Mailinglist Archive: opensuse-de (3513 mails)

< Previous Next >
Re: ssh und public-key authentication
  • From: Bernhard Walle <bernhard.walle@xxxxxx>
  • Date: Sun, 12 Dec 2004 15:49:50 +0100
  • Message-id: <41BC5A8E.9040006@xxxxxx>
Michael Schachtebeck wrote:

Ich hatte befürchtet, daß das so läuft. In dem Fall ist meiner Meinung
nach ein Public Key mit Paßwort deutlich unsicherer als ein reiner
paßwortgeschützter ssh-Zugang, falls es einem Angreifer gelingt, in den
Besitz des private key zu gelangen. In dem Fall hat er nämlich deutlich
bessere Chancen, daß Paßwort per brute force zu knacken (weil er ein
Programm auf den lokal vorliegenden Key loslassen kann; versucht man
brute force per ssh, entsteht bei vernünftig konfigurierten Systemen
nach jedem Fehlversuch eine Pause von 3 oder mehr Sekunden, bevor das
Paßwort erneut abgefragt wird - ohne diese Drosselung sind beim Knacken
der Passphrase des private key natürlich einige hundert Versuche pro
Sekunde denkbar. Oder übersehe ich da was?

Naja, so gesehen ist alles auf deinem Rechner unsicher. Auch GnuPG/PGP ist unsicher, weil es letztlich nach dem gleichen Prinzip verfährt. Idealerweise wäre natürlich der Private Key auf einer Chipkarte und könnte nicht ausgelesen werden, d. h. es sitzt ein Cryptochip drauf der direkt verschlüsselt. Dann wäre diese Schwachstelle behoben.

Wenn jemand Zugriff auf deinen Rechner hat solltest du es halt bemerken und Gegemaßnahmen ergreifen, d. h. GnuPG-Revocation und bei SSH halt auf dem anderen Rechner den Public Key löschen.


Gruß,
Bernhard

< Previous Next >