On Thu, Dec 15, 2005 at 05:02:11PM +0200, Svilen Ivanov wrote: > Тази нишка подбужда един въпрос, който се върти из главата ми от доста време > и > все не ми остава време да се разровя по надълбоко: > > Когато за пръв път правиш ssh към даден хост, нали тогава се осъщесвява > обмяна > ка ключове? Ако, да - не е ли тривиално да се "уловят" тези ключове и след > това да се подслушва/декриптира трафика между тези хостове?
Затова всяко ръководство за ползване на SSH казва, че *преди* този първи път трябва да се погрижиш да вземеш ключовете по някакъв друг начин, в който си сигурен, така че да не може някой да направи man in the middle атака :) Затова на всички машини, които аз администрирам, слагам публичните SSH ключове на уебстраница, така че всички да могат да ги видят, и след това ги слагам и в PGP-подписан текстов файл, така че хората да са поне донякъде сигурни, че никой не си е играл да променя самата уебстраница. Пример (не точно моите, но мястото, откъдето всъщност ми дойде идеята) - проектът FreeBSD, http://www.FreeBSD.org/internal/ssh-keys.asc Но... хм. Сега като прочетох пак твоето писмо... нали всъщност говорим за едно и също нещо? Нали знаеш, че това, което се обменя и първия път, и *всеки следващ път*, са само *публичните* части на ключовете, които така и така не е проблем да бъдат показвани на целия свят, и че проблемът не е в това да бъдат уловени те, а в това да бъде предотвратена man-in-the-middle атака, при която някой не само подслушва, а може и да променя информацията при TCP връзката, и може да *подмени* тези ключове с нещо свое, след което наистина през него ще премине цялата информация в почти чист текстов вид? Поздрави, Петър -- Peter Pentchev [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] PGP key: http://people.FreeBSD.org/~roam/roam.key.asc Key fingerprint FDBA FD79 C26F 3C51 C95E DF9E ED18 B68D 1619 4553 What would this sentence be like if it weren't self-referential?
pgpkKABAZg065.pgp
Description: PGP signature
