Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Kolizje SHA-1 (chosen prefix) mogą być robione niepokojąco tanio. OpenSSH wyłączy „szeroko używany” ssh-rsa. Zagrożenie: omijanie uwierzytelniania się do serwerów kluczem
Poważne problemy z kolizjami SHA-1, zaczęły się w 2017 roku kiedy Google pokazało dwa różne PDFy, mające takie same hashe SHA-1. W tym roku pisaliśmy o znacznym spadku kosztów realizacji kolizji typu chosen prefix dla SHA-1 ($45 000). Obecnie będzie to pewnie jeszcze mniejsza kwota…
Ekipa OpenSSH postanowiła wreszcie dość stanowczo zareagować pisząc:
It is now possible[1] to perform chosen-prefix attacks against the
SHA-1 algorithm for less than USD$50K. For this reason, we will be
disabling the „ssh-rsa” public key signature algorithm by default in a near-future release.This algorithm is unfortunately still used widely despite the
existence of better alternatives, being the only remaining public key
signature algorithm specified by the original SSH RFCs.
W całości chodzi oczywiście o możliwość logowania się do serwerów za pomocą kluczy. W szczególności byłby możliwy atak właśnie na ten element. OpenSSH ma dać możliwość automatycznej migracji klientom ssh na lepsze alternatywy, ale zobaczymy niebawem czy wszystko pójdzie tak gładko. W każdym razie gdybyście w przyszłości nagle przestali mieć możliwość logowania się do Waszego serwera, wiecie do jakiego newsa wrócić ;-)
–ms
Pytanie laika: co robić, jak żyć?
Jakiego algorytmu użyć do nowych kluczy, żeby spać najbliższy tydzień? :)
Zobacz do info od openssh: The better alternatives include:
* The RFC8332 RSA SHA-2 signature algorithms rsa-sha2-256/512. These
algorithms have the advantage of using the same key type as
„ssh-rsa” but use the safe SHA-2 hash algorithms. These have been
supported since OpenSSH 7.2 and are already used by default if the
client and server support them.
* The ssh-ed25519 signature algorithm. It has been supported in
OpenSSH since release 6.5.
* The RFC5656 ECDSA algorithms: ecdsa-sha2-nistp256/384/521. These
have been supported by OpenSSH since release 5.7.
zmienic klucze na ssh-ed25519:
ssh-keygen -o -a 100 -t ed25519
Przeprowadzic hardening serwera SSH:
https://infosec.mozilla.org/guidelines/openssh
Zrobic audyt serwera:
https://github.com/jtesta/ssh-audit
Sha-2 to co do istoty ten sam paradygmat co sha-1 tylko dłuższy hash i jedynie nieco inny algorytm. W odległej perspektywie warto spróbować już dziś z sha-3, który ma zupełnie inną budowę.
Przeczytalem ten „notice” od OpenSSH ale nie wiadomo z niego, co *konkretnie* moze sie stać po tym „chosen-prefix attack”.
a) Zalogowac sie na konto ofiary bez znajomosci jej klucza?
b) Podsluchac komunikacje na drodze pakietow ustanowionej sesji?
Czy ktos z redakcji lub z czytelnikow moze to konkretniej opisac?
No i, jesli dobrze rozumiem, wrazliwosc dotyczy tylko logowania sie z uzyciem klucza, a logowanie sie z uzyciem hasla (tzn. keyboard-interactive) nie jest zagrozone? Czy zle rozumiem?
Strasznie lakoniczna ta notka OpenSSH :-(.