2024. március 29., péntek

Gyorskeresés

OpenSSH vs Microsoft

Írta: | Kulcsszavak: unix . openssh . openbsd . microsoft . nsa

[ ÚJ BEJEGYZÉS ]

Nemrég jelent meg az IT Cafén a hír, hogy a Microsoft teljes mértékben implementálni kívánja az OpenSSH-t. Bevallom őszintén, sem elsőre, sem másodikra nem esett le a tantusz. Mondjuk érdekesnek találom, hogy vajon egy SSH-klienssel hogyan lehetne távolról irányítani egy Windows-rendszert, de ne ragadjunk le ennyire, nagyvonalúan lépjünk át ezen, tegyük fel, hogy odaát Redmondban tudják, hogyan is akarják ezt elérni.

Amit viszont mindenképpen érdemes vizsgálni, hogyan is képzeli a Microsoft ezt az implementálást. Az a Cafés hírből is azonnal kiderül, hogy az OpenSSL-t a redmondiak azonnal kivágták az általuk készített implementációból és a Microsoft Crypto API kerül a helyére. Bevallom, itt talán nem leszek teljesen akkurátus, a most következő információkat a Wikipediáról származtatom, amire a Cafés cikk is utal - sajnos a bejegyzést 2009-ben frissítették utoljára.
Nos, az első és kisebbik bajom (és majd sokan másoknak is az lesz), hogy igen nagy valószínűséggel inkompatibilis lesz a *nix rendszerek OpenSSH megoldásaival, mivel az újabb Windows rendszerekben már nincs POSIX-réteg, tehát semmi nem biztosítja a kompatibilitást.

A nagyobbik bajok azonban most jönnek. A Windows Vista óta a Cryptography API: Next Generation (CNG) elnevezésű titkosítási alrendszer van a redmondi rendszerekbe beépítve, ami tartalmazza az NSA Suite B csomagjának eljárásait is. Ha mindez nem lenne elég, a CNG támogatja a Dual_EC_DRBG pszeudo véletlenszám-generátort, ami elég régóta közismerten sebezhető. Mindebből kifolyólag teljesen biztos lehet benne bárki, hogy az angolszász titkosszolgálatok szépen hozzájutnak minden olyan információhoz, ami az így "titkosított" csatornákon keresztülfolyik; rajtuk kívül pedig az amerikai cégek hozzájutnak olyan információkhoz a versenytársakról/-tól, amelyek versenyelőnyt biztosítanak nekik továbbra is.

A végére hagytam a legproblémásabb és leginkább "összeesküvés-elmélet"-szerű apróságot.
Az OpenSSH-t az OpenBSD fejleszti. Az OpenBSD egy közösségi fejlesztésű, Unix-szerű operációs rendszer, amely a biztonságra fekteti a hangsúlyt a fejlesztés során. Idén nyáron a Microsoft az OpenBSD arany fokozatú támogatójává lépett elő. Nem, ez olyannyira nem hírértékű, hogy a Cafén nem is jelent meg ez az információ.

Akkor most rakjuk össze a darabkákat: van egy titkos csatornánk, amelyen keresztül - a jelenlegi tudásszintünkön - nem hallgatható le a kommunikáció, legfeljebb a két végponton. Ez szúrja a szemét az angolszász hatalmaknak, mert a reakcióik szerint ők sem képesek megtörni ezt a fajta titkosítást (lásd még David Cameron megnyilatkozásait). Hát akkor implementáljuk ezt a kommunikációt egy nagyon elterjedt OS-be, ami viszont mára gyakorlatilag kézivezérlésre van állítva (ne feledkezzünk meg arról, hogy a Windows 10-be implementált telemetriát backportolták Windows 7-re és 8-ra), már ami az információszivárgást illeti. Cseréljük ki az eddigi titkos kommunikációt létrehozó kódrészletet egy olyanra, ami közismerten és szándékosan lyukas. Támogassuk meg egy kis anyagival a(z eddig független) csoportot, amely fejleszti a csomagot, nehogy eszükbe jusson változtatni a licencen, forkolni, esetleg rávegyük, hogy az eddig törhetetlennek ítélt titkosítási algoritmusban elhelyezzen egy-két backdoort.

Innentől fogva mindenkinek a fantáziájára bízom, milyen lehetséges jövőképek áramlanak felénk a demokrácia nagy hazájából...

Hozzászólások

(#1) bambano


bambano
titán
LOGOUT blog

szerintem az openbsd támogatásában az a truváj az msnek, hogy kliensoldalra belerakja a saját ssh-jába a szemét inkompatibilis titkosítást, majd megtámogatja az openbsd-t, hogy tegye bele az ellenoldalba is, így nem fog kibukni, hogy az ms féle ssh egy szemétdomb.

de nincs ezzel semmi gond, az openssl-t annyian forkolták, hogy lesz helyette más.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

(#2) sh4d0w válasza bambano (#1) üzenetére


sh4d0w
nagyúr
LOGOUT blog

Remelem, igazad lesz, kulonben tanui lehetunk egy ujabb "java-haborunak", megspekelve egy kis lehallgatosdival, csak ezuttal nem lesz, aki megallitsa oket.

[ Szerkesztve ]

https://www.coreinfinity.tech

További hozzászólások megtekintése...
Copyright © 2000-2024 PROHARDVER Informatikai Kft.