[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Schwache SSH-Keys und authorized_keys
[Thread Prev] | [Thread Next]
- Subject: Re: Schwache SSH-Keys und authorized_keys
- From: Martin Hettich <kujaku@xxxxxxxxxxxxxxxxxxxxxxxxxxxx>
- Date: Thu, 15 May 2008 22:47:59 +0200
- To: uugrn@xxxxxxxxxxxxxxx
Moin, On Thu, May 15, 2008 at 08:56:45PM +0200, Markus Hochholdinger wrote: > Hi, > > Am Donnerstag, 15. Mai 2008 19:51 schrieb Timo Zimmermann: > > Raphael Becker schrieb: > > | Wer automatisiert SSH-Logins auf ein UUGRN-System durchfuehrt und > > | annehmen muss, dass in seinem authorized_keys File auch "betroffene" > > | Public-Keys abgelegt sein koennten, sollte dies ueberpruefen und ggf > > | reparieren. > > Kleine Randnotiz: > > man sollte sich ebenfalls ueberlegen Passwoerter die darueber uebertragen > > wurden zu erneuern. Nicht nur Passwoerter, sondern alle darueber uebertragenen "sensitiven" Daten sind praktisch in Gefahr gecrackt zu werden. > ganz paranoid muesste man jeden Server der solche schwachen Schluessel aktiv > hat(te) als kompromitiert ansehen als auch jeden Server der mit solchen > kompromitierten Servern ueber schwache Schluessel wichtige Informationen > Uebertragen hat (wie z.B. Passwoerter). So "ganz paranoid" ist das leider nicht. > Ich denke aber kaum dass jetzt jeder hergeht und einen vollen Security Audit > ueber alle seine Server loslaesst. > > Eigentlich bleibt nur zu hoffen das es bis jetzt keinen (unbekannten) Exploit > gibt. Und wie es ausschaut wird es nichtmehr lange dauern bis Exploits > oeffentlich verfuegbar sind! Exakt. Und sehr wahrscheinlich gibts dann auch immernoch Festplatten voller aufgezeichneter Kommunikation, die dann ploetzlich sehr gut lesbar und verwertbar wird. Die Staatsanwaltschaft/Mafia/RIAA/etc. werden sich schon die Haendchen reiben. > PS: Die letzten zwei Tage waren sehr anstrengend und seit gestern Abend haben > alle von mir betreuten Server keine schwachen Schluessel mehr als auch keine > schwachen Schluessel in irgendwelchen authorized_keys. Gut dass es Raphael > hier angesprochen hat, dieses Problem betrifft alle Server, nicht nur Debian > Server! Da Schluessel von Debian Server auf andere kopiert worden sein > konnten. > > PPS: In 20 Minuten kann man anhand eines schwachen public keys schon den > private key ermitteln: > http://www.securityfocus.com/archive/1/492112/30/0/threaded 20 Minuten? Ha, lahme Kiste. Aber echt egal, sobald die Crackzeit etwa < 7 Tage ist lohnt sich cracken fuer Jedermann. Schoene neue Welt.. *crack* *crack* gut das die neuen Luefter schoen leise sind... Hmmm, kann z.B. GnuTLS die notwendigen Funktionen von OpenSSL ersetzen? Der GnuTLS source code scheint mir auf den ersten Blick durchsichtiger zu sein. Ciao, der Het'gutdasmeinekeysaltgenugwaren'tich. -- Der offene Schlauch hat in einem Vakuumsystem einen entscheidenen Fehler: er ist offen. (c)Finger http://www.fingers-welt.de/ ASCII safety test: 1lI| 0OD 8B -- http://mailman.uugrn.org/mailman/listinfo/uugrn Wiki: http://wiki.uugrn.org/wiki/UUGRN:Mailingliste Archiv: http://lists.uugrn.org/