The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Проект Kryptonite развивает систему хранения закрытых ключей SSH на смартфоне

04.05.2017 09:49

Представлен проект Kryptonite, предлагающий хранить закрытые ключи SSH на смартфоне, вместо размещения в файле ~/.ssh/id_rsa. Kryptonite состоит из двух частей - ssh-агента, запускаемого на стороне рабочих станций, и мобильного приложения для Android и iOS, занимающегося хранением ключей. Агент написан на языке Go и распространяется в исходных текстах, но лицензия на код пока не определена.

Kryptonite может рассматриваться как подобие двухфакторной аутентификации для доступа к SSH-ключам. Все операции с ключами выполняются на смартфоне, а размещаемый на локальной системе агент лишь получает результат операции, выполненной на стороне смартфона с закрытым ключом. На локальной системе ключи не фигурируют ни в каком виде. Каждая операция с ключом требует явного подтверждения на смартфоне.

Так как ключи хранятся отдельно, они не привязаны к локальным системам и один ключ можно использовать с разных компьютеров. С точки зрения безопасности, с одной стороны появляется лишнее звено в виде смартфона, но с другой стороны исчезает возможность утечки ключей из локальной ФС рабочей станции в случае компрометации пользовательских приложений (например, эксплуатации уязвимости в браузере). Весь обмен данными между ssh-агентом и мобильным приложением передаётся в зашифрованном виде, для шифрования и аутентификации используется библиотека libsodium.

Процесс работы с Kryptonite выглядит следующим образом: На локальных системах устанавливается пакет с ssh-агентом kr, а на смартфоны специальное приложение. Далее запускается процесс сопряжения мобильного приложения и рабочих станций пользователя. Сопряжение сводится к выполнению в терминале на рабочей станции команды "kr pair", которая приводит к отображению QR-кода. Пользователь фотографирует мобильным приложением этот QR-код, после чего Kryptonite генерирует пару SSH-ключей, сессионные ключи для аутентификации рабочей станции и устанавливает канал связи с агентом. Обмен данными между агентом и смартфоном может производиться по Bluetooth или шифрованному каналу поверх TCP/IP (применяются сервисы AWS SQS и AWS SNS). Далее при каждом использовании SSH на сопряжённой рабочей станции на смартфоне выводится уведомление и требование подтвердить вход.

На смартфоне в iOS ключ хранится в iOS Keychain и генерируется на базе 4096-разрядных ключей RSA в реализации Apple iOS Security Framework или на базе Ed25519 в реализации libsodium. В Android ключи сохраняются в аппаратно изолированном хранилище ключей Android Keystore и генерируются в виде 3072-разрядных ключей RSA. Android Keystore выступает в роли чёрного ящика, из которого ключи не могут быть извлечены, в том числе самим Kryptonite. При поступлении запроса по SSH, Android Keystore генерирует цифровую подпись при помощи сохранённого ключа и возвращает результат. В случае утери или кражи смартфона достаточно удалить привязанные к нему открытые ключи из всех своих учётных записей и заменить на новые открытые ключи, сгенерированные на новом смартфоне.

  1. Главная ссылка к новости (https://blog.krypt.co/the-end-...)
  2. OpenNews: Выпуск Mosh 1.3, альтернативы SSH
  3. Применение двухфакторной аутентификации для SSH и GDM средствами Google Authenticator
  4. Двухфакторная аутентификация SSH с использованием YubiKey
  5. OpenNews: Реализация чата на основе SSH. Предложения по расширению области применения SSH
  6. OpenNews: Представлен новый защищённый SSH-сервер TinySSH
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/46496-kryptonite
Ключевые слова: kryptonite, ssh, ssh-agent
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (179) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, ОлдФак (ok), 10:32, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +32 +/
    Ага, закрытые ключи на смартфоне. А смартфон их при любом удобном случае - дядям Сэмам.
    Молодцы!
     
     
  • 2.59, XXX (??), 14:06, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +8 +/
    "Может им еще и ключи от сервера где деньги лежат?" (с)
     
     
  • 3.73, DmA (??), 15:40, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    у вас есть способ передавать ключи со смартфона не размещая их там? Они всё равно будут у дяди Сэма!
     
     
  • 4.77, _ (??), 16:09, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Так и не размещай их _там_ Д,Б!
    Да сервера иногда ломают.
    Но, таки - да, телефоны взломаны _всегда_, это их основная функция вообще-то :)
     
     
  • 5.82, DmA (??), 16:25, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > Так и не размещай их _там_ Д,Б!
    > Да сервера иногда ломают.
    > Но, таки - да, телефоны взломаны _всегда_, это их основная функция вообще-то
    > :)

    Мне кажется это фича TCP протокола, всегда есть возможность взломать систему!

     
     
  • 6.119, Аноним (-), 21:16, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Мне кажется это фича TCP протокола, всегда есть возможность взломать систему!

    Вы хотите поговорить о том, что Вам кажется?

     
     
  • 7.136, DmA (??), 08:24, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> Мне кажется это фича TCP протокола, всегда есть возможность взломать систему!
    > Вы хотите поговорить о том, что Вам кажется?

    а я всегда только об этом и говорю!

     
  • 5.158, Аноним (-), 15:11, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это всё Ротшыльды, сцу..
     

  • 1.2, Аноним (-), 10:33, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +18 +/
    >С точки зрения безопасности, с одной стороны появляется лишнее звено в виде смартфона, но с другой стороны исчезает возможность утечки ключей из локальной ФС в случае компрометации пользовательских приложений (например, эксплуатации уязвимости в браузере).

    По-моему, хипстота снова пытается всех обмануть.
    Не кажется ли вам, что подобный trade-off не в пользу мобильного приложения?

     
     
  • 2.95, Аноним (-), 17:52, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > хипстота

    Ещё какая!
    https://avatars3.githubusercontent.com/u/1348691
    https://avatars2.githubusercontent.com/u/356333

     

  • 1.3, Аноним (-), 10:37, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    В этой новости не хватает ссылок на тестирование безопасности android приложений...
     
     
  • 2.8, Аноним (-), 10:57, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • –11 +/
    Технологии защиты в Android на порядок лучше (SELinux, sandbox-изоляция, идентификаторы процессов, ограничение к API и т.п.), чем в стационарных системах. Не ставьте на смартфон всякую непроверенную гадость и смотрите/урезайте права доступа, которые требует приложение, и всё будет в порядке.
     
     
  • 3.9, tstalker (ok), 11:20, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Подавляющее большинство целевой аудитории пользователей смартфонов разбираются в IT Security примерно так же, как я в балете.
    Какие права доступа?
    Они и слов таких никогда не слышали.
    А потому лови шпалу, как говорят на ЯПе.
     
  • 3.11, rob pike (?), 11:26, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    В стационарных системах отсутствует, например, broadband модуль, на котором крутится неизвестно что, имеющий полный доступ ко всему. С неизвестно какими дырами.
     
