On Thu, May 24, 2001 at 12:48:37PM +0200, Oliver Fromme wrote:
> J Wunsch <j(at)uriah.heep.sax.de> wrote:
> > As jan(at)radio.hundert6.de wrote:
> > > Ist es denn möglich, einer ssh-session eine s/key-Challenge
> > > voranzustellen??
> >
> > Nicht daß ich wüßte. Hat auch keinen Sinn.
>
> Selbstverständlich kann das sinnvoll sein, und es ist
> durchaus auch möglich (das wäre ja sonst ziemich schwach,
> wenn man ssh und s/key nicht kombinieren könnte).
>
> Wenn Du zum Beispiel irgendwo in einem Internet-Cafe
> sitzt, oder an einem Rechner in einem Seminar, oder
> an einem Internet-Terminal in einem Hotel, oder sonstwo,
> wo Du dem Client nicht vertrauen kannst -- dort nützt
> Dir ssh alleine nicht das geringste. Ein anderes be-
> liebtes Beispiel sind Funktastaturen.
>
> Die Sicherheit von ssh steht und fällt mit der Ver-
> trauenswürdigkeit der beiden Endpunkte (Server _und_
> Client). Wenn dies auf der Clientseite nicht gewähr-
> leistet ist, brauchst Du ein OTP-System wie s/key.
Wenn du von einem Angreifer ausgehst, der auf der Clientseite
einen Tastatursniffer laufen hat und das *irgenwann* (sagen wir
mal 1x/Tag, wenn das Internet-Cafe zugemacht hat) auswertet, hast
du recht. Wenn du aber ganz generell nur sagst "Die
Vertrauenswuerdigkeit auf Clientseite ist nicht gewaehrleistet",
dann ist eigentlich bereits 1x einloggen zuviel, da ich als
Client dich den Einlogvorgang uebernehmen lasse, mich dann
austobe und deine Tastatureingaben froehlich ignoriere.
Bis du reagiert hast (also einen vertrauenswuerdigen Client
gefunden hast, oder jemanden angerufen hast, der da schnell noch
eingreifen kann), ist es bei entsprechender Vorbereitung
meinerseits vmtl. schon zu spaet.
bye,
Harold
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 24 May 2001 - 13:17:19 CEST