ssh-keygen klucze prywatne publiczne

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

Awatar użytkownika
ahes
Użytkownik
Posty: 1047
Rejestracja: 2004-05-28, 10:44
Lokalizacja: Krakow
Kontakt:

ssh-keygen klucze prywatne publiczne

Post autor: ahes »

zastanawiam sie jak to jest. czy jak ktos mi podpieprzy z dysku plik id_rsa z kluczem prywatnym i walnie u siebie to bedzie mial dostep do wszystkich moich serwerow na ktorych jest authorized_keys z moim kluczem publicznym ?
bo wlasnie to sprawdzam i wychodz na to ze niestety dziala. a moze ja cos zle robie.
[b][url=http://rootnode.net]rootnode.net[/url] :: Konta shellowe z piekła[/b]
Awatar użytkownika
Sad Mephisto
Administrator
Posty: 2824
Rejestracja: 2004-05-22, 13:24
Lokalizacja: Zabrze
Kontakt:

Re: ssh-keygen klucze prywatne publiczne

Post autor: Sad Mephisto »

No na tym właśnie polega idea szyfrowania za pomocą par kluczy.

Przypominam jak to działa:
Mamy dwóch panów: FOOkera i BARabasza. Każdy z nich ma swój klucz prywatny i publiczny. Następnie wymieniają się kluczami publicznymi.
Jeśli FOOker chce wysłać BARabaszowi wiadomość, to szyfruje ją za pomocą swojego klucza prywatnego i klucza publicznego BARabasza. BARabasz dekoduje wiadomość za pomocą swojego klucza prywatnego oraz klucza publicznego FOOkera.
Pewien złośliwy hacker, pan BAZuś, musi posiadać klucz prywatny BARabasza, żeby mógł złamać wiadomość. Prywatny klucz FOOkera jest mu niepotrzebny.
[i]Thank you for noticing this notice. Now that you've noticed this notice, you may have noticed that this notice is noticably unnoticable.
$ python -c "print int(''.join(map(lambda x: str(len(x)),'Kto z woli i myśli zapragnie Pi spisać cyfry ten zdoła.'.split())))/1e+10"[/i]
Awatar użytkownika
ahes
Użytkownik
Posty: 1047
Rejestracja: 2004-05-28, 10:44
Lokalizacja: Krakow
Kontakt:

Re: ssh-keygen klucze prywatne publiczne

Post autor: ahes »

no to teraz zakreciles. czyli jak ktos mi gwizdnie moj klucz prywatny to ma wjazd na wszystkie serwery na ktorych umiescilem klucz publiczny. tak/nie ?
[b][url=http://rootnode.net]rootnode.net[/url] :: Konta shellowe z piekła[/b]
Awatar użytkownika
Corvin
Administrator
Posty: 1143
Rejestracja: 2004-05-21, 15:04
Lokalizacja: Gdańsk

Re: ssh-keygen klucze prywatne publiczne

Post autor: Corvin »

ahes pisze:no to teraz zakreciles. czyli jak ktos mi gwizdnie moj klucz prywatny to ma wjazd na wszystkie serwery na ktorych umiescilem klucz publiczny. tak/nie ?
przy tym typie autoryzacji tak ma wjazd, hmm o ile nie zdefiniowałeś hasła do swojego klucza prywatnego a powienieś.
"Spróbuj zapalić maleńką świeczkę zamiast przeklinać ciemność."
Konfucjusz
Awatar użytkownika
ahes
Użytkownik
Posty: 1047
Rejestracja: 2004-05-28, 10:44
Lokalizacja: Krakow
Kontakt:

Re: ssh-keygen klucze prywatne publiczne

Post autor: ahes »

a proponujesz DSA? nie dalem bo robie skrypt do automatyzacji pewnego procesu i nie moze byc hasla.
[b][url=http://rootnode.net]rootnode.net[/url] :: Konta shellowe z piekła[/b]
Awatar użytkownika
Corvin
Administrator
Posty: 1143
Rejestracja: 2004-05-21, 15:04
Lokalizacja: Gdańsk

Re: ssh-keygen klucze prywatne publiczne

Post autor: Corvin »

ahes pisze:a proponujesz DSA? nie dalem bo robie skrypt do automatyzacji pewnego procesu i nie moze byc hasla.
no tak :) to co się pytasz ? ;)
"Spróbuj zapalić maleńką świeczkę zamiast przeklinać ciemność."
Konfucjusz
Awatar użytkownika
ahes
Użytkownik
Posty: 1047
Rejestracja: 2004-05-28, 10:44
Lokalizacja: Krakow
Kontakt:

Re: ssh-keygen klucze prywatne publiczne

Post autor: ahes »

poczekaj jeszcze raz to napisze: nie dalem hasla poniewaz skrypt nie moze byc interaktywny, czyli nie moze pytac o haslo. przy kluczach proponujesz dsa czy rsa? czym sie roznia w zastosowaniu ?
[b][url=http://rootnode.net]rootnode.net[/url] :: Konta shellowe z piekła[/b]
Awatar użytkownika
Corvin
Administrator
Posty: 1143
Rejestracja: 2004-05-21, 15:04
Lokalizacja: Gdańsk

Re: ssh-keygen klucze prywatne publiczne

Post autor: Corvin »

ahes pisze:poczekaj jeszcze raz to napisze: nie dalem hasla poniewaz skrypt nie moze byc interaktywny, czyli nie moze pytac o haslo. przy kluczach proponujesz dsa czy rsa? czym sie roznia w zastosowaniu ?
AFAIR DSA jest nowsze dotyczy ssh 2.0 i przez to bardziej bezpieczne ... Gneneralnie zaleca się metody takie DSA, ze względu na to, że hasło nie jest przesyłane przez sieć, podajesz lokalnie hasło do klucza priv i DSA zajmuje się autoryzacją, ale skoro nie możesz podać hasła to hmm to troszkę traci na bezpieczeństwie, zwłaszcza skoro obawaisz się kradierzy klucza prywatnego. Szerzej wypowiem się wieczorem :D
"Spróbuj zapalić maleńką świeczkę zamiast przeklinać ciemność."
Konfucjusz
Awatar użytkownika
Sad Mephisto
Administrator
Posty: 2824
Rejestracja: 2004-05-22, 13:24
Lokalizacja: Zabrze
Kontakt:

Re: ssh-keygen klucze prywatne publiczne

Post autor: Sad Mephisto »

ahes pisze:no to teraz zakreciles. czyli jak ktos mi gwizdnie moj klucz prywatny to ma wjazd na wszystkie serwery na ktorych umiescilem klucz publiczny. tak/nie ?
(x) tak
( ) nie

Na tym właśnie polega prywatność klucza, żeby go trzymać w ukryciu.
[i]Thank you for noticing this notice. Now that you've noticed this notice, you may have noticed that this notice is noticably unnoticable.
$ python -c "print int(''.join(map(lambda x: str(len(x)),'Kto z woli i myśli zapragnie Pi spisać cyfry ten zdoła.'.split())))/1e+10"[/i]
jARRodx
Użytkownik
Posty: 45
Rejestracja: 2004-06-12, 16:16
Lokalizacja: Wrocław
Kontakt:

Re: ssh-keygen klucze prywatne publiczne

Post autor: jARRodx »

W DSA jest błąd umożliwiający odgadnienie klucza prywatnego dzieki przechwyceniu danych nim szyfrowanych. Jednak, mimo wszystko, jest to ciężkie obliczeniowo. Oprócz tego DSA jest algorytmem silniejszym, niż RSA. (http://www.tartarus.org/~simon/puttydoc ... tml#S8.2.2)

A co do kluczy, to bardzo dobrze jest zabezpieczać je hasłem. Nawet, jeśli jakiś nie-interaktywny skrypt/program ma z takiego klucza korzystać, to można pobawić się agentem, który obsłuży żądania hasła.
Awatar użytkownika
dozzie
Użytkownik
Posty: 855
Rejestracja: 2004-06-01, 13:15
Lokalizacja: Wrocław
Kontakt:

Re: ssh-keygen klucze prywatne publiczne

Post autor: dozzie »

Ja bym sie klocil z ta sila. DSA i RSA jest podobnie trudno zlamac, z tym, ze DSA jest oparte o trudniejszy problem logarytmu dyskretnego. Nawiasem mowiac, jesli przy szyfrowaniu RSA pojawi sie blad, to istnieje atak na RSA zdobywajacy klucz prywatny.

jARRodx: skrypt odpalany z crontaba chyba srednio moze poprosic o haslo, a nie wiem, czy agent moze przechowywac hasla przez XXX miesiecy bez unloadu. Znaczy, pewnie moze, ale na pewno to nie jest dobry pomysl ustawiac na wszystkie hasla kluczy kilkumiesieczny czas przed usunieciem z pamieci.
-zsh
#!/bin/bash
#!/usr/bin/perl -w
ODPOWIEDZ