The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы [ Отслеживать ]

Оглавление

Критика шифрования ключей в OpenSSH, opennews (??), 05-Авг-18, (0) [смотреть все]

Сообщения [Сортировка по времени | RSS]


42. "Критика шифрования ключей в OpenSSH"  +/
Сообщение от Аноним (42), 06-Авг-18, 00:28 
Новость как раз про то, что по умолчанию keepass не поможет
Ответить | Правка | Наверх | Cообщить модератору

49. "Критика шифрования ключей в OpenSSH"  +/
Сообщение от kvaps (ok), 06-Авг-18, 09:07 
> Новость как раз про то, что по умолчанию keepass не поможет

Это почему? Если ключ хранится в кипассе используется шифрование кипасса, а не ssh. При этом сам ключ может физически отсутствовать на диске.

Ответить | Правка | Наверх | Cообщить модератору

57. "Критика шифрования ключей в OpenSSH"  +/
Сообщение от Xasd (ok), 06-Авг-18, 19:50 
> При этом сам ключ может физически отсутствовать на диске.

а вирус может взять ключ от Кипаса из оперативной памяти?

или Кипас настолько божественнен что запрещает законам физики-и-логики работать?

нет мыслей о том что сохранив все нужные пароли в Кипасе -- пользователь на золотом блюдечке приложил хакеру свои пароли? особенно учитывая что Кипас то и дело нужно открывать и вводить туда пароль

Ответить | Правка | Наверх | Cообщить модератору

60. "Критика шифрования ключей в OpenSSH"  +1 +/
Сообщение от AnonPlus (?), 07-Авг-18, 02:14 
А злоумышленник может взять вас в заложники и отрезать пальцы, пока вы не скажете ему пароль.

Это проблема кипасса или openssh?

Ответить | Правка | Наверх | Cообщить модератору

61. "Критика шифрования ключей в OpenSSH"  +1 +/
Сообщение от AnonPlus (?), 07-Авг-18, 02:16 
Судя по всему Кипасс вы даже не пробовали, а то знали бы, что кроме ключа там ещё и ключевые файлы.

И если у вас на машине сидит нечто с рут-правами, что может стырить и буфер обмена, и переслать саму базу, и вообще всё может, то может уже признать, что это не софт виноват, а прокладка меж монитором и стулом?

Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

64. "Критика шифрования ключей в OpenSSH"  +/
Сообщение от нах (?), 07-Авг-18, 11:18 
> Судя по всему Кипасс вы даже не пробовали, а то знали бы, что кроме ключа там ещё и ключевые
> файлы.

это чтоб при битом секторе на диске тебе уже и никакой ключ не помог? Правильное решение, архиверное. Еще один способ прос..ть все полимеры. А от чего защищает - я что-то не вкуриваю. (а, ну да, тут рядом подсказали - это для любителей хранить пароли в дропбоксе. Правда, неясно, где они хранят ключевые файлы и какой иначе прок от паролей в дропбоксе)

> И если у вас на машине сидит нечто с рут-правами

зачем мне рут-права чтобы стырить _твои_ файлы и _твой_ буфер (в линуксе проще сразу сесть на клавиатуру, не мучаясь с анализом содержимого clipboard) ? Выскочил из браузерного сэндбоксика, и все, ты мой.
Или ты настолько альтернативно-одаренный, что keepass запускаешь от рута?

Ответить | Правка | Наверх | Cообщить модератору

69. "Критика шифрования ключей в OpenSSH"  +/
Сообщение от Аноним84701 (ok), 07-Авг-18, 19:52 
> это чтоб при битом секторе на диске тебе уже и никакой ключ не помог?

Eсли ключ не забэкаплен, значит он не важен/нужен. Логично же. И вообще, тогда нельзя использовать все форматы-контейнеры/cжатие без восстановительной инфы.


> зачем мне рут-права чтобы стырить _твои_ файлы и _твой_ буфер (в линуксе
> проще сразу сесть на клавиатуру, не мучаясь с анализом содержимого clipboard)

Не знаю, что вы собрались делать с зашифрованной базой, но вообще-то кипасовый авто-тайп как минимум не ловится xspy-демкой и не остается в буфере обмена. Ну и не следует недооценивать защитный комплекс "Неуловимый Джо".

Ответить | Правка | Наверх | Cообщить модератору

62. "Критика шифрования ключей в OpenSSH"  +1 +/
Сообщение от kvaps (ok), 07-Авг-18, 03:12 

> а вирус может взять ключ от Кипаса из оперативной памяти?
> или Кипас настолько божественнен что запрещает законам физики-и-логики работать?
> нет мыслей о том что сохранив все нужные пароли в Кипасе --
> пользователь на золотом блюдечке приложил хакеру свои пароли? особенно учитывая что
> Кипас то и дело нужно открывать и вводить туда пароль

Ну, KeePass использет надежные методы шифрования и разрабатывался как раз  с идеей что саму базу паролей можно закинуть в какой-нибудь ненадежный Dropbox и не переживать за секьюрность.

