I tentativi di connessione SSH dalla Cina mostrano una chiave diversa; la Cina sta facendo un attacco MITM al traffico SSH?

11

Ho un server situato negli Stati Uniti e SSH ad esso da vari luoghi in tutto il mondo. Quando eseguo SSH da un computer che non ho mai usato prima, vedrò qualcosa del genere:

The authenticity of host 'my.usa.server.com (11.22.33.44)' can't be established.
RSA key fingerprint is xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:b8:1d:61.
Are you sure you want to continue connecting (yes/no)? 

Dalla maggior parte dei luoghi del mondo, l'impronta digitale RSA è identica, il che ha senso, perché mi collego sempre allo stesso server:

[Da un server in Svezia]

me@sweden:~$ ssh [email protected]
The authenticity of host 'my.usa.server.com (11.22.33.44)' can't be established.
RSA key fingerprint is xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:b8:1d:61.
Are you sure you want to continue connecting (yes/no)? 
me@sweden:~$

[Da un server in Olanda]

me@nl:~$ ssh [email protected]
The authenticity of host 'my.usa.server.com (11.22.33.44)' can't be established.
RSA key fingerprint is xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:b8:1d:61.
Are you sure you want to continue connecting (yes/no)? 
me@nl:~$

[Da un server negli Stati Uniti]

me@otherusaserver:~$ ssh [email protected]
The authenticity of host 'my.usa.server.com (11.22.33.44)' can't be established.
RSA key fingerprint is xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:b8:1d:61.
Are you sure you want to continue connecting (yes/no)? 
me@otherusaserver:~$

TUTTAVIA, quando provo a connettermi da un server in Cina, l'impronta digitale è diversa:

me@chinaserver:~$ ssh [email protected]
The authenticity of host 'my.usa.server.com (11.22.33.44)' can't be established.
ECDSA key fingerprint is xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:d8:0f:01.
Are you sure you want to continue connecting (yes/no)? 
me@chinaserver:~$

Si noti che la chiave e il codice sono diversi. Va notato che POSSO il server fisico cinese e la stanza in cui si trova, quindi posso essere sicuro che l'hardware del server è sicuro.

Significa che qualcuno a monte, come il governo cinese o l'ISP (China Telecom) sta facendo una specie di attacco MITM?

    
posta a CVn 05.06.2014 - 22:05
fonte

2 risposte

17

Guarda cosa rispondono i server:

RSA key fingerprint is xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:b8:1d:61.

e

ECDSA key fingerprint is xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:d8:0f:01.

Non è lo stesso tipo di chiave, quindi non la stessa chiave: RSA nel primo caso, ECDSA nel secondo caso.

I server SSH possono utilizzare diversi algoritmi crittografici e in effetti più chiavi. Quale algoritmo verrà utilizzato dipende da ciò che il client e il server supportano, e anche dal loro ordine di preferenza . È probabile che il tuo server SSH abbia sia una coppia di chiavi RSA che una ECDSA e che il client cinese sia configurato per mettere ECDSA più in alto nella sua lista di preferenze rispetto agli altri client.

Se non sei sicuro, prova a eseguire il client SSH con l'opzione della riga di comando -vvv per vedere cosa effettivamente mandano il client e il server.

    
risposta data 06.06.2014 - 00:52
fonte
2

La scelta del codice è stata la questione, quindi mi sento un po 'sciocco per la mia paranoia cinese.

Forzare RSA con

ssh -o [email protected],[email protected],[email protected],[email protected],ssh-rsa,ssh-dss user@host

ha generato la stessa impronta digitale RSA.

    
risposta data 06.06.2014 - 18:16
fonte

Leggi altre domande sui tag