Megtalaltak egy ilyennel a fejlesztok hogy ok ezt szeretnek hasznalni ssh kulcskezelesre:
https://krypt.co/
Termeszetesen semmi okat nem latom annak hogy a maceken jol bevalt ssh-add tipusu kulcskezelest kivaltsuk egy kitudja mifele appal, aminek a FAQ-jaban (https://krypt.co/why_kryptonite/) talalhato reszek kozul ez szerintem szemenszedett hazugsag, en legalabbis soha nem hallottam meg olyanrol hogy az ssh agentbol (regen pageantoztam, miota macezek pedig a beepitett ssh agentet hasznalom, ami ha joltudom openssh) ki lehetne szedni a kulcsot plaintextkent (szoljatok ha tevedek):
Public-key authentication
A user-level process or malware can use a decrypted key stored in an agent without knowledge of the user. Furthermore, the same malware can pose as an SSH agent and direct SSH to use it using the SSH_AUTH_SOCK environment variable, receiving the key in plaintext the first time it is used.
Velemenyek?
Update: elso duhomben felreertelmeztem a leirtakat, kroozo helyesen leirta mirol van szo, koszonet erte, igy mar van ertelme a dolognak, ettol fuggetlenul turost a fejlesztoknek, nem ssh accot :D
- 703 megtekintés
Hozzászólások
Az állításnak két fele van:
"A user-level process or malware can use a decrypted key stored in an agent without knowledge of the user".
Ez igaz, nyilván erre való az agent. :) Ha tud futtatni a nevedben, akkor tud sshzni is az agenttel.
"Furthermore, the same malware can pose as an SSH agent and direct SSH to use it using the SSH_AUTH_SOCK environment variable, receiving the key in plaintext the first time it is used."
Most nincs időm játszani vele, de szerintem arról van szó, hogy implementál a maleware egy proxy agentet, megbizgeti az SSH_AUTH_SOCK environment változót, hogy rajta keresztül follyon a kommunikáció az agentel, és amikor először használná valami, akkor a user a promptba szépen bele fogja gépelni a jelszót, az azon a socketen keresztül fog menni, ergó azt ő szépen ki tudja szedni, és el tudja tenni. Bár gyanús (látatlanban), hogy itt inkább a passphrasehez fér hozzá, nem a keyhez, de ha ahhoz hozzáfér, az már Ez nem látszik lehetetlennek egyáltalán.
--
Egész érdekes ez a cucc. Nem mondom, hogy most azonnal ugranék rá, de meg fogom nézegetni.
- A hozzászóláshoz be kell jelentkezni
Teljes egeszeben igazad van, elso mergemben (hogy mar megint minek kell valami tokomtudja appot hasznalni valami helyett ami megbizhato es bevalt) nem ertelmeztem megfeleloen a leirtakat, ugy olvastam hogy az agentbol tudja kiszedni a kulcsot ami tudtommal lehetetlen, de ok is valoban arrol irnak hogy a malware beall az SSH_AUTH_SOCK moge es proxyzik akkor amikor betoltod a kulcsot meg tudja megdurrantani.
Mondjuk meg mindig azt erzem hogy mindenfele appok helyett esetleg kegyeskedjenek megoldani az emberek hogy ne legyen nyakig virusos meg malware-os a gepuk, es akkor nincs szukseg ilyen cuccokra :)
A legjobb pedig nem adni ssh-t a fejlesztoknek es akkor nincs ilyen gond :)
- A hozzászóláshoz be kell jelentkezni
Ami nekem szimpi benne elsőre, hogy az ssh számára gyak átlátszóan tud 2 factor authot csinálni a telefonra, felhő nélkül (mondjuk a hogy is beszél egymással az app meg a telefon dolgot még meg kéne nézni)
---
egyébként meg, ha got root, akkor nyilván ki lehet turkálni a kulcsot az agentből, csodák nincsenek, vagy a passphraset kell memóriában tartania, vagy a decryptált kulcsot.
- A hozzászóláshoz be kell jelentkezni
Ennyit talaltam a kommunikaciorol:
Communication with Kryptonite occurs over encrypted and signed push notifications and Bluetooth.
Egyebkent szamomra az is aggalyos hogy kerek-perec leirjak hogy nem tamogatnak semmilyen backup funkciot, az altaluk generalt kulcshoz nem tudsz te sem hozzaferni, magyarul ha kipukkant/elazott/elloptak a telefonodat akkor kapsz a homlokodra egy igy jartal matricat.
Ez az en ertekrendemben nem megengedheto.
- A hozzászóláshoz be kell jelentkezni
Danke.
A backuphoz hozzátartozik, hogy azt is leírják, hogy az android keystoreba teszik, ami azért hw, és ennek megfelelően is viselkedik (nem lehet belőle kiszedni). Ez egyébként pont ugyanígy működik minden -- normális -- hw kulcsos cuccal, ki nem szeded belőle többet. Ezzel szerintem nincs gond (sőt, azt a hwt, ami nem ilyen, az szar :) )
- A hozzászóláshoz be kell jelentkezni
Ez a resze rendben van, csak szamomra egy olyan hw kulcs megoldas ahol nincs backup nem eletszeru. A yubikey is azzal kezdi a honlapjan hogy 1 kulcs nem kulcs. Szoval kell egy backup telefon :D
- A hozzászóláshoz be kell jelentkezni
Ha olyan aggalyaid vannak amire ez a megoldas, akkor inkabb valts hardveres kulcsra. Nekem a Yubikey tok szepen mukodik SSH kulcskent minden platformon. Raadasul a forwarding is kevesbe problemas, mert explicit meg kell erintenem a kulcsot ha azt akarom hogy engedjen autentikalni.
(Magyarazat: ha be van kapcsolva az agent forwarding es nem megbizhato szerverre SSH-zol, akkor az illeto szerveren root joggal rendelkezo fel tudja hasznalni az SSH auth socketet hogy mas szerverre belepjen a kulcsoddal.)
--
Pásztor János
Sole Proprietor @ Opsbears | Refactor Zone
- A hozzászóláshoz be kell jelentkezni
Nekem nincsennek aggalyaim, en happy vagyok a jol karbantartott laptopommal meg az encryptelt kulcsommal :)
Leginkabb megerteni probaltam ezt az appot hogy milyen letjogosultsaga van.
Jelen pillanatban ugylatom hogy egy ilyen soft-yubikey-valami akarna lenni ahol a telefonod a kulcs, velemenyem szerint nem letezo piaci rest akar betolteni.
- ha jo az ssh agent meg a rendesen karbantartott gep akkor egy titkositott kulcs megfelelo
- ha max. biztonsag kell akkor ott a yubikey, az raadasul lenyegesen ritkabban robban fel/azik el/lesz alaplaphibas/lopjak el mint egy telefon.
- A hozzászóláshoz be kell jelentkezni