Pokaż wyniki 1 do 6 z 6

Temat: bezpieczeństwo SSL/TLS i SSH

  1. #1
    Zarejestrowany
    Jul 2010
    Postów
    7

    Domyślnie bezpieczeństwo SSL/TLS i SSH

    Witam!

    Zastanawiam się na ile bezpieczne jest zdalne łączenie się z routerem (w celu zmiany jego konfiguracji) przez SSL/TLS lub SSH. Jest dużo informacji na temat luk w tych protokołach, ale informacje te pochodzą z 2009 i wcześniejszych lat. Rozumiem, że wszystkie wykryte luki zostały załatane ... aż do ujawnienia nowych.

    Gdyby podsłuchać połączenie pomiędzy administratorem a routerem (korzystającym przy logowaniu z SSL/TLS lub SSH), to czy teoretycznie istnieje możliwość odszyfrowania danych i poznania identyfikatora i hasła?
    Rozumiem, że _teoretycznie_ można odszyfrować w skończonym czasie.

    A gdyby spróbować oszacować ile czasu potrzeba?
    Zakładając przeciętnie używaną długość klucza i moc obliczeniową powiedzmy wszystkich komputerów w Europie razem wziętą , to ile mogłoby być potrzebne czasu? Miesiąc? Rok? Jest to ktoś w stanie oszacować?

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Jesli masz klucz prywatny serwera (routera) to mozesz czytac w czasie rzeczywistym ale nawet admin najczesciej nie ma klucza prywatnego - po prostu siedzi on na urzadzeniu i tyle...

    Co do mozliwosci - te ataki na TLS z 2009 jasno podaja jak zrobic renegocjacje i zmusic dziurawe implementacje do oslabienia lub wylaczenia szyfrowania (hint: cipher plaintext jest w standardzie TLS z tego co pamietam, czyli TLS pozwala na wylaczenie szyforwania).

    Ile czasu to potrwa... a ile komputerow masz w Europie?
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  3. #3
    Zarejestrowany
    Jul 2010
    Postów
    7

    Domyślnie

    Powiedzmy, ze mamy 2 miliardy przeciętnych desktopów i klastry o ogromnej mocy obliczeniowej (powiedzmy np. sto klastrów takich jak Galera Politechniki Gdańskiej).

  4. #4
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    To prosciej brute-force klucza zrobic

    Zrob proof-of-concept, odpal na 1 kompie, zobacz ile czasu liczy powiedzmy 1mld kombinacji, pomnoz przez ilosc kombinacji jaka moze wystapic i podziel przez ilosc komputerow kotre masz dostepne...

    Ja w przypadku MD5 w ciagu 1h bez problemu robie 84 934 656 000 kombinacji (sprawdzone empirycznie)... i to tylko dlatego tak malo, ze powiedzialem ze wiecej niz $1/h placil nie bede :P
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  5. #5
    Zarejestrowany
    Jul 2010
    Postów
    7

    Domyślnie

    "Prościej" ... o ile wiesz jak to robić.
    Czy na podstawie swojego doświadczenia jesteś w stanie tak bardzo bardzo mniej więcej oszacować ile mogłoby być potrzebne czasu (mam na myśli rząd wielkości: np. miesiąc / rok / 10 lat , zakładając że dysponujemy _gigantyczną_ mocą obliczeniową (o której mowa w poprzednim poście).
    Bo rozumiem (wracając do pytania z pierwszego posta) że teoretycznie istnieje możliwość odszyfrowania danych i poznania identyfikatora i hasła w skończonym czasie?

  6. #6
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Wszystko jest mozliwe, nie wszystko jest oplacalne...
    Oczywiscie obliczenia beda w skonczonym czasie - powiedzialem Ci jak to obliczyc ale prace domowa musisz odrobic sam...
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52