Sajnos, mivel a technikai részleteket elfelejtették közölni, a fejlesztők nem tudják megállapítani a kihatását. Talán némi megnyugvásra adhat okot a figyelmeztető következő sora: "A legtöbb SSH felhasználási módban rendkívül kicsi a valószínűsége annak, hogy ezt a támadást sikeresen végre lehessen hajtani - ...".
A bejelentés és a részletek itt.
Referenciák:
CPNI Vulnerability Advisory SSH - Plaintext Recovery Attack Against SSH
Breaking and provably repairing the SSH authenticated encryption scheme: A case study of the Encode-then-Encrypt-and-MAC paradigm
- A hozzászóláshoz be kell jelentkezni
- 3278 megtekintés
Hozzászólások
És mi az a fontos adat, aminek ha kiszivárog 32bit-je összedől a világ?
Még ha jelszó is, 3 karakter igen kevés belőle...
Vagy nagyon félre értettem valamit, vagy telljesen lényegtelen a hiba.
- A hozzászóláshoz be kell jelentkezni
Szerintem 32 / 8 = 4, azaz nem 3, hanem 4 "karakter", és én pl. elég sok olyan esettel találkoztam, amikor bizony 4 karakterből például már ki lehetett találni a jelszó maradék részét.
- A hozzászóláshoz be kell jelentkezni
...meg persze kódolástól is függ, h hány karakter az a 32bit...
- A hozzászóláshoz be kell jelentkezni
Azt szoktuk mondani, hogy 8 karakteres jelszó már nem olyan rossz, pláne, ha random... Nomostan ha ebből négy karaktert tudunk, akkor csak négyet kell kitalálni, ami azért jóval egyszerűbbé teszi még a nyers erővel történő jelszótörést is, úgyhogy tényleg nagyon nem mindegy, hogy minek a négy karakterét lehet kitötyögni egy adatfolyamból.
- A hozzászóláshoz be kell jelentkezni
Titkositasoknal vannak meglepo dolgok. Asszem a PPTP torheto epp amiatt, mert az egyebkent biztonsagos felhasznalt elemek (fejbol nem tudom, de talan 3DES meg RSA) kulonbozo bitszelesseget hasznaltak, es a maradekot 0-val toltottek fel random helyett. Ez mar eleg volt a kulcs, es igy a teljes adatfolyam toresehez.
--
I don't always dress in a T-shirt and jeans. Sometimes people give me awards, and I dress like a penguin instead. - Linus Torvalds
- A hozzászóláshoz be kell jelentkezni