Vlákno názorů k článku OpenSSH ukončí podporu algoritmu ssh-rsa. Co přesně to znamená? od Danny - A navzdory dlouhemu textu nikde nepadla byt jen...
-
DannyStříbrný podporovatelA navzdory dlouhemu textu nikde nepadla byt jen napatrna zminka o nastrojich, co usnadni kontrolu spravneho nastaveni sshd pro 21.stoleti... ;) Protoze samozrejme i distribucni defaulty... stoji za pendrek.
Tak nastrelim aspon jeden... https://github.com/jtesta/ssh-audit ...
-
Ondřej CaletkaZlatý podporovatelDíky, ten nástroj jsem neznal.
V každém případě nesouhlasím s tvrzením, že distribuční defaulty stojí za pendrek. Jejich používáním rozhodně žádné reálné riziko nehrozí, aspoň jsem nečetl o žádném případě, kdy by distribuční default vedl ke zneužití SSH. Možná snad jen s výjimkou výchozího hesla Raspbianu, ale to se těžko dá hodnotit jako zranitelnost SSH.
-
J ouda (neregistrovaný)
Přímo default to nebyl, ale na jeden podobný případ si vzpomínám až moc dobře. https://www.schneier.com/blog/archives/2008/05/random_number_b.html
Každopádně souhlas, že v posledních letech se defaultům toho opravdu moc vytknout nedá. -
DannyStříbrný podporovatel
Tak ano, o moznem backdooru v NIST P-krivkach se "pouze" teoreticky diskutuje :-) Ale treba ani 2048-bitovy DH modulus uz taky neni "optimalni", stejne tak jako SHA1 v KEX, MAC<128b, obecne encrypt&mac algoritmy... zaver mas dobre, kryptografie se vyviji... a zalezi, jak moc paranoidni jses :-) Neni duvod pouzivat z dnesniho pohledu uz slabe algoritmy...
-
J ouda (neregistrovaný)
Všechno je něco za něco, ale konkrétně.
DH modulus 2048 - u DH se ví, že 1024 bitů není bezpečných určitě, a podle Snowdenových úniků se víceméně odhaduje, že se tehdy NSA podařilo předpočítat jednu konkrétní grupu (DHgroup 2, na které v té době jelo 70% VPNek) tak, že byli pak na ní schopní počítat diskrétní logaritnus v minutách, dobu předvýpočtu tehdy experti odhadovali na měsíce.
Jestli se nepletu, openssh si generuje vlastní DH parametry. Nedovedu si představit, co byste za ním musel mít schované za informace, aby se to příslušné agentuře vyplatilo na Vás věnovat tolik výpočetního výkonu, i kdybyste tam měl jen DH1536. (o tom že by zajisté byly levnější postupy není pochyb). A tajná služba (doufejme) nepoužije na přenos přísně tajných informací Debian v defaultu.
Naproti tomu je tam dost velká performance penalty, takže se vyplatí držet default rozumně.
MAC<128bit - víte o nějakém realistickém útoku, který se dá provést v real time?
NIST-P souhlas, taky je vypínám. Tam je riziko obrovské, navíc v době ec25599 není důvod je použít. -
DannyStříbrný podporovatel
Protiargument "vite o nejakem realistickem utoku" jsme slychali treba i s MD5 nebo SHA1. Nejprve bylo podobne chlacholeni, ze utok vlastne neni realisticky - a pak... po nejakem case... nasledovala panika a davove silenstvi... treba v podobe vypinani podpory rsa-sha v ssh az ve chvili, kdy se staly utoky na SHA1 prakticke :-) Presne podle hesla - cekalo se, aby se pak mohlo spechat...
-
Ondřej CaletkaZlatý podporovatel
Zase musím nesouhlasit.
OpenSSH vypíná podporu SHA-1 v době, kdy si ještě nikdo praktický útok nedokáže představit, mimo jiné proto, že kolizi by bylo potřeba najít do uplynutí
LoginGraceTime, což je výchozím nastavení 120 sekund. Zároveň moc dobře vědí, že vypnutím podpory způsobí spoustě lidí problémy s kompatibilitou, proto vyvažují pro a proti, proto už dvě verze předem oznamují, že podporu vypnou a nechávají alespoň někoho připravit se v klidu. Rozhodně nikdo nikam nespěchá. -
DannyStříbrný podporovatel
Muzes o tom vest spory, muzes nesouhlasit, ale to je tak jediny co muzes :-) Samotna SHA1 je z roku 1995, prvni teoreticky prulom je z roku 2005, formalne deprecated ze strany NIST je uz od roku 2011. A my se tu jeste v roce 2020 hadame, ze o nic nejde a dokonce obhajujeme pouzivani - aniz bychom ty realne moznosti NIST znali (a vedle pritom spekulujeme o moznych dirach v NIST P-krivkach)... Pritom uz davno muzeme pouzivat bezpecnejsi varianty, ktere ani ve teoreticke rovine neduhy SHA1 netrpi. Ale klidne se SHA1 dal drz ;-)
-
J ouda (neregistrovaný)
Nezlobte se, ale tady je dost velký rozdíl.
Předně ta panika (ještě) není kvůli tomu, co jde po drátech (ve Vašem odkazu jde o chosen prefix attack - což se HMAC netýká, druhák už v abstractu se píše o dvou měsících výpočtů), tam to dřív vytimeoutuje, ale pro klíče, kde si můžete počítat v klidu offline jak dlouho chcete.Druhá věc je kvalitativní - je něco jiného mluvit o děravém hashi, kde musíme předpokládat teoretický průlom a mnohem efektivnějsší výpočet (viz historie md5), a konstatováním (na to jsem reagoval já) že stavový prostor hashe je příliš malý takže je dnešní technikou dosažitelný -
ano je, ale tam není žádný důvod předpokládat větší zrychlení než by brute force, což pro to co chodí po drátech použít rozhodně nelze. -
DannyStříbrný podporovatel
Vsak si klidne cekejte, az to po dratech pujde :-) Proti gustu zadny disputat.
ČLÁNKY DO MAILU