Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Kolizje SHA-1 (chosen prefix) mogą być robione niepokojąco tanio. OpenSSH wyłączy „szeroko używany” ssh-rsa. Zagrożenie: omijanie uwierzytelniania się do serwerów kluczem

27 maja 2020, 17:21 | W biegu | komentarzy 7

Poważne problemy z kolizjami SHA-1, zaczęły się w 2017 roku kiedy Google pokazało dwa różne PDFy, mające takie same hashe SHA-1. W tym roku pisaliśmy o znacznym spadku kosztów realizacji kolizji typu chosen prefix dla SHA-1 ($45 000). Obecnie będzie to pewnie jeszcze mniejsza kwota…

Ekipa OpenSSH postanowiła wreszcie dość stanowczo zareagować pisząc:

It is now possible[1] to perform chosen-prefix attacks against the
SHA-1 algorithm for less than USD$50K. For this reason, we will be
disabling the „ssh-rsa” public key signature algorithm by default in a near-future release.

This algorithm is unfortunately still used widely despite the
existence of better alternatives, being the only remaining public key
signature algorithm specified by the original SSH RFCs.

W całości chodzi oczywiście o możliwość logowania się do serwerów za pomocą kluczy. W szczególności byłby możliwy atak właśnie na ten element. OpenSSH ma dać możliwość automatycznej migracji klientom ssh na lepsze alternatywy, ale zobaczymy niebawem czy wszystko pójdzie tak gładko. W każdym razie gdybyście w przyszłości nagle przestali mieć możliwość logowania się do Waszego serwera, wiecie do jakiego newsa wrócić ;-)

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Moris

    Pytanie laika: co robić, jak żyć?
    Jakiego algorytmu użyć do nowych kluczy, żeby spać najbliższy tydzień? :)

    Odpowiedz
    • Zobacz do info od openssh: The better alternatives include:

      * The RFC8332 RSA SHA-2 signature algorithms rsa-sha2-256/512. These
      algorithms have the advantage of using the same key type as
      „ssh-rsa” but use the safe SHA-2 hash algorithms. These have been
      supported since OpenSSH 7.2 and are already used by default if the
      client and server support them.

      * The ssh-ed25519 signature algorithm. It has been supported in
      OpenSSH since release 6.5.

      * The RFC5656 ECDSA algorithms: ecdsa-sha2-nistp256/384/521. These
      have been supported by OpenSSH since release 5.7.

      Odpowiedz
    • Wujek Pawel

      zmienic klucze na ssh-ed25519:
      ssh-keygen -o -a 100 -t ed25519

      Odpowiedz
    • Wujek Pawel
      Odpowiedz
    • Janusz Gajewski
      Odpowiedz
    • chesteroni

      Sha-2 to co do istoty ten sam paradygmat co sha-1 tylko dłuższy hash i jedynie nieco inny algorytm. W odległej perspektywie warto spróbować już dziś z sha-3, który ma zupełnie inną budowę.

      Odpowiedz
  2. wybrano-prefikso atak

    Przeczytalem ten „notice” od OpenSSH ale nie wiadomo z niego, co *konkretnie* moze sie stać po tym „chosen-prefix attack”.

    a) Zalogowac sie na konto ofiary bez znajomosci jej klucza?
    b) Podsluchac komunikacje na drodze pakietow ustanowionej sesji?

    Czy ktos z redakcji lub z czytelnikow moze to konkretniej opisac?

    No i, jesli dobrze rozumiem, wrazliwosc dotyczy tylko logowania sie z uzyciem klucza, a logowanie sie z uzyciem hasla (tzn. keyboard-interactive) nie jest zagrozone? Czy zle rozumiem?

    Strasznie lakoniczna ta notka OpenSSH :-(.

    Odpowiedz

Odpowiedz