forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Критика шифрования ключей в OpenSSH, opennews (??), 05-Авг-18, (0) [смотреть все]

Настоящей утечки SSH ключей не было Код закладки в eslint содержал ошибку и не , Аноним (1), 12:53 , 05-Авг-18, (1) //

Это совершенно меняет дело, Аноним (3), 13:00 , 05-Авг-18, (3) +7
Скорее недоработка, которая приводила к сбою в некоторых окружениях Параметры о, Аноним (30), 16:54 , 05-Авг-18, (30) +1

NаPоMойке криптография не нужна Пусть используют телнет , Alexey (??), 13:00 , 05-Авг-18, (2) +13
NPM имеет доступ ко всем файлам на компьютере Нормальные люди устанавливают при, Oleg (??), 13:06 , 05-Авг-18, (4) –5 //

на секундочку Олег И часто вы пакуете в снап а эту армию бибизян пробовали уч, Ага (?), 13:08 , 05-Авг-18, (7) +4
это тот, в популярных репах которого недавно криптомайнер нашли Исходя из того, , Аноним (14), 13:34 , 05-Авг-18, (14) +4 //

Это он, наш модный снап, и репа одна как AUR, как Google Play Справедливости ра, Смузи на гироскутере (?), 13:57 , 05-Авг-18, (19) //

1 Отключенный интернет остановит криптософт от расчетов за счет моего процессор, Khariton (ok), 19:49 , 05-Авг-18, (33) +2

т е ты на полном серьезе считаешь, что автор майнера настолько идиот, что всем , Аноним (41), 23:52 , 05-Авг-18, (41) +1
нет, но, поскольку он не сможет больше получать задания и сливать результаты в п, нах (?), 11:09 , 06-Авг-18, (50)

Просто ставьте софт из репозитория дистрибутива штатным методом - и будет вам сч, Crazy Alex (ok), 14:03 , 05-Авг-18, (21) +2 //

а тот софт которого случайно не оказалось в репозиториях моего дистрибутива а то, J.L. (?), 17:29 , 07-Авг-18, (67)

Snap Это тот, который не позволяет создавать свои собственные репозитории внутр, KareemJabbar (?), 14:51 , 05-Авг-18, (24) +1 //

Ну что же, поставь Давай ты ставишь 10 тысяч долларов USA, что snap не будет сущ, Аноним (37), 22:48 , 05-Авг-18, (37) –2 //

Крупные деньги это 500 рублей , anonymous (??), 00:57 , 06-Авг-18, (43) +4

Это сколько в деньгах Меньше 10 долларов А что на это купить можно , Аноним (37), 05:27 , 06-Авг-18, (46) –1

да ну, бросьте, мы так быстро бабки не пилим, надо ж иногда и отдыхать Лет пять, каноник (?), 19:40 , 06-Авг-18, (55) –1
Snap все еще живее всех живых, anonymous (??), 04:35 , 05-Сен-21, (81)

SSH w PKCS 8 https habr com post 181320 , Alexey (??), 13:06 , 05-Авг-18, (5) –1 //

Да, но на самом деле ssh-keygen все это уже умеет Генерируем RSA-ключ ssh-key, Аноним (8), 13:13 , 05-Авг-18, (8) +2 //

Только при конвертации -t rsa -b 4096 конечно не нужно , Аноним (8), 13:14 , 05-Авг-18, (9)
-o - спасибо,проглядел 10 лет назад такого не было и вот, опять , Alexey (??), 13:20 , 05-Авг-18, (11) –1

Как вариант, можно не хранить ключ в домашней директории Тебе не нужно беспокои, AnonPlus (?), 13:07 , 05-Авг-18, (6) –1 //

Вот ещё способ хранения закрытых ключей https dev rutoken ru pages viewpage ac, Alexey (??), 13:33 , 05-Авг-18, (13) //

не знаю как у Вас, но сдаешь токен и получаешь с новым эцп, они же перезаписывае, Аноним (32), 17:52 , 05-Авг-18, (32) +1
Только вот ruToken использует для токенов обычные незащищенные микроконтроллеры,, Аноним (59), 23:14 , 06-Авг-18, (59)

можно хранить, но под отдельным пользователем без доступа всем прочим И su при , Аноним (51), 12:30 , 06-Авг-18, (51)

Используйте уже наконец ed25519 , Аноним (10), 13:19 , 05-Авг-18, (10) +4 //

Привет, админ локалхоста , Аноним (8), 13:21 , 05-Авг-18, (12) +2 //

А что, где-то еще остались сервисы у которых ssh не понимает ed25519 , Аноним (17), 13:42 , 05-Авг-18, (17) //

До фига таких, сторонних Установил кто-то когда-то в локальной сети vSphere 5, PereresusNeVlezaetBuggy (ok), 13:49 , 05-Авг-18, (18) +2
А что, где-то ещё остались люди, способные понять, о чём вообще идёт речь в текс, Аноним (20), 14:03 , 05-Авг-18, (20) +1
Виртуалки Нет, кроме окаменелостей конечно А вот железяк даже новых - предоста, username (??), 16:02 , 05-Авг-18, (27) +1
Куча вполне себе живых и работающих коммутаторов даже SSHv2 не понимает , Module 5 temperature (?), 16:45 , 05-Авг-18, (29)
Ну в dropbear их нету, marios (ok), 02:06 , 06-Авг-18, (44)
В embedded очень распространено использование dropbear, а тот в ed25519 никак не, Аноним (37), 13:02 , 06-Авг-18, (52)

Как автор термина -- поморщился он вообще-то не о противопоставлении гадюшнику,, Michael Shigorin (ok), 23:05 , 05-Авг-18, (39) –4

Элиптическое крипто менее безопасно чем RSA с ключом нужной длины , Ivan_83 (ok), 23:30 , 05-Авг-18, (40) –1
а угадай -- что именно поумолчанию генерирует ssh-keygen там есть такая опция, Xasd (ok), 19:44 , 06-Авг-18, (56) –1 //

то что совместимо со всеми, и не вызывает, пока, проблем с надежностью И малове, пох (?), 07:28 , 07-Авг-18, (63)

Нужно это гогно пускать из докер контейнера , Аноним (15), 13:35 , 05-Авг-18, (15) –3 //

Это который Буква S в docker означает security А уж как удобно будет из под э, angra (ok), 14:33 , 05-Авг-18, (23) +1 //

А что неудобного Каталог с хост системы прокинут в контейнер, ты себе сейвишь в, username (??), 15:59 , 05-Авг-18, (26) –3 //

Ну если задачи той сложности, что сохранения в редакторе достаточно для продукти, angra (ok), 07:19 , 06-Авг-18, (47) +2

нормально под это кодить, подключил вольюм к контейнеру и все работает Тестиров, имя (?), 20:51 , 05-Авг-18, (35)

Пускать гогно из гогна Оригинально , Led (ok), 19:50 , 05-Авг-18, (34) +11

Имхо, отчасти они правы - в таком софте, по дефолту настройки должны быть наибол, Аноним (14), 13:38 , 05-Авг-18, (16) +1
Либо я идиот либо автор этой критики и все комментаторы ssh не хранит MD5-хеш п, Аноним (28), 16:25 , 05-Авг-18, (28) –1 //

ну зачем же так просто неумелец читать буковки и складывая из них слова понимат, пох (?), 22:53 , 05-Авг-18, (38) +5 //

Переборы по словарю всегда очень быстры И это до сих пор считалось само собой р, Аноним (28), 07:28 , 06-Авг-18, (48) +3

Та причина почему нужно использовать ssh-agent, а сам ключ прятать в keepassxc, kvaps (ok), 17:29 , 05-Авг-18, (31) –1 //

Новость как раз про то, что по умолчанию keepass не поможет, Аноним (42), 00:28 , 06-Авг-18, (42) //

Это почему Если ключ хранится в кипассе используется шифрование кипасса, а не s, kvaps (ok), 09:07 , 06-Авг-18, (49) //

а вирус может взять ключ от Кипаса из оперативной памяти или Кипас настолько бож, Xasd (ok), 19:50 , 06-Авг-18, (57)

А злоумышленник может взять вас в заложники и отрезать пальцы, пока вы не скажет, AnonPlus (?), 02:14 , 07-Авг-18, (60) +1
Судя по всему Кипасс вы даже не пробовали, а то знали бы, что кроме ключа там ещ, AnonPlus (?), 02:16 , 07-Авг-18, (61) +1

это чтоб при битом секторе на диске тебе уже и никакой ключ не помог Правильное, нах (?), 11:18 , 07-Авг-18, (64)

Eсли ключ не забэкаплен, значит он не важен нужен Логично же И вообще, тогда н, Аноним84701 (ok), 19:52 , 07-Авг-18, (69)

Ну, KeePass использет надежные методы шифрования и разрабатывался как раз с иде, kvaps (ok), 03:12 , 07-Авг-18, (62) +1

что наверняка является тривиальной и многократно-решённой задачей, так как защит, Xasd (ok), 11:28 , 13-Авг-18, (79)

Но согласитесь, что украсть зашифрованный ssh-rsa ключ и украсть зашифорванную б, kvaps (ok), 11:48 , 13-Авг-18, (80)

А еще вирус может проделывать абсолютно то же самое с браузером, угоняя сохранен, Аноним84701 (ok), 19:48 , 07-Авг-18, (68)

открыл америку естественно Его и вводить не надо, ты его еще в начале сессии вв, пох (?), 20:35 , 07-Авг-18, (71)

Всегда рад помочь Обращайтесь Да ну Правда Защищает только от угона ФФ-файла , Аноним84701 (ok), 20:52 , 07-Авг-18, (72)

а зачем его угонять, если наиболее вероятный вектор - сам файрфокс, точнее откры, пох (?), 23:21 , 07-Авг-18, (73)

Лучше тем, что их не очень удобно таскать с собой, перепечатывать, как и хранить, Аноним84701 (ok), 12:49 , 08-Авг-18, (78)

NPM -- передовая технология по обнаружению проблем с безопасностью в SSH а такж, Аноним (45), 02:38 , 06-Авг-18, (45)
Хранение ключей на флешке решает проблему , Аноним (65), 16:49 , 07-Авг-18, (65) //

только до того момента, пока флешка не вставленна в пеку А в контексте новости , Аноним (-), 17:19 , 07-Авг-18, (66)
нет, добавляет - теперь надо не прое еще и флэшку, причем ее и терять нельзя,, пох (?), 20:27 , 07-Авг-18, (70) +1 //

не понятна претензия к юбикею он умеет быть смарткартой аж двумя способами гуг, Аноним (74), 03:38 , 08-Авг-18, (74) //

И насколько надежные ключи оно генерит , Аноним (75), 09:22 , 08-Авг-18, (75)

от васяна - вполне надежные, даже если вам попалась версия с багом но вот пользо, нах (?), 12:12 , 08-Авг-18, (77)

ну так прочитайте внимательно, о чем речь умеет только у меня настоящих смартка, нах (?), 12:10 , 08-Авг-18, (76)

Сообщения [Сортировка по времени | RSS]

65. "Критика шифрования ключей в OpenSSH" +/–

Сообщение от Аноним (65), 07-Авг-18, 16:49

Хранение ключей на флешке решает проблему?

Ответить | Правка | Наверх | Cообщить модератору

66. "Критика шифрования ключей в OpenSSH" +/–

Сообщение от Аноним (-), 07-Авг-18, 17:19

только до того момента, пока флешка не вставленна в пеку.
А в контексте новости (возможность распространять малваре через npm) и это не спасет, если там кейлоггер (ну, вернее - утекут только лишь те ключи, которые вводились за время наличия гадости на пеке).
Берите старый цпу от амд, ддр3, хдд (что там у нас еще то было с уязвимостями, кроме рязаней, ддр4 и ссд...), загоняйте все в виртуалку и можете хоть плайнтекстом хранить на хосте

