¿Se ha examinado la seguridad de PuTTY?

Question

¿Se ha examinado la seguridad de PuTTY?

#1 de tylerl (4 votos)
#2 de mschwaig (1 votos)

4

Me pregunto cómo PuTTY se compara con otras implementaciones de SSH con respecto al escrutinio y la seguridad de su implementación del protocolo SSH2.

PuTTY es probablemente el cliente SSH más utilizado en la plataforma Windows, por lo que su importancia no puede ser subestimada.

Soy consciente de que ha habido varios ataques muy astutos en años pasados contra implementaciones de SSL / TLS (y, también, contra los protocolos en sí, pero ese es otro problema).

En ese sentido, me pregunto si alguien ha hecho un trabajo para validar / interrumpir a los clientes SSH en la plataforma Windows y si a PuTTY le va bien.

cryptography windows ssh

pregunta e_tothe_ipi 19.02.2015 - 08:55

fuente

2 respuestas

Lea otras preguntas en las etiquetas cryptography windows ssh

¿Es posible diseñar un sistema donde el cliente no tenga que confiar en el servidor? Cerrar sesión de autenticación HTTP básica

score 4 · Answer 1

La masilla es de código abierto, ha habido una serie de auditorías de seguridad informales , algunas de las cuales han resultado en informes de vulnerabilidad y parches.

También puede haber algunas auditorías de seguridad formales encargadas por los usuarios del producto. Algunas búsquedas revelaron un poco de evidencia no verificable de eso, pero lo más importante:

Simon no hace publicidad ni hace referencia a ninguna auditoría oficial de su código. Todas las auditorías realizadas fueron realizadas por una parte privada, para una parte privada, y es posible que no se hayan incluido en el ámbito de manera tal que sean aplicables a sus circunstancias.

score 1 · Answer 2

Tenga en cuenta que, de lo que he visto, la fuente oficial de PuTTY es enlace por El autor y mantenedor Simon Tatham.

Lamentablemente, esta página no está disponible a través de TLS y las firmas GPG para los enlaces de los binarios a una página externa, por lo que existe un grave riesgo de que alguien manipule su conexión cuando descargue la masilla potencialmente insertando un código malicioso o incluso redirigiendo a otro. Página para las firmas.

Quería desahogarme acerca de esta situación durante mucho tiempo cuando me topé con esta pregunta, un software crítico de seguridad de alto perfil como PuTTY realmente no debería distribuirse en HTTP simple.