Si può ricostruire una vecchia sessione SSH dato l'accesso come root al server?

2

Diciamo che A è dietro un firewall che registra tutti i pacchetti, comunicando con B tramite una connessione SSH autenticata da chiave pubblica:

  A <-------- {ssh} --------> B
                v
                v
  [Encrypted packets all logged]

Il firewall non è in grado di ispezionare il contenuto della sessione SSH a causa della progettazione di SSH.

Cosa succede se, ad esempio, dopo un giorno o due (o forse un'ora), il proprietario del firewall assume il controllo di root del server SSH B ? Suppongo che sia possibile per il proprietario estrarre la chiave privata SSH del server e decrittografare il contenuto della vecchia sessione SSH che è stata salvata nei registri fw.

È possibile? In caso contrario, di quali altri dati avrebbe bisogno il proprietario?

    
posta Joseph A. 10.09.2018 - 18:45
fonte

1 risposta

5

Poiché quasi tutti i principali metodi di scambio offerti da SSH oggi utilizzano inoltro segreto non è sufficiente ottenere la chiave privata di il server per arrivare ai segreti della sessione e decifrare il traffico. Mentre l'autenticazione RSA è stata utilizzata con SSH-1 ed è anche uno standard proposto per SSH-2 di solito non è implementata o abilitata (vedi ssh -Qkex per algoritmi di scambio chiavi abilitati in OpenSSH).

A causa della segretezza in avanti, un utente malintenzionato dovrebbe avere accesso allo stato SSH interno del client o del server nel momento in cui la connessione SSH esiste ancora. Non è possibile ottenere in seguito i dati necessari per decifrare le connessioni precedentemente sniffate.

    
risposta data 10.09.2018 - 20:06
fonte

Leggi altre domande sui tag