Ответить | Правка | Наверх | Cообщить модератору

70. "Критика шифрования ключей в OpenSSH" +1 +/–

Сообщение от пох (?), 07-Авг-18, 20:27

> Хранение ключей на флешке решает проблему?
нет, добавляет - теперь надо не прое... еще и флэшку, причем ее и терять нельзя, и упускать в чужие руки нельзя, и еще надо заботиться о дублировании и надежном/безопасном хранении уже и копии флэшки.
А смонтированная в $HOME/.ssh - ничем она не отличается от просто $HOME/.ssh
решает проблему хранение ключей в токене, но не бестолковом убикее (во всяком случае, в его популярных вариантах применения) а в таком, где ключ никогда не покидает токен, и расшифровка осуществляется _токеном_ (да, небыстренько будет, но для ssh терабиты и не нужны). Причем только после подтверждения пином, что ты действительно его хозяин. Выдергивание токена на ходу - автоматически обеспечивает killswitch.
Чуть менее надежный вариант, но не ограничивающий производительность - генератор otp-паролей на базе смарткарты. Опять же нужно стырить у тебя смарткарту _и_ при этом еще и пин подсмотреть. Что неколько сложнее чем по отдельности то и другое, и позволяет пину быть простым и запоминаемым.
Насколько я понял, законченное решение такого типа продает RSA. За $NNNNNN/штука.

Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

74. "Критика шифрования ключей в OpenSSH" +/–

Сообщение от Аноним (74), 08-Авг-18, 03:38

не понятна претензия к юбикею: он умеет быть смарткартой аж двумя способами. гуглить yubikey piv и yubikey openpgp. в первом случае даже есть спец. процедура аттестации, позволяющая удостовериться, что приватный ключ был сгенерен внутри токена и поэтому точно неизвлекаем / не сдублирован где-то еще. оба способа вполне себе популярны и рекомендуемы

Ответить | Правка | Наверх | Cообщить модератору

75. "Критика шифрования ключей в OpenSSH" +/–

Сообщение от Аноним (75), 08-Авг-18, 09:22

> удостовериться, что приватный ключ был сгенерен внутри токена
И насколько надежные ключи оно генерит?

Ответить | Правка | Наверх | Cообщить модератору

77. "Критика шифрования ключей в OpenSSH" +/–

Сообщение от нах (?), 08-Авг-18, 12:12

>> удостовериться, что приватный ключ был сгенерен внутри токена
> И насколько надежные ключи оно генерит?
от васяна - вполне надежные, даже если вам попалась версия с багом.
но вот пользоваться этим для ssh, и быть застрахованным от такого же васяна, но получившего доступ к вашей системе - не получится (во всяком случае, без геморроя).

Ответить | Правка | Наверх | Cообщить модератору

76. "Критика шифрования ключей в OpenSSH" +/–

Сообщение от нах (?), 08-Авг-18, 12:10

> не понятна претензия к юбикею: он умеет быть смарткартой аж двумя способами.
ну так прочитайте внимательно, о чем речь.
умеет. только у меня настоящих смарткарт -полные карманы. По цене пластмассы и без геморроя с покупкой.
а работать в качестве законченного решения - не умеет (умеет другими способам, которые, обычно, и используют - либо извлекая из него ключ, либо используя его otp, разумеется, хакнувшему тебя васяну все это тоже доступно, кнопка - защита никакая). Соответственно, ненужен.
правильное использование смарткарты, о котором вам писали - вообще не предполагает ее сования в компьютер.

