Re: ssh abhören? - Strato-Hack erfolgte von außen

Posted by admin on Mai 18th, 2008 — Posted in Allgemein

> Was viele nicht wissen…
> >
> > Wenn man es nicht richtig eingestellt hat,
> > überträgt SSH die Userdaten zum einloggen auch in Plain Text!
> >
>
> Noch mal zum Sichergehen:
>
> Wenn man einen Cipher (3DES,IDEA,etc.) einsetzt, dann wird doch die
> Plaintext Password Authentification verschluesselt, oder?
> Ich dachte, dass nur ohne Cipher (was fuer einen Connect ueber
> Internet
> eigentlich unsinnig ist) das Passwort ungeschuetzt ist.
ssh verschluesselt immer, man kann den client nur so einstellen, falls
kein ssh-Server vorhanden ist, das er einen eventuell vorhandenen
rsh-Server connectet, was dann natuerlich alles andere als sicher ist.
Standartmaessig sollte das aber ausgeschaltet sein. Und man wird auch
sonst explizit darauf hingewiesen.
>
> Die Public Keys werden doch nur zur Host Authentifizierung
> eingesetzt,
> oder nicht? Denn RSA liefert i.A. zu wenig Durchsatz auf ‘normalen’
> CPUs.
>
Die asymentrische Verschluesselung (Public/Privat Key, z.B RSA) wird
zur Uebergabe des Schluessels fuer die symentrische Verschluesselung
(3DES, blowfish,…) benutzt. In der Tat ist die asymetrische
Verschluesselung zu langsam, um ueber sie den ganzen Transfer
abzuwickeln.

1 Kommentar »

Pingback von Alles rund um Hack Angriffe » Blog Archive » Re: ssh abhören? - Strato-Hack erfolgte von außen

[…] hackas viele nicht wissen… > > > > Wenn man es nicht richtig eingestellt hat, > > überträgt SSH die Userdaten zum einloggen auch in Plain Text! > > > > Noch mal zum Sichergehen: > > Wenn man einen Cipher (3DES,IDEA,etc.) einsetzt, dann wird doch die > Plaintext Password Authentification verschluesselt, oder? Ja. Wobei man noch bedenken muss, dass uebliche ssh-clients auch noch rlogin als Fallback-Protokoll unterstuetzen. > Ich dachte, dass nur ohne Cipher (was fuer einen Connect ueber > Internet eigentlich unsinnig ist) das Passwort ungeschuetzt ist. > Die Public Keys werden doch nur zur Host Authentifizierung > eingesetzt, oder nicht? Denn RSA liefert i.A. zu wenig Durchsatz > auf ‘normalen’CPUs. Sie werden auch zur sog. RSA-Authentifizierung (des Users, nicht nur des Hosts) eingesetzt. Wenn Du das willst. Fuer die eigentliche Datenuebertragung wird dann aber ein symmetrisches Verfahren verwendet, nicht RSA. MfG […]

Posted on 19. Mai 2008 at 06:02

RSS-Feed für Kommentare zu diesem Beitrag. TrackBack URI

Einen Kommentar hinterlassen

You must be logged in to post a comment.

« Re: neulich las ich in der ct (OT) - kpnQwest: Strato-Hack kam von autorisier…
Re: ssh abhören? - Strato-Hack erfolgte von außen »