Ssh geknackt?

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
scientific
Beiträge: 3022
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Ssh geknackt?

Beitrag von scientific » 29.12.2014 12:47:29

dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

dufty2
Beiträge: 1714
Registriert: 22.12.2013 16:41:16

Re: Ssh geknackt?

Beitrag von dufty2 » 29.12.2014 14:14:45

Mmmh, wenig Details dazu (auch nicht im Spiegel Artikel) und warum erst jetzt veröffentlichen (wie viele bereits angemerkt haben)?

Was ich mir gut vorstellen könnte, dass sie schon längst über Heartbleed, Poodle (SSL 3.0), schwache ciphern etc. Bescheid wussten.

Aber das SSL/SSH/IPsec "komplett im Eimer sind"?

Mmmh ...

Benutzeravatar
Livingston
Beiträge: 1816
Registriert: 04.02.2007 22:52:25
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: 127.0.0.1

Re: Ssh geknackt?

Beitrag von Livingston » 30.12.2014 00:00:08

mobil.derstandard.at hat geschrieben: Update 13:39: Der Artikel wurde ergänzt, da einige oberflächliche Aussagen und Dokumente kritisiert werden.
Das wäre auch starker Tobak. Z.B. sind SSL und SSH gänzlich unterschiedliche Verfahren. Ich würde ja nicht ausschließen, dass die Geheimdienst-Säcke mit ihrer mathematischen Forschung an der einen oder anderen Stelle die Nase weit vorn haben, aber dass sie in Gänze alles unter Kontrolle haben könnten, hake ich unter der Kategorie Chemtrails, Aluhüte und Homöopathie ab.

Davon abgesehen halte ich den Artikel auch in der geupdateten Version für wenig aufklärerisch. Da warte ich doch lieber auf meine Kumpels, die den CCC besucht haben und lass mir das in Ruhe erklären.

wanne
Moderator
Beiträge: 7664
Registriert: 24.05.2010 12:39:42

Re: Ssh geknackt?

Beitrag von wanne » 30.12.2014 15:27:23

dufty2 hat geschrieben:Aber das SSL/SSH/IPsec "komplett im Eimer sind"?
Von Komplett war nie die Rede.
Das problem ist, dass die info's die man bekommt leider nur sehr spärlich sind.
Snowden hat halt sein zeug dem Spiegel gegeben und nicht mir :-( :
Insofern hier mal ein Link auf die Originalquelle (Der Vortrag von Appelbaum war zwar gut gemacht aber IMHO nicht so informativ.):
http://www.spiegel.de/netzwelt/netzpoli ... 10588.html

Was ich das bis jetzt verstanden habe (ich behalte mir mal updates vor wenn ich irgend was falsch verstanden habe):
  • IPSec-PSK scheint geknackt zu sein
  • Die Slides zu SSL beziehen sich ausdrücklich nur auf SSL/TLS1.0 mit RSA (Nicht TLS 1.2) (Die Dokumente sind auch schon 2Jahre alt und damals war das halt noch gar nicht verbreitet.) Das scheinen sie aber wohl knacken zu komemn.
  • Sieh haben decryptede SSH-Sessions gefunden. => SSH scheint mit mindestens einer Konfigration geknackt.
OTR und GPG scheint laut Appelbaum dagegen durchgehent als nicht decryptbar entfernt worden gekennzeichnet zu sein. (Wobei die GnuPG Leute laut eigener Aussage wohl selber nicht so genau wissen, was sie jetzt sooo derartig viel besser als die anderen gemacht haben. )
rot: Moderator wanne spricht, default: User wanne spricht.

dufty2
Beiträge: 1714
Registriert: 22.12.2013 16:41:16

Re: Ssh geknackt?

Beitrag von dufty2 » 31.12.2014 09:15:36

Da bleiben viele Fragen offen:
A) Wie kommt Snowden - als gewöhnlicher Admin - zu den ganzen top secret Unterlagen? Verschlüsselt die NSA ihre eigenen Dokumente nicht und legt sie jene nicht noch zusätzlich auf verschlüsselte Shares/Ablagen?

B) Der SSL-Bericht der Kanadischen Einheit ist fast schon eine Beleidigung für den kanadischen Steuerzahler:
Haben die schon mal was von Netcrafts SSL Survey gelesen? Und wenn ich https knacken kann, was interessiert mich dann die Apache-Version noch?

C) Wo bleibt MS mit seinen ganzen Protokollen (RDP, NTLM, Kerberos)? Oder kann man MS eh gleich vergessen (globale Backdoor(s))?

D) Mich würden z. B. auch Datenbanken (Data at rest) und deren (Nicht-)Verschlüsselung interessieren und nicht nur Data on the fly.

EDIT:
Bei HTTPS könnte gut sein, dass ihnen eine (oder mehre) CAs gehören und Certificate Pinning war wohl 2012 noch nicht so en vogue.

Antworten