Ответить | Правка | К родителю #74 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

65. "Критика шифрования ключей в OpenSSH"	+/–
Сообщение от Аноним (65), 07-Авг-18, 16:49
Хранение ключей на флешке решает проблему?
Ответить \| Правка \| Наверх \| Cообщить модератору


	66. "Критика шифрования ключей в OpenSSH"	+/–
	Сообщение от Аноним (-), 07-Авг-18, 17:19
	только до того момента, пока флешка не вставленна в пеку. А в контексте новости (возможность распространять малваре через npm) и это не спасет, если там кейлоггер (ну, вернее - утекут только лишь те ключи, которые вводились за время наличия гадости на пеке). Берите старый цпу от амд, ддр3, хдд (что там у нас еще то было с уязвимостями, кроме рязаней, ддр4 и ссд...), загоняйте все в виртуалку и можете хоть плайнтекстом хранить на хосте
	Ответить \| Правка \| Наверх \| Cообщить модератору


	70. "Критика шифрования ключей в OpenSSH"	+1 +/–
	Сообщение от пох (?), 07-Авг-18, 20:27
	> Хранение ключей на флешке решает проблему? нет, добавляет - теперь надо не прое... еще и флэшку, причем ее и терять нельзя, и упускать в чужие руки нельзя, и еще надо заботиться о дублировании и надежном/безопасном хранении уже и копии флэшки. А смонтированная в $HOME/.ssh - ничем она не отличается от просто $HOME/.ssh решает проблему хранение ключей в токене, но не бестолковом убикее (во всяком случае, в его популярных вариантах применения) а в таком, где ключ никогда не покидает токен, и расшифровка осуществляется _токеном_ (да, небыстренько будет, но для ssh терабиты и не нужны). Причем только после подтверждения пином, что ты действительно его хозяин. Выдергивание токена на ходу - автоматически обеспечивает killswitch. Чуть менее надежный вариант, но не ограничивающий производительность - генератор otp-паролей на базе смарткарты. Опять же нужно стырить у тебя смарткарту _и_ при этом еще и пин подсмотреть. Что неколько сложнее чем по отдельности то и другое, и позволяет пину быть простым и запоминаемым. Насколько я понял, законченное решение такого типа продает RSA. За $NNNNNN/штука.
	Ответить \| Правка \| К родителю #65 \| Наверх \| Cообщить модератору


	74. "Критика шифрования ключей в OpenSSH"	+/–
	Сообщение от Аноним (74), 08-Авг-18, 03:38
	не понятна претензия к юбикею: он умеет быть смарткартой аж двумя способами. гуглить yubikey piv и yubikey openpgp. в первом случае даже есть спец. процедура аттестации, позволяющая удостовериться, что приватный ключ был сгенерен внутри токена и поэтому точно неизвлекаем / не сдублирован где-то еще. оба способа вполне себе популярны и рекомендуемы
	Ответить \| Правка \| Наверх \| Cообщить модератору


	75. "Критика шифрования ключей в OpenSSH"	+/–
	Сообщение от Аноним (75), 08-Авг-18, 09:22
	> удостовериться, что приватный ключ был сгенерен внутри токена И насколько надежные ключи оно генерит?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	77. "Критика шифрования ключей в OpenSSH"	+/–
	Сообщение от нах (?), 08-Авг-18, 12:12
	>> удостовериться, что приватный ключ был сгенерен внутри токена > И насколько надежные ключи оно генерит? от васяна - вполне надежные, даже если вам попалась версия с багом. но вот пользоваться этим для ssh, и быть застрахованным от такого же васяна, но получившего доступ к вашей системе - не получится (во всяком случае, без геморроя).
	Ответить \| Правка \| Наверх \| Cообщить модератору


	76. "Критика шифрования ключей в OpenSSH"	+/–
	Сообщение от нах (?), 08-Авг-18, 12:10
	> не понятна претензия к юбикею: он умеет быть смарткартой аж двумя способами. ну так прочитайте внимательно, о чем речь. умеет. только у меня настоящих смарткарт -полные карманы. По цене пластмассы и без геморроя с покупкой. а работать в качестве законченного решения - не умеет (умеет другими способам, которые, обычно, и используют - либо извлекая из него ключ, либо используя его otp, разумеется, хакнувшему тебя васяну все это тоже доступно, кнопка - защита никакая). Соответственно, ненужен. правильное использование смарткарты, о котором вам писали - вообще не предполагает ее сования в компьютер.
	Ответить \| Правка \| К родителю #74 \| Наверх \| Cообщить модератору