     
  • 4.23, Аноним (-), 12:20, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > В стационарных системах отсутствует, например, broadband модуль, на котором крутится неизвестно что, имеющий полный доступ ко всему. С неизвестно какими дырами.

    Это не так, последние 10 лет cpu без подобного модуля не запускаются, см.
    https://libreboot.org/faq.html#intel
    https://libreboot.org/faq.html#amd

     
     
  • 5.56, Ivan_83 (ok), 13:56, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Только разница в том, что для работы МЕ нужна её встроенная сетевушка.
    АМД же своим псп вообще с сетью работать не умеет.
     
     
  • 6.68, Аноним (-), 15:13, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Спорное утверждение. Кто там выдаёт разрешения на продажу сетевух? А где заводы?
     
  • 4.76, Аноним (-), 16:08, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >В стационарных системах отсутствует, например, broadband модуль, на котором крутится неизвестно что, имеющий полный доступ ко всему.

    Ко всему он доступа не имеетпри наличии IOMMU в девайсе.

     
     
  • 5.139, фф (?), 09:48, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет. iommu это не про то. Это только виртуальное адресное пространство io. Вся мякотка в контроле DMA. А DMA контролируется через pcie ACS расширение. Которое реализовано в основном на серверах.
     
  • 3.14, Аноним (-), 11:42, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >  Технологии защиты в Android на порядок лучше

    Поэтому там постоянно находят новые вирусы чуть ли не каждый день? То деньги вымогают, то смс-ки на короткие номера шлют. Да, безопасность!

     
     
  • 4.18, Аноним (-), 11:51, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Пруф какой-нибудь что ли.
     
     
  • 5.24, Аноним (-), 12:21, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Пруф какой-нибудь что ли.

    https://www.cnet.com/news/malware-from-china-infects-over-10-million-android-u

    Ну вот, например. А ещё, когда я купил смартфон на ведре, обнаружил, что там встроена какая-то малварь, которая аппарат регистрирует, путём отправки смс на короткий номер. Стоит это 5 рублей, но всё равно, неприятно. Естественно, как получил рут, сразу снёс.

     
     
  • 6.138, DmA (??), 09:17, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> Пруф какой-нибудь что ли.
    > https://www.cnet.com/news/malware-from-china-infects-over-10-million-android-u
    > Ну вот, например. А ещё, когда я купил смартфон на ведре, обнаружил,
    > что там встроена какая-то малварь, которая аппарат регистрирует, путём отправки смс
    > на короткий номер. Стоит это 5 рублей, но всё равно, неприятно.
    > Естественно, как получил рут, сразу снёс.

    точно снёс? :)Может она только делает вид, что удалилась?

     
     
  • 7.143, Аноним (-), 11:15, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Лол, она как системная была. Я ещё заодно всякие гуглофремворки и прочее снёс. А потом плюнул на всё и накатил AOSP.
     
  • 6.160, Аноним (-), 15:23, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Этот весёлый мир китайского андроида.


     
  • 4.25, Аноним (-), 12:24, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >>  Технологии защиты в Android на порядок лучше
    > Поэтому там постоянно находят новые вирусы чуть ли не каждый день? То
    > деньги вымогают, то смс-ки на короткие номера шлют. Да, безопасность!

    Эти вирусы атакуют пользовательскую ОС, к Android Keystore они доступа не имеют.

     
     
  • 5.57, Аноним (-), 14:03, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > к Android Keystore

    Есть куча уязвимостей помогающих получить рут на девайсах? Не веришь? Погугли. То есть ты считаешь, что они не могут получить рута и вытворять что угодно? Да я не в жизнь не поверю.

     
     
  • 6.121, Аноним (-), 23:50, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> к Android Keystore
    > Есть куча уязвимостей помогающих получить рут на девайсах? Не веришь? Погугли. То
    > есть ты считаешь, что они не могут получить рута и вытворять
    > что угодно? Да я не в жизнь не поверю.

    Причём тут root? Android Keystore недоступен для чтения, у него нет такой функции «прочитать ключ».

     
     
  • 7.144, Аноним (-), 11:16, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты очень наивный падаван. Через ядро можно прочитать всё что угодно. А эксплойтов в блобах дохера на ведре.
     
     
  • 8.151, пох (?), 13:32, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    ну ставься на ипхон - там не все в андроиде keystore - _программный_ механизм, ... большой текст свёрнут, показать
     
  • 6.154, Аноним (-), 13:54, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Есть куча уязвимостей помогающих получить рут на девайсах

    Да, kingroot называется.
    Но я буду вам признателен, если вы поделитесь ссылкой на рабочий эксплоит к андроbду 6.0.1.
    А то как-то грустно без рута на телевизоре...
    ЗЫ: Xiaomi Mi 3s 60"

     
  • 4.51, Аноним (-), 13:46, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Какие вирусы? Фонарик, которые запришивает пермишен на отправку смс? Самая основная уязвимость андроида держит его в руках. И тут никакие песочницы, selinux не помогут
     
     
  • 5.61, Аноним (-), 14:07, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Огоспаде, да окуда вы такие берётесь? Тролль или правда не понимаешь? Ты доверяешь свои данные системе, у которой половина блобов в ядре несвободная. У ядерных блобов есть прямой доступ к ядру, думаешь они не могут слить данные? Нет, конечно, если у тебя какой-нибудь Replicant, то, теоретически ты защищён, да.
     
     
  • 6.72, Аноним (-), 15:26, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это если речь про ядерные блобы. На практике на многих девайсах уже активирован ARM-ский Trust Zone (в котором выполняется Samsung Knox, а то и что похуже), а он может иметь (и имеет!) пользователя не заморачиваясь с кольцами доступа ОС.
     
     
  • 7.75, Аноним (-), 15:54, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Это если речь про ядерные блобы. На практике на многих девайсах уже
    > активирован ARM-ский Trust Zone (в котором выполняется Samsung Knox, а то
    > и что похуже), а он может иметь (и имеет!) пользователя не
    > заморачиваясь с кольцами доступа ОС.

    Ну анон выше писал, что рут можно легко получить на почти всех девайсах. Так что проблемы заразить ведро вообще нет.

     
  • 6.123, Аноним (-), 00:00, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Огоспаде, да окуда вы такие берётесь? Тролль или правда не понимаешь? Ты
    > доверяешь свои данные системе, у которой половина блобов в ядре несвободная.
    > У ядерных блобов есть прямой доступ к ядру, думаешь они не
    > могут слить данные? Нет, конечно, если у тебя какой-нибудь Replicant, то,
    > теоретически ты защищён, да.

    Почему тебе лень кликнуть на ссылку в новости и узнать наконец что такое Android Keystore?

    > У ядерных блобов есть прямой доступ к ядру, думаешь они не
    > могут слить данные?

    Нет не могут, потому что Android Keystore это отдельный защищённый чип и у него нет функции «прочитать ключ».

     
     
  • 7.145, Аноним (-), 11:19, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Слушай, ты наивный. Доступ ядра есть?! Есть! Всё. Можно прочитать. Кстати, судя по API можно получить сертификат и ещё много чего через него. То есть подписать сертификат и управлять устройством типа нельзя? Я вообще не понимаю, чего ты ведро выгораживаешь? Всем известно, что защищённых на 100% ОС не бывает. Не говоря уж о том, что есть бэкдоры даже в хардваре. Вон, на Intel AMT посмотри.

    > отдельный защищённый чип

    Значит у гугла есть доступ к твоему смартфону, только и всего. И молись, чтобы он не сливал этот доступ третьим лицам.

     
     
  • 8.152, пох (?), 13:40, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    в случае чипа с tpm - нету Только через апи и только на чтение Сами ключи не ч... большой текст свёрнут, показать
     
  • 6.161, Аноним (-), 15:28, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > если у тебя какой-нибудь Replicant, то, теоретически ты защищён, да.

    От СОРМ он поможет?


     
  • 3.26, Аноним (-), 12:25, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >урезайте права доступа, которые требует приложение

    Научи без получение рута на девайсе.
    Почему то при всех этих технологиях зашиты приложения имеют Андройд как хотят

     
  • 3.40, wins proxy (?), 13:20, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В типичном Android-смартфоне куча уязвимостей, закрывать которые вендор и не собирается.
     
  • 3.55, Ivan_83 (ok), 13:56, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Только вот доверия вендорам нет, да и дырок много.
     
  • 3.137, DmA (??), 09:14, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    и да и нет Частично Selinux изоляция всё это давно есть в Линукс на десктопе ... большой текст свёрнут, показать
     
     
  • 4.162, Аноним (-), 15:32, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > запускаются почтовые программы и браузеры с правами администратора

    На винде? Это ты сам придумал? Нет, конечно технически это можно, но.. Ну ладно, запускаешь ты ФФ с ТБ на винде из под администратора и бог с тобой.

     

     ....большая нить свёрнута, показать (33)

  • 1.4, YetAnotherOnanym (ok), 10:43, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Не, а чо, купить специально дешёвый смартфон, отпаять антенну - и вуаля.
     
     
  • 2.27, Аноним (-), 12:26, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А если недалеко от вышки? Антенна даже не понадобится. Как минимум, выпаять радиомодуль.
     
     
  • 3.89, Аноним (-), 17:34, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Угу, выпилить из чипа лобзиком.
     
  • 3.120, Аноним (-), 22:43, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Смарт в шапочке из фольги!
     
  • 2.163, Аноним (-), 15:36, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Не, а чо, купить специально дешёвый смартфон, отпаять антенну - и вуаля.

    А также вынуть батарею и забросить её в пруд с утятами. Для 100% гарантии надёжности всё что осталось положить под трамвай.


     

  • 1.5, Аноним (-), 10:47, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    >которая приводит к отображению QR-кода

    Как узнать хипстоту...

     
  • 1.6, annonim (?), 10:50, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > систему хранения закрытых ключей SSH на смартфоне

    /0

     
  • 1.7, Анончик (?), 10:56, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Я конечно хипстота, но это уже перебор.
     
     
  • 2.13, Аноним (-), 11:38, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +14 +/
    Ты не хипстота. Быть хипстотой - это мейнстрим, а хипстер никогда не признает себя мейнстримщиком. Позер!
     
     
  • 3.132, Анони (?), 02:02, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Как там дела в 2012ом?
     
     
  • 4.164, Аноним (-), 15:37, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > в 2012ом?

    2k12 - так пиши.


     
  • 3.141, Аноним (-), 10:37, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    так эти челки носили, те что сейчас про бритвы не знают
     
     
  • 4.165, Аноним (-), 15:38, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > так эти челки носили, те что сейчас про бритвы не знают

    Резали чёлки бритвами? Себе или окружающим?


     

  • 1.12, rob pike (?), 11:28, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > Обмен данными между агентом и смартфоном может производиться по Bluetooth

    Замените смартфон на небольшое отдельное устройство на открытом hardware, и будет уже похоже на что-то полезное.

     
     
  • 2.17, anonimus (?), 11:48, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    в виде наручных часов, не имеющих портов, пожалуй было бы самое оно
     
     
  • 3.21, Crazy Alex (ok), 12:00, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    это уже явно перебор. учитывая неизбежную маргинальность такой железки - порты не проблема, целенаправленно атаковать никто не станет, а от остального спасёт экзотичность
     
  • 2.166, Аноним (-), 15:41, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Замените смартфон на небольшое отдельное устройство на открытом hardware, и будет уже
    > похоже на что-то полезное.

    Согласен!
    http://herocollector.com/Content/ArticleImages/communicator.jpg


     

  • 1.16, Аноним (-), 11:45, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Чем это лучше ключа на зашифрованной флэшке?
     
     
  • 2.19, пох (?), 11:55, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    тем что с флэшки его могут спереть плохие ребята, когда ты этой флэшкой воспольз... большой текст свёрнут, показать
     
     
  • 3.28, music (?), 12:26, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а смартфон можно уронить, утопить, как от этого спастись? а, ну да синхронизация на гугл драйв и дропбокс ;-)
     
     
  • 4.49, пох (?), 13:43, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > а смартфон можно уронить, утопить

    здесь это трейдоф, понятный - можно остаться без ключей, но их не сопрет просто так кто-то, на полчасика одолживший твой компьютер (зашедший с помощью AMT, заодно походя обойдя secure boot ;-)  - во всяком случае, ему понадобятся совершенно нетривиальные телодвижения и сам телефон, а как только ты все это выключил, снова останется без твоих ключей - к ним надо обращаться каждый раз через телефон и как-то обойдя проверку (тоже каждый).

    С флэшкой трейдоф непонятный-  ты без флэшки, у хороших ребят, поломавших твой ноут, есть копия твоих ключей в расшифрованном тобой же виде, но, поскольку они не оставляли тебе свой адрес, ты не можешь попросить их поделиться (хотя я бы в отделе безопасности спросил ;-)

     
  • 2.33, Аноним (-), 12:44, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Тем, что слямзить можно дистанционно, пользователь даже не догадаетя. А расшифровывать придётся хоть со смартфона, хоть с флешки.
     

  • 1.20, Аноним (-), 11:58, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Чем он лучше езопасных тайм ключей QR от Google Authenticator?
     
     
  • 2.32, Crazy Alex (ok), 12:43, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а вот это правильный вопрос. Чем ним нормальная 2FA не угодила?
     
     
  • 3.53, пох (?), 13:51, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > а вот это правильный вопрос. Чем ним нормальная 2FA не угодила?

    и где она, нормальная -то?
    _нормальная_ - self hosted, а не в гугле. Желательно - в кармане, а не на сервере.

    то есть в идеале - usb-token с пинпадом (требует _одновременно_ продемонстрировать наличие артефакта _и_ знание пина. Причем правильный пин не является особоценным товаром, поменять его можно в любую секунду и это никак не требует синхронизации с тем, от чего там лежат ключи). И, разумеется, понятным мне содержимым, а не нечто залитое эпоксидкой, а внутри sd карта с ключами там же где и шифрованный раздел, как мы все любим.

    С тех пор, как вездесущие камеры свели пользу от otp-генераторов на базе хешей к нулю, я уже очень давно ищу им какую-нибудь замену. Тоже нету в природе.

     
     
  • 4.66, Ergil (ok), 14:48, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > _нормальная_ - self hosted, а не в гугле. Желательно - в кармане, а не на сервере.

    Чувак, я тебе открою тайну, никому не говори.
    Google Authenticator нигде не хостится, он реализует два RFC(RFC 6238 и RFC 4226) и приложение работает оффлайн. Их же, к примеру, реализует FreeOTP Authenticator, у которого исходники открыты(https://github.com/freeotp) кушай, не обляпайся и больше не говори чуши.

     
     
  • 5.86, пох (?), 17:17, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • –6 +/
    чувак, я тебе открою другую тайну это тред об аутентификации на собственные сер... большой текст свёрнут, показать
     
     
  • 6.97, Crazy Alex (ok), 17:58, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ёк. Ты вообще что такое TOTP знаешь или со скуки влез туда, о чём вообще не в курсе?
     
     
  • 7.98, пох (?), 18:08, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    что такое - знаю. Как реализовано - не знаю и знать не хочу.
    Вот эта чудесная хня в pam_google_какаятопогребень - она точно сама все считает, а не берет у гугля готовый ответ?

    Если да, то возвращаемся к исходному вопросу- чем она лучше поделия на go, которое хотя бы не светит ни кодом, ни ключами наружу, и где, блин, что-то вменяемое, вместо.

    Как (примерно) выглядит вменяемое - я описал (нет, это не убиквити, если вы про нее подумали - там все _совсем_ плохо)

     
     
  • 8.103, Crazy Alex (ok), 18:28, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну вот залезь в описание и в исходники при желании и не неси чушь Стандарты о... текст свёрнут, показать
     
     
  • 9.107, пох (?), 18:45, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    желания нет - поверю на слово Это, мягко говоря, не та технология, которой я хо... текст свёрнут, показать
     
  • 8.113, Аноним (-), 19:13, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Возьми исходники и посмотри Не хочешь ковыряться в ведроид-помойке 8212 хотя... текст свёрнут, показать
     
  • 2.36, Аноним (-), 12:53, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Чем он лучше езопасных тайм ключей QR от Google Authenticator?

    Ты продумал защиту от брутфорса? Шесть цифр легко подобрать.

     
     
  • 3.39, КЭП (?), 13:08, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ты подумал об ограничении на количество неверных вводов, умник?
     
     
  • 4.43, Аноним (-), 13:25, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > Ты подумал об ограничении на количество неверных вводов, умник?

    Умник - это попытка оскарбить? :-)

    Без защиты от брутфорса требуется три дня что бы угадать шесть цифр, не надо преувеличивать возможности TOTP.

     
     
  • 5.91, Аноним (-), 17:38, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Без защиты от брутфорса требуется три дня что бы угадать шесть цифр, не надо преувеличивать возможности TOTP.

    Кому нужны твои шесть цифр через три дня, если они меняются каждые 30 секунд?

     
     
  • 6.124, Аноним (-), 00:38, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Без защиты от брутфорса требуется три дня что бы угадать шесть цифр, не надо преувеличивать возможности TOTP.
    > Кому нужны твои шесть цифр через три дня, если они меняются каждые
    > 30 секунд?

    Более того, как ты собрался проверять пароль трёх дневной давности? Подбирают текущий 30 секундный пароль, а не прошлый.

     
  • 5.133, Аноним (-), 04:11, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    "Оскарбить" - наделить, снабдить скарбом, каким-л. имуществом, то же, что одарить.
     
     
  • 6.157, Аноним (-), 15:06, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У тебя кавычки не верные, в русском языке используют «ёлочки» или „лапки“.
     
     
  • 7.186, Аноним (-), 02:37, 09/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    «французские так-то»
     
  • 3.42, Аноним (-), 13:24, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    sshguard и плюс защита самой rate-limit в google PAM
     
     
  • 4.45, Аноним (-), 13:33, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > sshguard и плюс защита самой rate-limit в google PAM

    Ok, но ведь sshguard заблокирует и легитимного пользователя, если он за одним IP с атакующим, что для 3G не такая уж редкость. А для ботнета sshguard не проблема.

     
     
  • 5.50, Аноним (-), 13:46, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> sshguard и плюс защита самой rate-limit в google PAM
    > Ok, но ведь sshguard заблокирует и легитимного пользователя, если он за одним
    > IP с атакующим, что для 3G не такая уж редкость. А
    > для ботнета sshguard не проблема.

    В последнем OpenSSHd уже встроен rate-limit на уровне ip.

     
     
  • 6.63, Аноним (-), 14:17, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>> sshguard и плюс защита самой rate-limit в google PAM
    >> Ok, но ведь sshguard заблокирует и легитимного пользователя, если он за одним
    >> IP с атакующим, что для 3G не такая уж редкость. А
    >> для ботнета sshguard не проблема.
    > В последнем OpenSSHd уже встроен rate-limit на уровне ip.

    А чем он лучше sshguard? Он так же заблокирует и админа, если он в одной подсети с ботнетом.

     
  • 3.46, Аноним (-), 13:33, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Удачно вам перебрать брутфорсом Time-based One Time Password.
     
     
  • 4.62, Аноним (-), 14:13, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Удачно вам перебрать брутфорсом Time-based One Time Password.

    На угадывание шести цифр TOTP требуется три дня.

     
     
  • 5.83, Crazy Alex (ok), 17:06, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Как считали?
     
     
  • 6.125, Аноним (-), 00:40, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Как считали?

    https://sakurity.com/otp

     
     
  • 7.148, Аноним (-), 12:54, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Там же описано лекарство: Simply lock the account after 10 failed attempts and ask the user to change his password.
     
     
  • 8.159, Аноним (-), 15:12, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, автор предложивший Google Authenticator об этом не упомянул, поэтому я уточ... текст свёрнут, показать
     
  • 5.84, Crazy Alex (ok), 17:08, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Хотя в любом случае - если что-то лупит попытками входа с верным ключом и кривым кодом - на это должна быть реакция, в виде письма как минимум
     
     
  • 6.87, пох (?), 17:21, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Хотя в любом случае - если что-то лупит попытками входа с верным
    > ключом и кривым кодом - на это должна быть реакция, в
    > виде письма как минимум

    ну и что мне делать с этим письмом - распечатать и на йолку повесить?
    К тому же спасибо за новую идею ddos'а систем - всего-то надо сделать с десяток попыток с одного зомбо-ip, чтобы ты получил песьмо щастья, я правильно понял? ;-) Жди завтра почтальона - на камазе.

     
     
  • 7.96, Crazy Alex (ok), 17:56, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    с десяток попыток с верным ключом. Соответственно, что делать - понятно - дёргаться, менять ключи, аудитить безопасность и так далее.
     
     
  • 8.99, пох (?), 18:11, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну и - я под елкой, интернет где-то далеко, ключ утек - то ли через поломанную м... текст свёрнут, показать
     
     
  • 9.102, Crazy Alex (ok), 18:23, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну у вас же есть какая-то тактика на случай, если ключи утекли - по какой-либо п... большой текст свёрнут, показать
     
     
  • 10.106, пох (?), 18:42, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    нету Ну в смысле, я не храню и не использую ключи там, где они могут утечь или... большой текст свёрнут, показать
     
     
  • 11.108, Crazy Alex (ok), 18:51, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так 2FA как раз и есть для случая я не храню и не использую ключи там, где о... текст свёрнут, показать
     
     
  • 12.111, пох (?), 19:04, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    так в оригинале было не про 2FA, а про просто замену гуглем этой вот чудо-хрени ... текст свёрнут, показать
     
     
  • 13.130, Crazy Alex (ok), 01:11, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Э я не думаю, что кто-то в здравом уме будет это использовать как единственны... текст свёрнут, показать
     
  • 3.69, Ergil (ok), 15:13, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Что ты брутфорсить собрался? Шестизначное число меняющееся каждые 30 секунд? Да еще после того, как ты набрутфорсил ключ? :-D Выщипайте мне перья, я хочу это видеть! fail2ban тебя пришибет сразу, ты даже до брутфорса ключа не дойдешь, я уж молчу про то, что хрен ты его подберешь. А! Да! Тебе же еще надо логин угадать :-D
     
     
  • 4.126, Аноним (-), 00:48, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    fail2ban это хороший способ заблокировать вход администратору :-)
     
     
  • 5.128, Укпшд (?), 00:56, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > fail2ban это хороший способ заблокировать вход администратору :-)

    Используя только ключи невозможно ошибиться в пароле или еще каким-то образом допустить ошибку ауфа, да еще трижды подряд. Ну плюс к тому мой вот статик, с которого и только с которого я захожу у клиентов на серверах в вайтлисте, хрен он мне чего заблокирует

     
     
  • 6.168, _ (??), 16:31, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >Ну плюс к тому мой вот статик, с которого и только с которого я захожу у клиентов на серверах в вайтлисте, хрен он мне чего заблокирует

    Ну то есть то, что местные называют Jump-server. Ок. Детский вопрос - а с какого статика ты заходишь на тот статик? ;-) Ибо если проломят его - то отЪымеют сразу всё ибо оно в вайт листах да и ключики небось на нём хранятся. И не говори что нет - не поверю.

     
  • 6.178, пох (?), 00:48, 06/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> fail2ban это хороший способ заблокировать вход администратору :-)
    > Используя только ключи невозможно ошибиться в пароле или еще каким-то образом допустить

    только ключи - да, но тут же ж их объявили ненадежными и жаждут гугле-отп, он вполне себе ошибка auth. (и с ключами, мягко говоря, перпендикулярен)

    > ошибку ауфа, да еще трижды подряд. Ну плюс к тому мой
    > вот статик, с которого и только с которого я захожу у клиентов на серверах в вайтлисте,

    вот его и будут ломать.

     

     ....большая нить свёрнута, показать (41)

  • 1.22, Аноним (-), 12:02, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Улыбка с утра.)
    Однако, и ведь попрёт в "массы".
     
     
  • 2.29, gogo (?), 12:29, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Не попрет. Кто в курсе, что такое ssh, тому очевидно, что это - бред.
     
     
  • 3.90, пох (?), 17:34, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Не попрет. Кто в курсе, что такое ssh, тому очевидно, что это
    > - бред.

    это такой телнет, только модный, да?

     

  • 1.30, evkogan (?), 12:33, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Идея носить всегда с собой закрытые ключи и контролировать каждое их использование хороша. Но использовать для этого смартфон...
    Вот если это отдельное устройство, да еще и вообще без блобов, в том числе в прошивках, а еще лучще openHW. Но еще и дешевое для массового потребителя и хоть минимально симпатичное (все же все время с собой таскать), то да идея интересная.
     
     
  • 2.34, Crazy Alex (ok), 12:46, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    ну, смотря на сколько нужно open, но на современных мк должно быть крайне дёшево. если выкаблучиваться и FPGA брать - конечно, вряд ли выйдет
     
     
  • 3.100, пох (?), 18:15, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ну, смотря на сколько нужно open

    ну, товарищу, вероятно, не нравится gpu-загрузка модных одноплаток и странные выкрутасы со сборкой полу-рабочего ядра из чужих модулей.

    других нет.

    Я бы вот согласился терпеть (и таскать, вместо лопаты) модную одноплатку - если бы она решала вторую проблему - pin/скан отпечатка/еще что-то в том же роде.
    Она не то чтоб совсем не умеет, но это получается и дорого, и хрупко, и крупно (нужны отдельная клавиатура и экран, необязательно vty)

    Кстати, _промышленный_ вариант подобных решений - существует. Но, насколько я сумел узнать -абсолютно для нас недоступный.

     
     
  • 4.105, Crazy Alex (ok), 18:35, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.seeedstudio.com/FST-01-without-Enclosure-p-1276.html или https://www.seeedstudio.com/maple-mini-p-861.html допилить, добавив экран и клаву - не сложно и недорого
     
     
  • 5.109, пох (?), 18:55, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    э ну и кто допилит Раз недорого - это,кстати, сколько - я может в очередь з... большой текст свёрнут, показать
     
     
  • 6.131, Crazy Alex (ok), 01:57, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, я подумываю потихоньку, но торговать бы пытаться не стал, вот на гитхаб вывалить для желающих - дело другое. Впрочем, есть сильное подозрение, что у нас разные требования - я бы хотел иметь возможность увидеть (возможно - выбрать) какой ключ будет использован и нажать кнопку "разрешить", дополнительный пин вводить смысла не вижу.

    Если хочется готовую железку - можно посмотреть в сторону самых дешевых MP3-плееров, на которые какой-нибудь rockbox ставится, и на его базе склепать... В любом случае малинка там - адский перебор.

