[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Schwache SSH-Keys und authorized_keys
[Thread Prev] | [Thread Next]
- Subject: Re: Schwache SSH-Keys und authorized_keys
- From: Thomas Hochstein <ml@xxxxxxxxxxxxxxxxx>
- Date: Sun, 18 May 2008 12:29:25 +0200
- To: uugrn@xxxxxxxxxxxxxxx
Raphael Becker schrieb: > Meine eigenen Schluessel werde ich ebenfalls neu generieren, da ich > annehme, mindestens einmal ueber das Internet zu einem debian-Server > verbunden gewesen zu sein. Das ist nicht problematisch. Du musst davon ausgehen, daÃ? schlimmstenfalls eine SSH-Session, an der mindestens ein "problematisches" System beteiligt war, aufgezeichnet - oder von jemanden, der die Schwachstelle kannte, belauscht - wurde. Die kann dann voraussichtlich dekodiert werden. Dabei duerfte eine SSH-Authentifizierung per Passwort mitgelesen werden koennen, und aufgrund einer spezifischen Schwachstelle wird dabei der private key eines DSA/DSS-Schluessels kompromittiert, wenn der Client (!) ein "problematisches" System ist. RSA-private keys werden nicht kompromittiert, und DSA/DSS-Schluessel werden durch einen "problematischen" Server auch nicht kompromittiert. > Wie sieht es mit den Host Keys aus, die ganz sicher unter FreeBSD > erstellt wurden? Sind diese durch debian-SSH-Clients gefaehrdet gewesen? Nein. -thh -- http://mailman.uugrn.org/mailman/listinfo/uugrn Wiki: http://wiki.uugrn.org/wiki/UUGRN:Mailingliste Archiv: http://lists.uugrn.org/