се подслушва/декриптира трафика между тези
> > хостове?
>
> Затова всяко ръководство за ползване на SSH казва, че *преди* този
> първи път трябва да се погрижиш да вземеш ключовете по някакъв друг
> начин, в който си сигурен, така че да не може някой да направи
> man in the middle атака :)  Затова на всички машини, които аз
> администрирам, слагам публичните SSH ключове на уебстраница, така че
> всички да могат да ги видят, и след това ги слагам и в PGP-подписан
> текстов файл, така че хората да са поне донякъде сигурни, че никой
> не си е играл да променя самата уебстраница.  Пример (не точно моите,
> но мястото, откъдето всъщност ми дойде идеята) - проектът FreeBSD,
> http://www.FreeBSD.org/internal/ssh-keys.asc
>
> Но... хм.  Сега като прочетох пак твоето писмо... нали всъщност
> говорим за едно и също нещо?  Нали знаеш, че това, което се обменя и
> първия път, и *всеки следващ път*, са само *публичните* части на
> ключовете, които така и така не е проблем да бъдат показвани на целия
> свят, и че проблемът не е в това да бъдат уловени те, а в това да бъде
> предотвратена man-in-the-middle атака, при която някой не само подслушва,
> а може и да променя информацията при TCP връзката, и може да *подмени*
> тези ключове с нещо свое, след което наистина през него ще премине цялата
> информация в почти чист текстов вид?

Благодаря на всички, които ми отговориха!

От писмото на Петър ми стана ясно че риска при стартиране на SSH с непознат 
SSH сървър е от това, че не може да се гарантира дали получения ключ е 
автентичен и непроменен. Тук на помощ идва проверка на автентичността с PGP.

Писмото на Момчил описва това срещу което Петър вече се е подсигурил :)

От писмото на Владимир ми се изясни какво става при ssh somehost.com (мерси за 
-vvvv опцията!)

Относно:
- lug-bg: OT: Европарламента прие "Голямото подслушване"
  - Изпратено от: Dimitar Tomow <the.real.maniac@xxxxxxxxx>
- Re: lug-bg: OT: Европарламента прие "Голямото подслушване"
  - Изпратено от: Svilen Ivanov <svilen@xxxxxxxxxxxx>
- lug-bg: Re: SSH и man-in-the-middle атаки [Was: lug-bg: OT: Европарламента прие "Голямото подслушване"]
  - Изпратено от: Peter Pentchev <roam@xxxxxxxxxxx>

Предишно по дата: lug-bg: Re: lug-bg: OT: Европарламента прие "Голямото подслушване"
Следващо по дата: Re: lug-bg: OT: Европарламента прие "Голямото подслушване"
Предишно по тема: lug-bg: Re: SSH и man-in-the-middle атаки [Was: lug-bg: OT: Европарламента прие "Голямото подслушване"]
Следващо по тема: Re: lug-bg: OT: Европарламента прие "Голямото подслушване"
Индекс:
- По дата
- По тема

наши приятели

линукс за българи
http://linux-bg.org

FSA-BG
http://fsa-bg.org

OpenFest
http://openfest.org

FreeBSD BG
http://bg-freebsd.org

KDE-BG
http://kde.fsa-bg.org/

Gnome-BG
http://gnome.cult.bg/

проект OpenFMI
http://openfmi.net

NetField Forum
http://netField.ludost.net/forum/

Linux-Bulgaria.ORG