Re: Sinnvoll fail2ban und SSH-pubkey Authentifizierung kombinieren?
> Der Einwand klingt gut. Ich bin mir gerade garnicht sicher, wie das bei
> SSH-Keys funktioniert. In der kryptologie gibts ja in der hinsicht zwei
> Arten von Verschlüsselungen: solche, die z.B. durch eine prüfsumme
> verifzierbar sind, und solche, die es nicht sind.
Die SSH-Authentifizierung beruht auf eine Asynchrone Verschlüsselung.
Daher es gibt Public und einen Private Key. SSH bietet jedem der sich zu
SSH verbindet automatisch schon den Public-Key an.
Ansonsten ist das tolle ja daran das man bei Public/Private mit dem
einen etwas verschlüsseln kann und der andere es wieder entschlüsseln kann.
Daher könnte ein Angriffsszenario so aussehen das man mit dem Public-Key
etwas verschlüsselt. Und man weiß ja selber was man verschlüsselt hat.
Danach generiert man immer wieder ein Private-Key und versucht das zu
entschlüsseln was man verschlüsselt hat. Irgendwann hat man den
Private-key, das ganze geht natürlich auch lokal.
Die ganze Sicherheit basiert eben nur darauf das die Key-Länge so groß
ist, und damit so viele Kombinationen gibt, und das entschlüsseln so
lange dauert das es vom Zeitaufwand her so lange dauert das sich der
ganze Angriff nicht lohnt. Je mehr Rechenpower man hat, desto
angreifbarer wird man allerdings. Alelrdings wird ein einzelner standard
PC damit wahrscheinlich länger brauchen als man lebt.
Man kann die Sicherheit erhöhen indem man die Schlüssellänge erhöht. Ich
glaube bei Debian wird Standardmäßig derzeit 2048bit Schlüssel erstellt,
man kann auch 4096bit Schlüssel erzeugen, was die Sicherheit nochmals
erhöht.
Am besten ist es allerdings wenn der SSH-Schlüssel selber nochmals mit
einer Passphrase geschützt ist. Naja wer es ultimativ sicher braucht.
Ich persönlich nutze allerdings lediglich Passwort verschlüsselung. Das
ist mir persönlich auch praktischer.
Reply to: