OpenSSH 9.5

Byla vydána nová verze 9.5 sady aplikací pro SSH komunikaci OpenSSH. Nově ve výchozím stavu ssh-keygen generuje Ed25519 klíče. Do ssh byla přidána možnost obfuskace časováním stisknutí kláves (keystroke timing obfuscation).

Jde to vypnout, These are controlled by a new ssh_config ObscureKeystrokeTiming keyword. Uvidíme, jestli mě bude 10ms průměrné latence navíc štvát. Bojím se že jo, protože 50ms už poznám a typické spojení co navazuji má 30-40.

Já to s tou denacifikací Slovenska myslel vážně.

5.10.2023 02:45 jejda | skóre: 24 | blog: jejda
Rozbalit Rozbalit vše Re: OpenSSH 9.5

Chápu to dobře že pokud se přihlašuju klíčem a nedatluju heslo do klávesnice tak se mě to netýká? Strach z toho že útočník bude vědět kolik znaků má moje heslo mi už přijde jak zbytečná paranoia. Když mu umožním jenom pár pokusů na login za minutu, tak bude i jednoduché heslo hádat sto let.

5.10.2023 06:56 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: OpenSSH 9.5

Chápu to dobře že pokud se přihlašuju klíčem a nedatluju heslo do klávesnice tak se mě to netýká?

Ani pokud datluješ heslo do klávesnice, tak se tě to netýká, neboť ssh přečte celé heslo a pošle ho najednou (vždy, vůbec se nepřenáší po znacích, ten protokol takto nefunguje) (bez záruky). Ta věc slouží k ochraně až navázané session.

Já to s tou denacifikací Slovenska myslel vážně.

5.10.2023 09:21 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: OpenSSH 9.5

Akurát že v už naviazanej session sa môžeš autentifikovať do nejakého iného programu/systému, a tam už môže záležať na odozve medzi stlačením kláves. Tak sa dá podľa latencie odhadnúť príkaz, meno alebo aj heslo. Minimálne sa dá odhadnúť ako ďaleko sú od seba stlačené klávesy, a s tým pracovať na uhádnutí (čo dramaticky zníži čas na prelomenie).

I keď v dnešnej dobe dvojfaktorovej autentifikácie alebo peňaženiek na kredence, ...

OpenSSH 9.5

Komentáře