Połaczenia SSH i bezpieczenstwo transmisji

[Cz@rny]

Dnia Tue, 07 Feb 2006 01:44:59 +0100, Marek Guevara Braun  
<mguevara w acn.waw.pl> napisał:

> ZTCP Diffie-Hellmann jest podatny dodatkowo na atak typu  
> man-in-the-middle
> - komunikaty serwer -> klient powinny być w jakiś sposób sygnowane przez  
> serwer,
> czyli znając klucz publiczny serwera możemy stwierdzić że dogadujemy się
> z właściwym serwerem, a nie z pośrednikiem, jeśli natomiast nie znamy  
> klucza
> publicznego to takiej pewności nie mamy.

Podsluchanie przesyłanych liczb nic nie da. Próba wejścia pomiędzy dwa  
kompy i negocjowanie z nimi osobno jest metodą, ale nie wskazuje słabości  
D-H. Rozwiazaniem są albo certyfikaty, albo weryfikowanie odcisków serwera  
(a SSH krzyczy, jak się odcisk zmienił od ostatniego razu).

Nie ma łatwej drogi rozwalenia tego protokołu, a przynajmniej na szybko  
nie przychodzi mi nic do głowy. Jedynie klasyczne PEBKAC (Problem Exists  
Between Keyboard And Chair vide UserFriendly).

Cz w rny
-- 
"Fear leads to anger, anger leads to hate, hate leads to suffering" Yoda