Кроме того,если уж на то пошла речь, он реализует и защиту буфера обмена, а его исходники уже много раз анализировались на уязвимости независимыми командами разработчиков.

Сам приватный ключ ssh, замечу, не пароль от него, можно хранить как аттачмент внутри базы.
А при запуске кипасса, подключать его в пользовательский сеанс ssh-agent. С этой задачей отлично справляется KeepassXC.

Таким образом получается что приватный ssh-ключ у вас не хранится в файловой системе вообще и единственный способ украсть его - это взломать ваш кипасс.

Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

79. "Критика шифрования ключей в OpenSSH"  +/
Сообщение от Xasd (ok), 13-Авг-18, 11:28 
> единственный способ украсть его - это взломать ваш кипасс

что наверняка является тривиальной и многократно-решённой задачей, так как защититься от взлома по факту не возможно при условии что злоумышленник софт запускает прямо у тебя на компьютере, и при этом соблазн решить задачу взлома именно Keepass* (а не чего-то другого) высокий так как достоверно ясно что там будут пароли

Ответить | Правка | Наверх | Cообщить модератору

80. "Критика шифрования ключей в OpenSSH"  +/
Сообщение от kvaps (ok), 13-Авг-18, 11:48 
>> единственный способ украсть его - это взломать ваш кипасс
> что наверняка является тривиальной и многократно-решённой задачей, так как защититься
> от взлома по факту не возможно при условии что злоумышленник софт
> запускает прямо у тебя на компьютере, и при этом соблазн решить
> задачу взлома именно Keepass* (а не чего-то другого) высокий так как
> достоверно ясно что там будут пароли

Но согласитесь, что украсть зашифрованный ssh-rsa ключ и украсть зашифорванную базу keepass - две совершенно разные вещи.
Как минимум на один вектор атаки меньше.

Ответить | Правка | Наверх | Cообщить модератору

68. "Критика шифрования ключей в OpenSSH"  +/
Сообщение от Аноним84701 (ok), 07-Авг-18, 19:48 
>> При этом сам ключ может физически отсутствовать на диске.
> а вирус может взять ключ от Кипаса из оперативной памяти?

А еще вирус может проделывать абсолютно то же самое с браузером, угоняя сохраненные в браузере или в паре дюжин самых распространенных программ (FileZilla, почтовый клиент) пароли.
И по вашей же логике, мастерпароли не помогут т.к. кипасс принципиально -- хранилище с мастерпаролем (на самом деле мастерпароль отсечет большую часть поделок и, при правильной конфигурации, неплохо осложнит жизнь оставшимся, но … это в другом, не черно-белом мире).

> нет мыслей о том что сохранив все нужные пароли в Кипасе

Нет мыслей, что вообще храня пароли, пользователь на золотом блюдечке предлагает их (х|к)акирам?
А не храня -  всем тем, кто после попытки угона паролей оставляет банальный "form grabber" и отлавливает все вводимые логины, плюс всем тем, кто взламывает БД с данными пользователя, т.к. держание всех паролей в голове обычно результирует в многократном использовании пары-тройки простых паролей.

Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

71. "Критика шифрования ключей в OpenSSH"  +/
Сообщение от пох (?), 07-Авг-18, 20:35 
> А еще вирус может проделывать абсолютно то же самое с браузером

открыл америку!

> И по вашей же логике, мастерпароли не помогут

естественно. Его и вводить не надо, ты его еще в начале сессии ввел.

мастерпароль - исключительно от товарища прапорщика, который изъял у тебя компьютер в качестве вещдока, а заодно гоняет на нем GTA5. К лейтенанту он обращаться не будет (а то дальше в gta будет играть майор), поэтому за свой вконтактик можешь не беспокоиться.

у мурзилы там, кстати, довольно странное шифрование, в него десяток лет никто не заглядывал, так что о надежности даже заикаться не стоит.


Ответить | Правка | Наверх | Cообщить модератору

72. "Критика шифрования ключей в OpenSSH"  +/
Сообщение от Аноним84701 (ok), 07-Авг-18, 20:52 
>> А еще вирус может проделывать абсолютно то же самое с браузером
> открыл америку!

Всегда рад помочь. Обращайтесь!

>> И по вашей же логике, мастерпароли не помогут
> естественно. Его и вводить не надо, ты его еще в начале сессии ввел.

Да ну? Правда? Защищает только от угона ФФ-файла с паролями (причем так, что как минимум кидисы со своими угонщиками и прочими iStealerами обламывали зубы)? Тогда да, не нужно …
А вообще, речь шла о "ненужности" паролехранилок и попытке с моей стороны показать, что "альтернативы" еще хуже. Так что не будь таким занудой - один Астахал у нас тут уже есть.

> мастерпароль - исключительно от товарища прапорщика, который изъял у тебя компьютер в
> качестве вещдока, а заодно гоняет на нем GTA5. К лейтенанту он обращаться не будет (а то дальше в gta будет играть майор),

Кроме лейтенанта и товарища прапорщика есть возможность про*бать или  "задарить" какому нибудь Васяну IRL. И вот чтобы потом не орать дурным голосом, выдирая волосы на седалище и судожно пытаясь сменить пароли всех ресурсов …
В общем, защита (в ослабленном варианте) от того же самого, что и шифрование диска/хомяка, плюс (в моей реальности) как минимум от кучи малвари, потому что угнать файл обычно всегда проще, чем спереть пароли из памяти.
Не, если у вас в форточках все еще можно сделать OpenProcess(PROCESS_VM_READ …) любого пользовательского процесса без доп. привилегий, то это все таки ваши, форточковые проблемы.


Ответить | Правка | Наверх | Cообщить модератору

73. "Критика шифрования ключей в OpenSSH"  +/
Сообщение от пох (?), 07-Авг-18, 23:21 
> Да ну? Правда? Защищает только от угона ФФ-файла с паролями (причем так,

а зачем его угонять, если наиболее вероятный вектор - сам файрфокс, точнее открытый в нем сайт? когда мне понадобился дамп этих паролей - первое, что нашел гугль, был какой-то банальный скрипт, который просто вывел их все текстом в очередной таб. Не думаю что нельзя было вместо этого вывести в POST.

> А вообще, речь шла о "ненужности" паролехранилок и попытке с моей стороны
> показать, что "альтернативы" еще хуже. Так что не будь таким занудой

ну стикеры на мониторе немного получше. Камеру только заклеивать не забывай, и на мобиле, с которой ходишь мимо этого монитора, тоже.

> Кроме лейтенанта и товарища прапорщика есть возможность про*бать или  "задарить" какому
> нибудь Васяну IRL.

ну так васян тоже умеет отжимать мабилы, а не подбирать пароли. Тут я буду спать спокойно - во всяком случае, после их неторопливой смены.

> Не, если у вас в форточках все еще можно сделать OpenProcess(PROCESS_VM_READ …)
> любого пользовательского процесса без доп. привилегий, то это все таки ваши,

а у "вас" какие дополнительные привиллегии нужны пользователю, чтобы подцепиться отладчиком (о ужас, ему доступна память процесса!)  к собственному процессу?
У вас,как и в форточках, давным-давно уже вся мультиюзерность чисто для галочки, а на деле у вас есть root и ваш любимый логин vasya (которому, внезапно, и принадлежит вся стоящая информация на данной машинке, и от него же все и работает).

проламывают либо первое, через дырки в демонах, либо второе, через браузер и прочее.
а такого чтоб шелл от nobody получить, бывает нынче исключительно редко почему-то.

Ответить | Правка | Наверх | Cообщить модератору

78. "Критика шифрования ключей в OpenSSH"  +/
Сообщение от Аноним84701 (ok), 08-Авг-18, 12:49 
> ну стикеры на мониторе немного получше. Камеру только заклеивать не забывай, и
> на мобиле, с которой ходишь мимо этого монитора, тоже.

Лучше тем, что их не очень удобно таскать с собой, перепечатывать, как и хранить на них автогенерированные пароли 12+ знаков? Сомнительное преимущество.
А чтобы угнать пароли со стикера с помощью камеры, нужен доступ к этой самой камере, но тогда угон паролей со стикеров будет не самой насущной твоей проблемой.

>> Не, если у вас в форточках все еще можно сделать OpenProcess(PROCESS_VM_READ …)
>> любого пользовательского процесса без доп. привилегий, то это все таки ваши,
> а у "вас" какие дополнительные привиллегии нужны пользователю, чтобы подцепиться отладчиком
> (о ужас, ему доступна память процесса!)  к собственному процессу?
> У вас,как и в форточках, давным-давно уже вся мультиюзерность чисто для галочки,

Ну да, все ж дурны-ы-ы-е, не догадываются, куда им до опеннетчиков …
https://github.com/openssh/openssh-portable/blob/5ee3fb5affd...


platform_disable_tracing(int strict)
{
#if defined(HAVE_PRCTL) && defined(PR_SET_DUMPABLE)
    /* Disable ptrace on Linux without sgid bit */
    if (prctl(PR_SET_DUMPABLE, 0) != 0 && strict)
        fatal("unable to make the process undumpable");
#endif
#if defined(HAVE_SETPFLAGS) && defined(__PROC_PROTECT)
    /* On Solaris, we should make this process untraceable */
    if (setpflags(__PROC_PROTECT, 1) != 0 && strict)
        fatal("unable to make the process untraceable");
#endif
#ifdef PT_DENY_ATTACH
    /* Mac OS X */
    if (ptrace(PT_DENY_ATTACH, 0, 0, 0) == -1 && strict)
        fatal("unable to set PT_DENY_ATTACH");
#endif
}

> а на деле у вас есть root и ваш любимый логин vasya

Плохая из тебя Ванга:


% awk -F':' '$3>999 { print $1}' /etc/passwd
nobody
anonym
restricted
sandbox

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру