Perché le impronte digitali della chiave dell'host SSH gitlab non corrispondono?

Naviga le tue risposte
11

Ho provato ad accedere al gitlab della mia università tramite SSH. Come previsto, sono stato avvertito che l'host non è noto. Pertanto, ho cercato di trovare la chiave host SSH nella pagina "configurazione attuale" del manuale. Tuttavia, ho scoperto che la chiave non corrisponde alla chiave che SSH mi mostra al primo collegamento.

Per dimostrarlo, qui puoi trovare la rispettiva pagina "instance_configuration" per gitlab.com. Si dice che l'impronta digitale RSA-SHA256 sia

2fdd0c7dfa7d9381f847266c800eafc96f5866fe859c4f1cf87da885c82e333a

Usando lo script che ho trovato su questo superuser post (o quando ci si connette tramite SSH per la prima volta) Mi viene detto che l'RSA-SHA256 per l'host SSH è

ROQFvPThGrW4RuWLoL9tq9I9zJ42fK4XywyRtbOz/EQ

che è

44e405bcf4e11ab5b846e58ba0bf6dabd23dcc9e367cae17cb0c91b5b3b3fc44

in esadecimale (e si spera che corrisponda a ciò che vedi ... o meno)

Le mie domande: non dovrebbero essere uguali? Ho dimenticato qualcosa? Come posso verificare che la connessione SSH sia sicura?

    
posta HerpDerpington 24.06.2018 - 00:54
fonte

2 risposte

3

Ci sono un gran numero di motivi per cui questo può accadere:

  1. Posizione di hosting. Gitlab può essere scaricato e ospitato altrove. Le chiavi host pubblicate sulla pagina di gitlab non significano nulla se la tua università ospita la propria versione di gitlab. In tal caso non vedresti mai la chiave dell'host gitlab - vedresti la chiave dell'host per il tuo server universitario, e la differenza sarebbe priva di significato. Dovresti chiedere all'università quale sia la loro chiave ospite e difficilmente avrai una risposta da loro.
  2. Informazioni non aggiornate La chiave host per Gitlab potrebbe essere cambiata e si sono semplicemente dimenticati di aggiornare la pagina di aiuto di conseguenza.
  3. MitM qualcuno potrebbe eseguire un attacco MitM contro il tuo computer e ha reindirizzato il traffico da gitlab al proprio server malevolo.

Penso che l'opzione numero 1 sia degna di nota perché non è chiaro se la pagina gitlab della tua università sia ospitata su gitlab o sulla tua università.  Sembra che sia ospitato da gitlab, ma non necessariamente (ovviamente l'URL del repository dovrebbe renderlo chiaro).

La possibilità di MitM

Tra tutte e tre queste opzioni, # 3 è di gran lunga la meno probabile. Un attacco MitM di successo in questo caso può essere sia difficile che poco utile (per un utente malintenzionato), al punto che non mi verrebbe in mente nemmeno di considerarlo in circostanze normali. Quindi, a meno che tu non stia cercando di collegarti a un repository gitlab remoto in modo da poter trasferire i segreti di stato, probabilmente hai a che fare solo con le opzioni # 1 o # 2.

Puoi anche provare a verificare la verosimiglianza di MitM controllando l'indirizzo IP del server a cui ti stai connettendo e cercando di capire se appartiene a gitlab. Gitlab ha una (probabilmente anche vecchia) lista dei loro indirizzi IP:

link

Nessuna garanzia di corrispondenza anche per una connessione gitlab valida a causa della possibilità di documenti scaduti. Inoltre nessuna garanzia perché qualcuno che esegue un MitM riuscito potrebbe eventualmente (a seconda dei dettagli) spoofare un indirizzo IP.

Scenario più probabile

Indipendentemente da ciò, MitM è (IMO) molto improbabile e, di conseguenza, farei semplicemente le tue cose. Dovresti riuscire a scoprirlo abbastanza presto se c'è un problema. Presumibilmente ti connetteresti al server gitlab, troverai i file che ti aspetti di trovare, copi alcuni dei tuoi e poi potrai verificare con chi stai collaborando che hanno ricevuto una copia del tuo lavoro. Se è così non c'è sicuramente nulla di cui preoccuparsi.

In generale, la mia esperienza suggerisce che poche organizzazioni si preoccupano di pubblicare le chiavi dell'host per la verifica. Le chiavi host possono certamente essere utilizzate per verificare un server a cui non ti sei mai connesso, ma in pratica non trovo che sia terribilmente comune. Sospetto che questo sia principalmente per le ragioni che ho citato brevemente sopra: non credo che questo sia un vettore di attacco comune e di solito puoi scoprire facilmente se sei connesso al server giusto semplicemente perché ci sono quasi sempre più parti coinvolte per verificare i risultati. Di conseguenza, ho utilizzato più comunemente la verifica della chiave host per rilevare quando il server è stato modificato rispetto a qualsiasi altra cosa e raramente (se mai) lo uso per verificare un server alla prima connessione.

    
risposta data 06.07.2018 - 14:15
fonte
1

TL; DR - Non penso che questo sia qualcosa di cui preoccuparsi affatto, se sei ancora preoccupato di contattare GitLab, dubito che qualcuno sarà in grado di darti una risposta qui come non lavoriamo lì.

Personalmente, non credo che nessuno qui ti possa aiutare. Credo che la tua migliore possibilità di ottenere una risposta qui sia contattare l'assistenza a GitLab, in questo modo otterrai la risposta corretta.

Per quanto riguarda la sicurezza della connessione, non penso che tu abbia un motivo per preoccuparti del tutto, come da commento di Semso se stiamo ricevendo la stessa cosa probabilmente non è un problema tuo se questo ha un senso.

Non mi preoccuperei troppo di questo, se sei ancora preoccupato di contattare GitLab sono certo che saranno felici di aiutarti.

    
risposta data 06.07.2018 - 12:19
fonte

Leggi altre domande sui tag

Le società di software caricano intenzionalmente versioni contraffatte o false del proprio software in reti di condivisione di file come mezzo per combattere la pirateria? [chiuso] Procedura "Encrypt and wipe" su Android Lollipop?