Re: Schwache SSH-Keys und authorized_keys

Autor: Thomas Hochstein <ml_at_ancalagon.inka.de>
Datum: Sun, 18 May 2008 12:29:25 +0200
Raphael Becker schrieb:

> Meine eigenen Schlüssel werde ich ebenfalls neu generieren, da ich
> annehme, mindestens einmal über das Internet zu einem debian-Server
> verbunden gewesen zu sein.

Das ist nicht problematisch.

Du mußt davon ausgehen, daß schlimmstenfalls eine SSH-Session, an der
mindestens ein "problematisches" System beteiligt war, aufgezeichnet -
oder von jemanden, der die Schwachstelle kannte, belauscht - wurde.
Die kann dann voraussichtlich dekodiert werden. Dabei dürfte eine
SSH-Authentifizierung per Paßwort mitgelesen werden können, und
aufgrund einer spezifischen Schwachstelle wird dabei der private key
eines DSA/DSS-Schlüssels kompromittiert, wenn der Client (!) ein
"problematisches" System ist. RSA-private keys werden nicht
kompromittiert, und DSA/DSS-Schlüssel werden durch einen
"problematischen" Server auch nicht kompromittiert.

> Wie sieht es mit den Host Keys aus, die ganz sicher unter FreeBSD 
> erstellt wurden? Sind diese durch debian-SSH-Clients gefährdet gewesen?

Nein.

-thh
-- 
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: http://wiki.uugrn.org/wiki/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/
Empfangen am 18.05.2008

Dieses Archiv wurde generiert von hypermail 2.2.0 : 18.05.2008 CEST