     
     
  • 7.155, пох (?), 14:02, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    разные, да - зачем мне еще одна убиквити, только не умещающаяся на кольце с ключ... большой текст свёрнут, показать
     
     
  • 8.170, Crazy Alex (ok), 16:55, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Защита от физического доступа - это та песня, которую я петь не умею, а делать п... текст свёрнут, показать
     
     
  • 9.179, пох (?), 01:02, 06/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    так это логический доступ - тупо шифруем пином что-то ценное, и после третьей не... большой текст свёрнут, показать
     
     
  • 10.184, Crazy Alex (ok), 13:54, 06/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    С моей точки зрения - уж больно невелика разница между взять и пин потыкать и ... текст свёрнут, показать
     
  • 5.110, Аноним (-), 18:56, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    еще как дорого, такую штуку можно продать за 15-25$ потолок, если больше то уже не полетит. Следовательно с заовда она должна уходить по 7-10$, плюс себе нужно что то заработать, и того себестоимость должна быть максимум 5$. И в эти 5$ нужно уместить плату, проц, экран, пару кнопок, корпус и сборку. Ну не реально такое сделать, может только если от млн экземпляров.
     
     
  • 6.112, пох (?), 19:07, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > еще как дорого, такую штуку можно продать за 15-25$ потолок, если больше

    за штуку, которая на фотке выше (за полную реализацию, а не за сами кнопки ;-)
    реализованную как надо, а не как всегда, я готов заплатить $500 сходу.
    Но что-то мне подсказывает, что на другом конце там rsa appliance, который и 50000 маловато будет, и протоколы закрытые. А в пять сотен обойдется комплект для настройки карт, и тот тоже просто так не купить.

     
     
  • 7.115, Аноним (-), 20:15, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    вас таких которые по 500$ готовы заплатить тысяча ну может две три на всей земле, да и то что ты готов не факт что заплатишь как показывает практика.
     
     
  • 8.116, пох (?), 20:41, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    ну, во-первых больше - если оно вдруг хорошее, то корпоративные заказы подтянутс... большой текст свёрнут, показать
     
  • 6.185, Crazy Alex (ok), 14:16, 06/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Если нет уж настолько денег на железку - значит, защищать нечего. Хотя если не брать смарткарты, то вложиться можно.
     

     ....большая нить свёрнута, показать (14)

  • 1.31, Аноним (-), 12:36, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >вместо размещения в файле ~/.ssh/id_rsa
    >мобильного приложения для Android и iOS
    >iOS Keychain
    >Apple iOS Security Framework

    Нет, спасибо, не надо. Дураков нет.

    PS Хипстеры, запилите хранение ключей в облаках.

     
     
  • 2.35, Crazy Alex (ok), 12:47, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    уже было, вроде
     
  • 2.81, Аноним84701 (ok), 16:24, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > PS Хипстеры, запилите хранение ключей в облаках.

    Типа:
    https://privacy.microsoft.com/en-us/privacystatement
    > The BitLocker recovery key for your personal device is automatically backed up online in your personal Microsoft OneDrive account.

    ?

     
  • 2.92, Аноним (-), 17:43, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > PS Хипстеры, запилите хранение ключей в облаках.

    По ссылкам не ходил? Они это и предлагают, только уже за бабло.

     

  • 1.37, Нанобот (ok), 13:00, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    тю, хорошая идея же
    непонятно, чего нытики/параноики так возбудились
     
     
  • 2.44, Аноним (-), 13:27, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Есть вероятность скомпрометировать все ключи сразу при вирусе на андрюше.
     
     
  • 3.64, Аноним (-), 14:21, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Есть вероятность скомпрометировать все ключи сразу при вирусе на андрюше.

    Вирус не имеет доступа к Android Keystore.

     
     
  • 4.80, _ (??), 16:24, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Он и к ядру шиндафс доступа не имеет, а вот поди ж ты :)
     
     
  • 5.127, Аноним (-), 00:52, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Он и к ядру шиндафс доступа не имеет, а вот поди ж
    > ты :)

    Ядро это программное решение, а keystore — аппаратное, но зависит от реализации, да.

     

  • 1.41, Аноним (-), 13:21, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сначала надо убедиться, что этот самый смартфон имеет большую защиту. Сейчас почти не найдёшь не обновляющихся браузеров на компе с инетом. А сколько смартфонов со старыми прошивками? Ок прошивка это не браузер. Но ssh ключи ведь наверное не для старой пиратки Zver WinXP Super Edition. А актуальные ОС гораздо быстрее обновляются чем смарты. Мысль о том, что все ключи и пароли попросту брошены на тумбочке в прихожей и к тому же легко могут быть унесены в чужом кармане может отравить любую счастливую жизнь".
     
     
  • 2.47, Аноним (-), 13:35, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >А сколько смартфонов со старыми прошивками?

    Очевидно, что ключи можно доверить только открытой прошивке с fdroid и без гугл сервисов.

     
     
  • 3.74, Анониим (?), 15:43, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > fdroid

    Это ещё под вопросом

     
     
  • 4.85, Crazy Alex (ok), 17:11, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Чем именно он не устроил?
     
  • 3.149, Аноним (-), 12:56, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Очевидно, что ключи можно доверить только открытой прошивке с fdroid и без
    > гугл сервисов.

    И без ГСМ-модуля, ага.

     

  • 1.48, Anonplus (?), 13:42, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Давно храню закрытые ключи в базе KeePass + плагин KeeAgent. При необходимости PuTTY или WinSCP вызываются прямо из кипасса, им передаётся ключ.

    Linux-софт, наверное, тоже можно этому обучить, да и обучать там нечему, в кипассе создаётся запись вида ssh://10.10.10.10:22, а в качестве обработчика протокола ssh указывается в настройках нужная софтина с нужными ключами ком.строки (https://habrahabr.ru/post/303894/), которой KeeAgent абсолютно прозрачно для нее передаёт закрытый ключ.

    Приватные ключи хранятся непосредственно в базе, которая в любой момент времени надёжно зашифрована и синхронизируется через любое облачное хранилище.

     
     
  • 2.65, Аноним (-), 14:27, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > которой KeeAgent абсолютно прозрачно для нее передаёт закрытый ключ.

    По какому протоколу?

     
  • 2.93, Аноним (-), 17:46, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Давно храню закрытые ключи в базе KeePass + плагин KeeAgent. При необходимости
    > PuTTY или WinSCP вызываются прямо из кипасса, им передаётся ключ.
    > Linux-софт, наверное, тоже можно этому обучить, да и обучать там нечему, в
    > кипассе создаётся запись вида ssh://10.10.10.10:22, а в качестве обработчика протокола
    > ssh указывается в настройках нужная софтина с нужными ключами ком.строки (https://habrahabr.ru/post/303894/),
    > которой KeeAgent абсолютно прозрачно для нее передаёт закрытый ключ.
    > Приватные ключи хранятся непосредственно в базе, которая в любой момент времени надёжно
    > зашифрована и синхронизируется через любое облачное хранилище.

    Это ж сколько костылей вместо родного шифрования ключей и ssh-agent.

     
     
  • 3.104, пох (?), 18:32, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Это ж сколько костылей вместо родного шифрования ключей и ssh-agent.

    это не костыли, разумная предосторожность - "родное шифрование ключей" упирается в короткий (потому что его часто надо набирать) и легкий (потому что их надо не один а много) пароль, а в памяти ssh-agent они и вовсе расшифрованные (если верить ребятам из kryptonite, а отчего ж не верить) - приходи и бери любой, кто дотянется до сокета.

    База keepass зашифрована _хорошим_ паролем, поскольку вводить надо только один и только в начале сессии, при этом после его ввода база вовсе не расшифровывается, ни в памяти, ни где-то еще.

    Остаются вопросы - как написан keeagent (не тащит ли он в рот всякую га...не тащит ли он в себя уже расшифрованный закрытый ключ через дырявый ipc - хотя бы даже на время аутентификации, полагаю - тащит) и доверяете ли вы keepass вообще.

    Ну и у товарисча, повидимому, винда, что добавляет интересных вопросов.

    В общем, мой внутренний параноик против, но это ничего еще не значит.

     
     
  • 4.122, Аноним (-), 23:58, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > короткий (потому что его часто надо набирать)

    Использую длинный. Набираю раз в день.

    > в памяти ssh-agent они и вовсе расшифрованные (если верить ребятам из kryptonite, а отчего ж не верить) - приходи и бери любой, кто дотянется до сокета.

    Попробуй, дотянись.

    > после его ввода база вовсе не расшифровывается, ни в памяти, ни где-то еще.

    Не знаю, расшифровывается или нет, но раз пароль повторно вводить не надо — какая разница? Необходимая для расшифровки информация так или иначе хранится в памяти.

     
     
  • 5.156, пох (?), 14:14, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> короткий (потому что его часто надо набирать)
    > Использую длинный. Набираю раз в день.

    один на все ключи разом, или ключ один на все сервера? По-моему, так себе идея.

    > отчего ж не верить) - приходи и бери любой, кто дотянется до сокета.
    > Попробуй, дотянись.

    это много проще, чем хакать хранилку.

    >> после его ввода база вовсе не расшифровывается, ни в памяти, ни где-то еще.
    > Не знаю, расшифровывается или нет, но раз пароль повторно вводить не надо
    > — какая разница?

    существенная - нам уже мало приаттачиться к памяти процесса или сбросить его в core dump, надо еще разбираться с его собственным специфичным шифрованием (опять же - если сделано правильно, то и от памяти будет мало пользы - храним какую-нибудь нужную детальку в регистре и никогда не убираем оттуда - только дебаг поможет)


     
     
  • 6.169, _ (??), 16:53, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >>> короткий (потому что его часто надо набирать)
    >> Использую длинный. Набираю раз в день.
    >один на все ключи разом, или ключ один на все сервера? По-моему, так себе идея.

    Точно также как в твоём сохранижопие :) Один на все ключи.

     
     
  • 7.175, пох (?), 22:07, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Точно также как в твоём сохранижопие

    ну и вот чем тогда оно лучше, кроме того что в памяти все ключи разом и в раскрытом виде? (причем не факт что они тебе сегодня нужны вообще - сохранижопие при этом их и вынимать из закрытого файла не станет, полагаю, не его стиль)

    Я хоть добавляю поштучно, если вообще пользуюсь агентом (собственно, у меня выбора нет)


     
  • 6.182, Аноним (-), 11:12, 06/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > один на все ключи разом, или ключ один на все сервера? По-моему, так себе идея.

    У тебя для каждого сервера отдельный ключ со своим паролем? Ты админишь два сервера или носишь с собой под каждую ёлку монитор с бумажками?

     
  • 4.129, Аноним (-), 00:59, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > а в памяти ssh-agent они
    > и вовсе расшифрованные (если верить ребятам из kryptonite, а отчего ж
    > не верить) - приходи и бери любой, кто дотянется до сокета.

    ssh-agent не умеет дампить ключ в сокет, что бы сдампить ключ нужен рут и доступ к памяти процесса.

     
     
  • 5.153, пох (?), 13:48, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > ssh-agent не умеет дампить ключ в сокет, что бы сдампить ключ нужен

    если у тебя есть доступ к сокету - тебе не очень нужен ключ, агент за тебя проделает всю нудную работу ;-)

    > рут и доступ к памяти процесса.

    в обычной системе только второе - то есть необходимо и достаточо хакнуть юзера.
    (а на винде, заметим, недостаточно, у процессов нет доступа к этому апи без повышения привиллегий. Обходится, да. Но с гемором. Гемор даст тебе время засечь подозрительное явление - в теории.)

    keepass, заметь, аккуратнее - сам по себе доступ к его памяти мало что даст.
    Правда, дьявол в деталях - агенту, скорее всего, таки уходит ключ в открытом виде (см в тексте новости, как надо было делать _правильно_ ;-) - но да, нужны protocol-specific фичи в собственно хранилке.


     
     
  • 6.171, _ (??), 16:57, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    1*
    >> рут и доступ к памяти процесса.
    >в обычной системе только второе - то есть необходимо и достаточо хакнуть юзера.

    Угу. А чтобы хакнуть юзера - надо как то выудить его ключ.
    goto 1**
    :)

     
     
  • 7.176, пох (?), 22:10, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >>в обычной системе только второе - то есть необходимо и достаточо хакнуть юзера.
    > Угу. А чтобы хакнуть юзера - надо как то выудить его ключ.

    зачем тебе его ключ, мы ж локальную сторону хакаем? Предположим, уже. Тырить файл с диска бестолку, ибо он с паролем, перехватывать пароль нудно и неэффективно. Попросить ssh-agent нас авторизовать - бесплатно, беспалевно и сразу. Пошуршать в его памяти - чуть сложнее, но снабжает дешифрованным ключиком, который можно унести в норку и использовать когда юзер сопит в подушку.


     

  • 1.52, Аноним (-), 13:51, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Кто-нибудь, научите их записывать ключи на бумажке
     
     
  • 2.54, пох (?), 13:53, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Кто-нибудь, научите их записывать ключи на бумажке

    сперва верните мне мой монитор, с приклеенными бумажками.

     
     
  • 3.60, Майор Домушник (?), 14:07, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Выпиленную дверь уже вернули?
     
     
  • 4.88, пох (?), 17:23, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Выпиленную дверь уже вернули?

    кто писал на ней пароли - сам виноват
    все нормальные люди делают ЭТО на монитор.

     
     
  • 5.167, Аноним (-), 15:55, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> Выпиленную дверь уже вернули?
    > кто писал на ней пароли - сам виноват
    > все нормальные люди делают ЭТО на монитор.

    А у вас ещё какие-то маленькие куколки есть же? Вы на них это тоже ведь делаете.


     

  • 1.58, F (?), 14:06, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А если телефон надо сменить? А в том числе с IOS на Android или наоборот?
     
