Re: S/Key Nutzung

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Thu, 11 Jan 2007 16:31:05 +0100 (CET)

Sebastian Stolz wrote:
> ich spiele gerade mit dem Gedanken auf unseren Servern S/Key zu
> benutzen, wenn ich z.B. an einem "fremden" Rechner schnell auf die
> Server zugreifen will.
>
> Wie sind da eure Erfahrungswerte, ist das sinnvoll (sicher)?

Ja, ist es eigentlich schon. Es ist ja so, dass ssh allein
nur dann sicher ist, wenn man _beiden_ Endpunkten (Server
und Client) vertrauen kann und sie als sicher einstuft.
Mit anderen Worten, ssh sichert nur die Verbindung ab, ist
aber selbst von der Sicherheit der Endpunkte der Verbindung
abhängig. Wenn z.B. auf dem Client ein Keylogger instal-
liert ist, hast Du verloren, egal ob Du ssh verwendest oder
etwas anderes.

Solche Situationen treten auf, wenn Du z.B. in einem Inter-
net-Cafe sitzt, oder an sonst einem fremden Rechnern. Im
Grunde genommen immer dann, wenn Du an einem Rechner hockst,
bei dem Du nicht der alleinige Admin bist.

Für solche Fälle helfen nur Challenge-Respose-Verfahren
oder Einmal-Paßwörter (S/key bzw. OPIE).

Einmal-Paßwörter sind zwar nicht perfekt (es sind immer
noch spezielle Angriffsszenarien denkbar), aber es ist auf
jeden Fall schon erheblich besser als sich mit einem nor-
malen Paßwort einzuloggen. Ssh (oder ein anderes ver-
schlüsseltes Verfahren) sollte man natürlich trotzdem ver-
wenden, um "Man-in-the-middle"-Angriffe zu verhindern.

> P.S.: Bin eigentlich auf das Thema gekommen, weil ein Telekom
> Mitarbeiter das letzte mal ein RSA SecurID(c) Token zum einloggen
> genutzt hat :-) (fand ich sehr interessant)

Ich finde diese Teile eher suspekt, da sie auf einem ge-
heimen Algorithmus basieren und es daher nicht möglich
ist, ihre Sicherheit zu evaluieren. Darüber hinaus
verwenden die SecurID-Karten, die ein Eingabefeld haben,
einen simplen XOR-Algorithmus, um aus der PIN den Token
zu generieren (man kann's im Kopf ausrechnen, ohne das
Eingabefeld zu benutzen). Man könnte jetzt darüber
streiten, ob an der Stelle XOR ausreichend ist oder
nicht, aber ich bin der Ansicht, dass man sich an der
Stelle ruhig ein bisschen mehr Mühe hätte geben können,
und sei es nur aus kosmetischen Gründen.

Ein weiteres Manko ist, dass sie -- wie allerdings auch
viele andere Systeme -- nur eine einseitige Authentisierung
des Benutzers gegenüber dem Server erlauben. Sie verwen-
den kein Challenge-Response-Verfahren.

Ist natürlich nur meine persönliche Meinung. YMMV.

Gruß
   Olli

-- 
Oliver Fromme,  secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing
Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"I made up the term 'object-oriented', and I can tell you
I didn't have C++ in mind."
        -- Alan Kay, OOPSLA '97
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 11 Jan 2007 - 16:34:17 CET

search this site