¿Cuáles son las implicaciones en el mundo real de la duplicación de huellas dactilares SSH en muchos dispositivos?

Question

¿Cuáles son las implicaciones en el mundo real de la duplicación de huellas dactilares SSH en muchos dispositivos?

#1 de M'vy (4 votos)
#2 de Vincent (-1 votos)

4

Hubo una publicación reciente en el blog de Shodan que muestra que ciertas huellas digitales SSH son comunes entre miles de dispositivos.

Por ejemplo, esta huella digital es común en más de 250,000 dispositivos en todo el mundo:

dc: 14: de: 8e: d7: c1: 15: 43: 23: 82: 25: 81: d2: 59: e8: c0

Y esta huella digital es común en más de 11,000 dispositivos en todo el Reino Unido:

7c: a8: 25: 21: 13: a2: eb: 00: a6: c1: 76: ca: 6b: 48: 6e: bf

Esto obviamente presenta problemas para autenticar a qué dispositivo se está conectando a través de SSH, pero ¿qué otras implicaciones en el mundo real tiene el hecho de tener una huella digital común (y, por lo tanto, una clave pública común) en tantos dispositivos?

ssh

pregunta Cybergibbons 24.02.2015 - 12:33

fuente

2 respuestas

Lea otras preguntas en las etiquetas ssh

diferencia entre IPSEC SA y CHILD SA Acabo de implementar DNSSec. ¿Hay algún beneficio en DANE para un certificado emitido por CA?

score 4 · Answer 1

4

Primero, significa que no hay forma de autenticar una máquina determinada con esta clave. Dado que todos comparten la misma clave, el contenido firmado puede provenir de cualquiera de ellos.

Segundo, si se rompe la clave privada, puedes suplantar 250,000 dispositivos a la vez.

respondido por el M'vy 24.02.2015 - 13:24

fuente

score -1 · Answer 2

Esto me parece extraño, debe haber algo mal con la implementación para generar estas huellas dactilares, como una coincidencia extraña y aterradora que leí (y la respuesta correspondiente) esta mañana. Y parece que no puedo encontrar una falla en las matemáticas, por lo que diría que o alguien cometió un gran error o se pone un sombrero de papel de aluminio , la NSA tuvo una gran participación en la generación de ese huella dactilar.

Por supuesto, al azar completo debería poder hacer esto, pero las probabilidades ... las probabilidades son simplemente ... improbables (quiero una palabra más fuerte pero eso haría imposible lo que obviamente no es)

Esto, como saben, por supuesto, es un problema porque si todos tienen la misma clave, es inútil. Esto tendría tantas complicaciones horribles para los sistemas de clave pública que utilizamos hoy. Si esto no es una implementación incorrecta, sino un resultado real, podemos despedirnos de nuestros sistemas seguros (exageración, pero sería malo).