     
  • 2.94, Аноним (-), 17:48, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А если телефон надо сменить? А в том числе с IOS на
    > Android или наоборот?

    Заплатишь модным парнишам, и они разрешат тебе синхронизировать ключи через облако.

     
     
  • 3.101, пох (?), 18:22, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >> А если телефон надо сменить? А в том числе с IOS на
    >> Android или наоборот?
    > Заплатишь модным парнишам, и они разрешат тебе синхронизировать ключи через облако.

    д.лы, б..
    Учиться им у ms еще сто лет, и так ничему и не научиться.
    Надо было - наоборот! заплатишь - они разрешат тебе работать без облака.

     

  • 1.67, vitalif (ok), 14:48, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Не надо мне этих чудес DRM для хранения моих ключей... сам потом не достанешь, а гугл достанет.
     
  • 1.79, CHERTS (??), 16:21, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Идея интересная, но ничерта не работает на Debian 8.4
     
  • 1.114, IZh. (?), 19:50, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Как-то всё наоборот. Я бы предпочёл пароли от телефонных аккаунтов и приложений хранить бы в некоем своём облаке. Обычному линуксовому компу я доверяю больше, чем телефону на андроиде. Даже банально потому, что у андроида кодовая база больше. Если на компе не иметь открытых портов (ну или по минимуму), то какие способы проникновения на комп остаются? По ssh вряд ли. Если только в почтовом клиенте баг или в браузере.

    А что с андроидными телефонами? Во-первых, банально больше драйверов, так как больше подсистем, которых нет на компе (GPS, BlueTooth, камера и т.п.) -- больше поверхность атаки. Равно как и больше неизвестных приложений, которые, к тому же, обожают лезть на свои серверы (https://www.opennet.dev/opennews/art.shtml?num=46472).Опять-таки, многие производители телефонов годами систему не обновляют при десятках известных CVE (помните QuadRoots?), в то время как во всех нормальных дистрибутивах обновления выходят постоянно.

    И вот на этом вот предлагается хранить ключи?..

     
     
  • 2.117, Аноним (-), 20:42, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    спасибо, что чётко и понятно выразили 98% моих опасений по поводу сего поделия
    +100500
     
  • 2.118, пох (?), 20:54, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    там как бе основная фишка - крипто-дивайс У тебя в обычном линуксном компе тако... большой текст свёрнут, показать
     
     
  • 3.146, IZh. (?), 11:33, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Чем криптодевайс поможет при получении удалённого доступа к устройству, и аутент... большой текст свёрнут, показать
     
     
  • 4.150, пох (?), 13:11, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    тем что хотя бы работает только в это время А в случае получения удаленного ил... большой текст свёрнут, показать
     
     
  • 5.173, Аноним (-), 18:31, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > угу, и как там у редхата/центоси с CVE-2016-10229 в 6.x?  

    А что с ним не так? Я серьёзно спрашиваю, может я не в курсе.
    https://access.redhat.com/security/cve/cve-2016-10229
    https://access.redhat.com/solutions/3001781

     
     
  • 6.177, пох (?), 22:27, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А что с ним не так? Я серьёзно спрашиваю, может я не
    > https://access.redhat.com/security/cve/cve-2016-10229

    04-19 - мгм...
    баг всплыл в начале апреля (в смысле, о нем уже все узнали, а судя по cve некоторые знали сильно раньше), через пару недель осилили значить...
    Я к этому времени уже потерял интерес к вопросу, хотя и удивлен, почему это в рассылке тихо.

    Если "серьезно" - возьми да и приложи патч - если прилепится, будут вопросы к редхату. (мне интересно, с чего это они решили что неуязвимы, когда nvd считает иначе, но не настолько чтоб возиться - у меня, к счастью, нет редхатов в открытых сетях)

    А пока у меня полный мэйлбокс писем про hdlc и dccp - это уже сколько, пол-года исполнилось или еще рано поздравлять? По hdlc (local root прямо сразу) даже для семерки фикс пришел 12 апреля, что-ли... Original release date: 03/07/2017

     
  • 5.180, IZh. (?), 01:34, 06/05/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А вы -- прекрасный образец задранного самомнения, любящий переходить на личности... большой текст свёрнут, показать
     
     
  • 6.181, пох (?), 03:22, 06/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    я что-то не пойму - тебе пoнтоваться лопатой, или решить мелкую проблемку - сохр... большой текст свёрнут, показать
     
     
  • 7.183, IZh. (?), 12:39, 06/05/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Мне бы в идеале один телефон Мы про обновления ядра У меня, например, VPS есть... большой текст свёрнут, показать
     

     ....большая нить свёрнута, показать (9)

  • 1.140, Аноним (-), 10:34, 05/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Уж лучше Yubikey или аналоги чем это.
     
     
  • 2.142, Майор Домушник (?), 11:10, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Yubikey нативно еще работает на macOS, Windows, Linux при логине.
     
  • 2.147, пох (?), 12:13, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Уж лучше Yubikey или аналоги чем это.

    не лучше.
    Во всяком случае, было пару лет назад, когда я его всерьез разглядывал.

    То есть, там не было единственно-правильного варианта, когда a) ключи не покидают устройство ни в каком случае - можно только показать ему _открытый_ ключик и попросить вердикт или, то что делает предложенная андроедоненужность - показать зашифрованный открытым ключиком server secret, получить в ответ расшифрованный (закрытый ключ _остается_внутри_токена_), зашифровать им ответ серверу "это я". (пункты 2-3 можно в принципе не выпускать наружу из токена, но это уже становится сильно protocol-specific).

    и b) все это делается локально без "облачков".

    Там, вместо этого, были совершенно ненужные варианты "что-то зашифровать block cipher" (это я могу и на основной системе) и "спросить у облачка подтверждение авторизации" - причем, поскольку индусы сэкономили три цента, вариант выбирается при инициализации ключа, если тебе нужен второй - купи два, а то индусу не хватает на краску для лба.

    Слегка утрировано, но суть сохранена - это феерическое ненужно за много денег и с неочевидным (в плане легальности) путем покупки - от рюйских дилеров не удалось даже ответ получить.

    А, ну и да - зашшшита в виде сенсорной кнопки, пинпад/сканер отпечатков индусы тоже не осилили. Любой, сперший у тебя флэшку, автоматически получает все твои пароли.

     
     
  • 3.172, _ (??), 17:41, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ох, Ё! ... Дык ты из ЫкспЁрдов!
    А я балбес с тобой как с мужиком разговаривал :(

    Для остальных - да, не верьте ему, оно не в теме.
    Вот лучше _сами_ читайте, смотрите картинки и думайте:
    https://developers.yubico.com/U2F/Protocol_details/Overview.html

     
     
  • 4.174, нах (?), 20:44, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    действительно не в теме - я изучал вопрос в том самом 2014 на деле в 15м, но ... большой текст свёрнут, показать
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру