Hallo! On 21 Jun 2004 at 20:41 +0200, Andreas Schmidt wrote: > als ich gerade zum Thema "fetchmail und SSL" die manpage waelzte, ist > mir aufgefallen, dass SSL ja doch nicht so sicher sein sollte Wenn SSL in einer aktuellen Version zum Einsatz kommt (SSLv3/TLS), würde ich diese Behauptung nicht beweisen wollen. Natürlich kann man immer leichtfertigen Umgang mit der Authentizität von Zertifikaten bzw. Fahrlässigkeiten seitens der Admins ausnutzen, das Protokoll an sich würde ich für die allermeisten praktischen Zwecke jedoch als adäquat sicher bezeichnen. Auch Bruce Schneier und David Wagner kommen in einer schon älteren kryptografischen Untersuchung des SSLv3-Protokolls zum Schluss: | "We conclude that, while there are still a few technical wrinkles to | iron out, on the whole SSL 3.0 is a valuable contribution towards | practical communications security." Dass es in letzter Zeit immer wieder Attacken gegen Implementierungsschwächen gegeben hat (z.B. Novak-Angriff auf RSA, SPA/DFA, Timing generell), ist SSL nicht anzulasten. Zumal gegen alle diese Angriffe Gegenmaßnahmen gefunden und implementiert worden sind (RSA-Blinding, Montgomery-Ladder, Coron's countermeasure...). > und insbesondere gegenueber man-in-the-middle attacks anfaellig sei. MitM-Angriffe lassen sich (korrekte Implementierung vorausgesetzt) immer durch einen alerten Anwender verhindern, der Zertifikatswarnungen nicht einfach ignoriert und/oder deren Fingerprints durch seine Software verifizieren lässt. Auch bei SSH ist ein MitM denkbar, der Anwender muss sich "nur" dahingehend übertölpen lassen, die Warnung bezüglich des nicht übereinstimmenden Fingerprints zu ignorieren und fortzufahren. > Stattdessen wurde darauf verwiesen, dass man fetchmail doch durch ssh > tunneln koennte. [Lösung mit 'auth ssh'] 'auth ssh' habe ich noch nie verwendet. Vielleicht hilft es dir, wenn ich kurz meine Konfiguration skizziere, mit der ich meine Uni-Mails per SSH-Tunnel abhole. Ein Shell-Account auf dem Mailserver ist allerdings Voraussetzung: ,----[ ~/.fetchmailrc ] | poll pop.rbg.informatik.tu-darmstadt.de | via localhost | protocol pop3 | port 1110 | username "tischhau" there is "elmar" here: | preconnect forward-pop | +----[ ~/bin/forward-pop ] | #!/bin/sh | | LOCALPORT=1110 | POPHOST=pop.rbg.informatik.tu-darmstadt.de | PARAM="-x -f -N -C" | KEY="$HOME/.ssh/mailkey" | | [ -z $ULTRA ] && ULTRA=ultra10 | | ssh $PARAM -i $KEY -L $LOCALPORT:$POPHOST:110 \ | tischhau@$ULTRA.rbg.informatik.tu-darmstadt.de "$@" `---- Dabei ist ~/.ssh/mailkey der private Teil eines eigens fürs Mail-/Newsabholen generierten Schlüsselpaars, dem ich per 'command='-Direktive auf dem Uni-Account in der ~/.ssh/authorized_keys lediglich die Ausführung des Kommandos sleep gestatte. Deshalb halte ich es auch für ein vertretbares Risiko, ihn ohne Passphrase auszustatten. Ist eine solche gewünscht, kann ein beim Login bzw. mit der X11-Session gestarteter ssh-agent den Komfort deutlich erhöhen. Gruß, Elmar -- [ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ] ······································································· What is wanted is not the will to believe, but the will to find out - which is the exact opposite. -- Bertrand Russell
Attachment:
pgpjdgv3K7yuQ.pgp
Description: PGP signature