|
2.9, Аноним (-), 22:19, 07/01/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Есть ещё и небольшие дополнения и коррекции к данной статье: http://www.cypherpunks.ru/articles/securing_ssh.html
Да, забавные там мнения. AES - это неплохой ... шанс спи...ть ключ шифрования, если есть возможность запускать непривилегированные процессы на том же процессоре. Процессу не надо доступ куда либо - ключ спирается через тайминг атаки на кэш проца. При том если кому кажеся что это эфемерная угроза - ФИГ, были практические реализации.
| |
|
3.10, Sergey (??), 22:39, 07/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
Полностью поддерживаю и согласен по поводу AES! Но если непривилегированные процессы не запускаются, то AES сойдёт.
| |
|
4.28, Аноним (-), 13:00, 09/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
Если подумать, виртуалка или контейнер вполне могут оказаться на одном проце с чем-то еще. Такой вот не совсем очевидный но обидный факап.
| |
|
5.36, stargrave (ok), 23:41, 09/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Если подумать, виртуалка или контейнер вполне могут оказаться на одном проце с
> чем-то еще. Такой вот не совсем очевидный но обидный факап.
А могут и не оказаться, если под рукой собственно настроенный и управляемый сервер дома или в охраняемом помещении на работе :-). У кого какие исходные данные и опасности.
| |
|
6.39, Аноним (-), 00:59, 10/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
Грубо говоря - я считаю что алгоритм шифрования не имеет право настолько ограничивать рамки применений. Особенно в *никсах которые испокон веков многозадачные и многопользовательские системы и не учитывать этот факт - ну, знаете ли, мне ни к чему алгоритмы которые нормально работают только в сферическом вакууме а в остальных случаях от них ВНЕЗАПНО тырят ключ.
| |
|
|
|
|
|
1.2, Аноним (-), 20:57, 07/01/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
А может АНБ и дал эту рекомендацию? Щас побегут все себе не думая копипастить.
| |
|
2.7, Аноним (-), 22:14, 07/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
> А может АНБ и дал эту рекомендацию?
АНБ врядли обрадуется предложению вырубить нистовские алгоритмы и всякую окаменелую не слишком секурную дрянь, оставшуюся со времен царя Гороха.
| |
|
3.13, Аноним (-), 23:12, 07/01/2015 [^] [^^] [^^^] [ответить]
| –2 +/– |
Может им накладно держать спецов по этой окаменелой дряни? К тому ж уверенные в секурности современных алгоритмов хомячки будут сидеть на попе ровнее и вряд ли будут кипишить.
| |
|
4.20, Аноним (-), 18:14, 08/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
Ну вы можете верить в секурность DES. А у меня тем временем видеокарта весь keyspace за недельку переберет. Ну так, утрированно. Благо 56 битов - это не дофига.
| |
|
5.37, stargrave (ok), 23:42, 09/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Ну вы можете верить в секурность DES. А у меня тем временем
> видеокарта весь keyspace за недельку переберет. Ну так, утрированно. Благо 56
> битов - это не дофига.
Если внимательно бы почитать и хотя бы посмотреть на названия алгоритмов, то DES никто не предлагал и он не используется. Речь про 3DES, секурность которого 112 бит. А это дофига и всех видеокарт в мире не хватит для перебора keyspace.
| |
|
6.40, Аноним (-), 01:03, 10/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
> DES никто не предлагал и он не используется.
Но вообще по логике вещей он древнее и провереннее временем чем тройной DES :).Который и появился как хоть какая-то попытка вкостылить надежность до более разумных величин.
| |
|
|
|
|
|
1.3, Аноним (-), 22:02, 07/01/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
я бы просто запретил доступ извне к компу и все. а в сети просто не светить важные данные. и все. обычно прокладка между клавой и монитором всегда самая слабая часть))
| |
|
2.8, Аноним (-), 22:15, 07/01/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
> я бы просто запретил доступ извне к компу и все.
Круто. А как сервером в вон том датацентре в буржуиндии управлять? Лично ехать к буржуям в датацентр? Это долго, дорого и утомительно.
| |
|
|
4.21, Аноним (-), 18:15, 08/01/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
> У меня для тебя есть патриотичное решение ))
Наверное предложение поселиться жить в каком-нибудь датацентре. Спасибо, но что-то не хочется: там холодно и сервера воют как реактивный самолет.
| |
|
3.17, pavlinux (ok), 02:12, 08/01/2015 [^] [^^] [^^^] [ответить]
| +3 +/– |
А накой хрен тебе супер шифрование, если сервак в жопе мира,
доступно втыкание клавы, снятие дампа диска, и не факт, что
весь трафик не дампит АНБ
| |
|
4.22, Аноним (-), 18:20, 08/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
> весь трафик не дампит АНБ
Так пусть дампят шифрованный то, мне не жалко. А беспаливно что-то куда-то воткнуть ... ну, если ты креативный тип - отруби модули HID и прочая. Прикинь как товарищмайоры будут рады такому западлу? :) И case open детектор нехило бы настроить.
Кстати говоря, это эффективный метод завернуть атаки типа badUSB в ряде случаев. Если USBшный 3G свисток похакали и там ВНЕЗАНО отросла USB клава - хаксоров может ждать злой облом если свисток воткнут в нечто типа TL3020 с опенврт, где модуля HID тупо нет. Ну получил ты там клаву. И чего?
| |
|
|
2.16, XoRe (ok), 01:01, 08/01/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
> я бы просто запретил доступ извне к компу и все.
Доступ изнутри тоже надо запретить.
127.0.0.1 обязательно закрыть фаерволлом!
А то там 3306, 22, 9000, и т.д. порты светят на всю 127.0.0.0/8
Насчет прокладки - да, но настройка безопасных протоколов - это тоже делается "прокладкой".
| |
|
3.29, Аноним (-), 13:10, 09/01/2015 [^] [^^] [^^^] [ответить]
| –2 +/– |
вот и я о том же. кстати если трафик реально снимают то и шифрование ваше не поможет. поскольку алгоритмывсе известные и анб давно похакало их вскрытие. ну как впрочем и наши. но вот беда достойного шифрования нет пока на горизонте.
| |
|
4.43, Аноним (-), 10:57, 10/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
> достойного шифрования нет пока на горизонте.
Нас посетили крЮтые Ыксперды по шифрованию.
| |
4.57, XoRe (ok), 13:58, 21/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
> вот и я о том же. кстати если трафик реально снимают то
> и шифрование ваше не поможет. поскольку алгоритмывсе известные и анб давно
> похакало их вскрытие. ну как впрочем и наши. но вот беда
> достойного шифрования нет пока на горизонте.
До Сноудена "мозг не включай, шифрованию доверяй".
После "мозг не включай, ничему не доверяй".
Некоторые вещи (типа выключенного мозга) никогда не выходят из моды, как классика
| |
|
|
|
1.4, Аноним (-), 22:10, 07/01/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
>В том числе показано, как запустить SSH-сервер в виде скрытого сервиса Tor.
А вот это полный фейл.
| |
|
2.6, Аноним (-), 22:11, 07/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
Почему? Например вашему провайдеру станет намного менее очевидно что вы ходили вон туда и рулили вон тем сервером. А то что в tor узлы не обязаны быть дружелюбными - так роутеры по пути к серверу тоже не обязаны. Не вижу чем узлы Tor фундаментально хуже роутеров по пути.
| |
|
3.15, EHLO (?), 23:35, 07/01/2015 [^] [^^] [^^^] [ответить]
| –3 +/– |
Потому что для защиты от АНБ ты на свой сервер ставишь АНБ-шный Тор. // Йа все еще КОъ
Да и в принципе усилить SSH, выставив вместо него голую _____^W^W Тор это весьма.
| |
|
4.23, Аноним (-), 18:25, 08/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Потому что для защиты от АНБ ты на свой сервер ставишь АНБ-шный Тор.
А что - тор? Нет, если тебя зовут Бин Ладен и за тобой гоняется все АНБ и они имеют представление где тебя искать - тор тебя не особо спасет, разумеется. Но в обычном случае - на роль дежурной маскировки траффа от местечкового прова вполне сойдет. А контролировать 100% траффа в тор анб обломно будет (а если не обломно - ну мы им скажем спасибо за бесплатный бандвиз для обхода фаеров и фильтров и будем качать исошки убунты).
| |
|
5.24, EHLO (?), 18:54, 08/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
>> Потому что для защиты от АНБ ты на свой сервер ставишь АНБ-шный Тор.
> А что - тор? Нет, если тебя зовут Бин Ладен и за
> тобой гоняется все АНБ и они имеют представление где тебя искать
> - тор тебя не особо спасет, разумеется. Но в обычном случае
> - на роль дежурной маскировки траффа от местечкового прова вполне сойдет.
> А контролировать 100% траффа в тор анб обломно будет (а если
> не обломно - ну мы им скажем спасибо за бесплатный бандвиз
> для обхода фаеров и фильтров и будем качать исошки убунты).
А ты сабж пробовал читать?
| |
|
6.30, Аноним (-), 13:10, 09/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
> А ты сабж пробовал читать?
КрЮтая и аргументированная аргументация, как обычно у нашего профессионала. Скажи-ка, крутой профи, а с чего ты взял что роутеры по пути до сервака ведут себя лучше чем узлы Tor?
| |
|
7.32, EHLO (?), 17:22, 09/01/2015 [^] [^^] [^^^] [ответить]
| –2 +/– |
>> А ты сабж пробовал читать?
> КрЮтая и аргументированная аргументация, как обычно у нашего профессионала. Скажи-ка,
> крутой профи, а с чего ты взял что роутеры по пути
> до сервака ведут себя лучше чем узлы Tor?
Слона то ты и не приметил. Ты на собственный сервер ставишь странное пoделие, спонсированное АНБ.
Смысл ssh — прикрывать твой зaд, а ты укрепил sshd выставлением гoлого зaда перед ним.
| |
|
8.44, Аноним (-), 11:05, 10/01/2015 [^] [^^] [^^^] [ответить] | +/– | Ну я и говорю - они еще и SELinux проспонсировали Ты уже сносишь линух по этому... большой текст свёрнут, показать | |
|
9.45, EHLO (?), 12:15, 10/01/2015 [^] [^^] [^^^] [ответить] | +/– | zgrep SELINUX proc config gz CONFIG_SECURITY_SELINUX is not set Они так и до... текст свёрнут, показать | |
|
|
11.63, EHLO (?), 15:06, 23/01/2015 [^] [^^] [^^^] [ответить] | –1 +/– | Подайся в экстрасенсы что ли, потому что в ИТ тебе дальше эникея не подняться Н... текст свёрнут, показать | |
|
12.64, Аноним (-), 04:47, 26/01/2015 [^] [^^] [^^^] [ответить] | +/– | Несомненно, мнение такого крутого и компетентного эникея как ты для меня очень ц... большой текст свёрнут, показать | |
|
13.66, EHLO (?), 09:29, 26/01/2015 [^] [^^] [^^^] [ответить] | +/– | Да, уже писал в позапрошлом сообщении https blog torproject org blog openssl-... текст свёрнут, показать | |
|
|
|
|
|
|
|
|
|
|
|
2.14, Не аноним (?), 23:33, 07/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
Поясните, пожалуйста.
Пока, для меня это выглядит заманчивым. И вот почему:
1. Создать такой же адрес, как мой, будет технически сложно
2. Создав такой же адрес, будет технически сложно подменить мой ssh-сервер, с его фингерпринтом.
| |
|
1.5, Аноним (-), 22:10, 07/01/2015 [ответить] [﹢﹢﹢] [ · · · ] | +3 +/– | Наш ответ Чемберлену с его замечаниями Тройной DES - гуано Во первых, он торм... большой текст свёрнут, показать | |
|
2.12, stargrave (ok), 22:56, 07/01/2015 [^] [^^] [^^^] [ответить] | +3 +/– | Его стойкость 112 бит Не особая, но имещющаяся То что он в разы медленнее всех... большой текст свёрнут, показать | |
|
|
4.26, stargrave (ok), 21:11, 08/01/2015 [^] [^^] [^^^] [ответить] | +4 +/– | Возможно меня не так поняли, но я нисколько не собирался давить на то что 3des и... большой текст свёрнут, показать | |
|
5.31, Аноним (-), 17:01, 09/01/2015 [^] [^^] [^^^] [ответить] | +/– | Ну а если под рукой нужных алгоритмов нет - это как раз то чем стоило бы озаботи... большой текст свёрнут, показать | |
|
6.35, stargrave (ok), 23:37, 09/01/2015 [^] [^^] [^^^] [ответить] | +3 +/– | Это верно Но стандарты означают широкое распространение софта и то что его увид... большой текст свёрнут, показать | |
|
7.38, Аноним (-), 00:55, 10/01/2015 [^] [^^] [^^^] [ответить] | +/– | Только буйный психопат захочет читать код реализации какого-нибудь TLS от и до ... большой текст свёрнут, показать | |
|
8.41, stargrave (ok), 02:33, 10/01/2015 [^] [^^] [^^^] [ответить] | +3 +/– | А что вы всё только в OpenSSL тычите Я уже подчеркнул OpenSSL это крайность, о... большой текст свёрнут, показать | |
|
9.46, Аноним (-), 03:59, 11/01/2015 [^] [^^] [^^^] [ответить] | +/– | А то что SSL TLS один из наиболее массовых вариантов шифрования И самых грабель... большой текст свёрнут, показать | |
|
|
11.55, Аноним (-), 10:23, 19/01/2015 [^] [^^] [^^^] [ответить] | +/– | Спасиб, но что-то не хочется В смысле это будет тот же TLS, с теми же граблями ... большой текст свёрнут, показать | |
|
|
13.60, Аноним (-), 19:52, 21/01/2015 [^] [^^] [^^^] [ответить] | +/– | Факты говорят за себя сами - CVE в ssl ных либах стали привычным делом А раньше... большой текст свёрнут, показать | |
|
|
|
|
|
|
13.62, Аноним (-), 11:16, 23/01/2015 [^] [^^] [^^^] [ответить] | +/– | Да и я, поэтому если и буду сюда заходить то в фоне и не быстро Возможно Но мо... большой текст свёрнут, показать | |
|
|
|
|
|
|
|
|
|
|
|
|
1.27, Ilya Indigo (ok), 06:36, 09/01/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Всякие PuTTY и FileZilla, и прочие SFTP-клиенты поддерживают только, в смысле максимум, "ssh-rsa (4096 bit) / diffie-hellman-group-exchange-sha256", по этому приходится на сервере ещё поддерживать и их вместе с "ssh-ed25519 / curve25519-sha256".
А статья вполне адекватная, не смотря на то, что уровень моей паранои, отвергает всё что ниже 256 bit.
| |
|
2.33, Аноним (-), 21:04, 09/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
> отвергает всё что ниже 256 bit.
Крутой критерий. Используй XOR с 256-битной константой по кольцу.
| |
2.50, pavlinux (ok), 17:53, 11/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
> уровень моей паранои, отвергает всё что ниже 256 bit.
256bit - это не паранойя, это уровень средней, домашней криптографии.
Причем, 256 даже АНБ рекомендует для браузеров.
Банкиры - не юзают (не должны), всё, что меньше 512 бит!
Посему, лёгкая паранойя начинается с 1024-бит.
Но в Штатах пресекаются любые попытки публикации криптографии с такими ключами.
| |
|
3.51, Ivan_83 (?), 19:33, 11/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
256 бит чего?
Симметричного шифра? - больше пока вроде и не делали.
Для ECDSA хватает стандартных параметров в 512/521 бит.
| |
|
4.65, Аноним (-), 04:52, 26/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Симметричного шифра? - больше пока вроде и не делали.
Ну в тот же arcfour можно втолкать до 256 байтов инициализатора. То-бишь, до 2048 битов ключа. Симметничного. Другое дело что 256 битов симметричного ключа - выше крыши, а реальная стойкость arcfour - совсем иной вопрос.
| |
|
|
|
|