[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [ssh]autenticazione a chiave pubblica e usbstick



On Mon, May 17, 2004 at 01:57:46PM +0200, Gian Piero Carrubba wrote:
> Il gio, 2004-05-13 alle 20:50, Leonardo Canducci ha scritto:
> > ok, ma la sicurezza viene dalla chiave protetta da passphrase.
> 
> Guarda, non voglio fare l'estremista del known_hosts. Per come la vedo
> io, ha il vantaggio di permettere un controllo in fase iniziale di
> connessione, cioe' prima che sia possibile l'esposizione di informazioni
> o l'exploit di bug relativi al protocollo di autenticazione, ed il tutto
> ad un costo praticamente nullo. Poi ovviamente ciascuno fa le proprie
> valutazioni.
> 
> > > E' questo che non capisco: se la macchina non e' fidata, al punto che
> > > sospetti un keylogger, perche' escludi la banale possibilita' di una
> > > copia della chiave privata?
> > 
> > perchè immagino che il possibile keylogger - tiro a indovinare
> > naturalmente - sia pensato per i login tradizionali o via ssh ma non per
> > metodi di autenticazione a chiave pubblica.
> 
> In realta' io pensavo ad un'intrusione. Tutto sommato, se e' possibile
> installare un keylogger, e' anche possibile installare una backdoor.
> Anche in questo caso si tratta di valutazioni per cosi' dire personali.
> A mio modo di vedere i rischi per le due eventualita' sono equivalenti,
> e quindi la possibile esistenza dell'uno implica la possibile esistenza
> dell'altro.

io parlavo fondamentalmente di macchine win. il punto è questo: mi
capita di dovermi connettere da macchine remote al pc di casa. in genere
uso tcpd e autorizzo soltanto le connessioni da determiniati IP. non ho
studiato abbastanza come fare per usare opie e le one time password e
non mi sento sicuro con ssh/putty a digitare la mia password. usare
l'autenticazione a chiave pubblica mi piace di più perchè:
1. uso una passphrase invece che una password
2. l'autenticazione è fatta da passphrase + chiave privata e non solo da
una password

se c'è una soluzione più sensata sono molto interessato a provarla.

> > > > > Se puoi, direi che e' preferibile usare una distro live-cd e avviare
> > 
> > e poi montare il disco e poi copiare via ssh sul disco montato e poi
> > riavviare... troppo lungo. spesso mi interessa solo pescare un file di
> > configurazione.
> 
> ehm, e' giunta l'ora di comprarsi un portatile? ;)
ordinato oggi! 

> > > Vero, pero' abbastanza sicuro. Probabilmente l'unica preoccupazione
> > > sarebbe un firmware malevolo.
> > > 
> > questa è paranoia!
> 
> Principiante. Una sonda che rilevi le radiazioni elettromagnetiche
> emesse dal monitor (e fino a qui...) e riesca ad interpretare
> l'attivita' della testina dell'hard disc. _Questa_ e' paranoia! ;)
> 
> Ciao,
> Gian Piero.
dovevi firmare mc. gyver :)
-- 
Leonardo Canducci 
GPG Key ID: 429683DA



Reply to: