R: [ssh]autenticazione a chiave pubblica e usbstick
- To: "'debian-italia-ml'" <debian-italian@lists.debian.org>
- Subject: R: [ssh]autenticazione a chiave pubblica e usbstick
- From: "Massimiliano Zani" <m.zani@exelabs.net>
- Date: Thu, 20 May 2004 10:03:22 +0200
- Message-id: <!~!UENERkVCMDkAAQACAAAAAAAAAAAAAAAAABgAAAAAAAAACoMLInZWJEyMcjQvyl4pqcKAAAAQAAAAw1btLO74B02ZLPtdd3PvzwEAAAAA@exelabs.net>
collegandomi al discorso...
come si può fare in modo che l'autenticazione avvenga SOLO per mezzo di una
chiave pubblico/privata? ossia disabilitare il tradizionale metodo di login?
sarebbe molto più sicuro...o sbaglio?
massi
-----Messaggio originale-----
Da: Leonardo Canducci [mailto:leonardocanducci@yahoo.it]
Inviato: lunedì 17 maggio 2004 15.22
A: debian-italian
Oggetto: Re: [ssh]autenticazione a chiave pubblica e usbstick
On Mon, May 17, 2004 at 01:57:46PM +0200, Gian Piero Carrubba wrote:
> Il gio, 2004-05-13 alle 20:50, Leonardo Canducci ha scritto:
> > ok, ma la sicurezza viene dalla chiave protetta da passphrase.
>
> Guarda, non voglio fare l'estremista del known_hosts. Per come la vedo
> io, ha il vantaggio di permettere un controllo in fase iniziale di
> connessione, cioe' prima che sia possibile l'esposizione di
> informazioni o l'exploit di bug relativi al protocollo di
> autenticazione, ed il tutto ad un costo praticamente nullo. Poi
> ovviamente ciascuno fa le proprie valutazioni.
>
> > > E' questo che non capisco: se la macchina non e' fidata, al punto
> > > che sospetti un keylogger, perche' escludi la banale possibilita'
> > > di una copia della chiave privata?
> >
> > perchè immagino che il possibile keylogger - tiro a indovinare
> > naturalmente - sia pensato per i login tradizionali o via ssh ma non
> > per metodi di autenticazione a chiave pubblica.
>
> In realta' io pensavo ad un'intrusione. Tutto sommato, se e' possibile
> installare un keylogger, e' anche possibile installare una backdoor.
> Anche in questo caso si tratta di valutazioni per cosi' dire
> personali. A mio modo di vedere i rischi per le due eventualita' sono
> equivalenti, e quindi la possibile esistenza dell'uno implica la
> possibile esistenza dell'altro.
io parlavo fondamentalmente di macchine win. il punto è questo: mi capita di
dovermi connettere da macchine remote al pc di casa. in genere uso tcpd e
autorizzo soltanto le connessioni da determiniati IP. non ho studiato
abbastanza come fare per usare opie e le one time password e non mi sento
sicuro con ssh/putty a digitare la mia password. usare l'autenticazione a
chiave pubblica mi piace di più perchè: 1. uso una passphrase invece che una
password 2. l'autenticazione è fatta da passphrase + chiave privata e non
solo da una password
se c'è una soluzione più sensata sono molto interessato a provarla.
> > > > > Se puoi, direi che e' preferibile usare una distro live-cd e
> > > > > avviare
> >
> > e poi montare il disco e poi copiare via ssh sul disco montato e poi
> > riavviare... troppo lungo. spesso mi interessa solo pescare un file
> > di configurazione.
>
> ehm, e' giunta l'ora di comprarsi un portatile? ;)
ordinato oggi!
> > > Vero, pero' abbastanza sicuro. Probabilmente l'unica
> > > preoccupazione sarebbe un firmware malevolo.
> > >
> > questa è paranoia!
>
> Principiante. Una sonda che rilevi le radiazioni elettromagnetiche
> emesse dal monitor (e fino a qui...) e riesca ad interpretare
> l'attivita' della testina dell'hard disc. _Questa_ e' paranoia! ;)
>
> Ciao,
> Gian Piero.
dovevi firmare mc. gyver :)
--
Leonardo Canducci
GPG Key ID: 429683DA
--
To UNSUBSCRIBE, email to debian-italian-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org
Reply to: