OpenSSH utilizza le cifre di esportazione?

3

Con tutto questo parlare di "FREAK", nessuno ha menzionato OpenSSH. Implementa librerie da OpenSSL (fino a poco tempo fa, comunque). Perché la gente non parla di questo? c'è anche un modo per configurare le cifre di esportazione in ssh_config ?

    
posta Bryan 07.03.2015 - 14:07
fonte

1 risposta

5

OpenSSH non è influenzato da FREAK per diversi motivi:

  1. Utilizza solo una porzione piccola e attentamente controllata della libreria OpenSSL. Il codice di negoziazione cipher SSL non è una delle parti che utilizza.

  2. Il protocollo SSH è resistente agli attacchi "downgrade": la dimensione della chiave del server è fissa al momento della generazione della chiave e l'impronta digitale della chiave viene memorizzata dal client. Se un MITM tentasse di ingannare il server usando una chiave debole (che richiede che il server fosse configurato con più chiavi), l'impronta digitale della chiave cambierebbe e il client si rifiuterebbe di procedere.

  3. OpenSSH no e, per quanto ne so, non ha mai supportato la crittografia "export-grade". La chiave RSA più debole prodotta da ssh-keygen è 768 bit e il valore predefinito è 2048 bit. I cifrari simmetrici sono anche abbastanza forti: il più debole supportato dalla versione corrente di OpenSSH è 3des , che con 112 bit di sicurezza effettiva è un po 'più strong dei 40 bit consentiti dalle vecchie leggi sull'esportazione.

risposta data 13.03.2015 - 07:15
fonte

Leggi altre domande sui tag