¿Los certificados X.509v3 evitan los ataques MITM en SSH?

Navega tus respuestas
3

Estaba leyendo el RFC 4251 (en realidad, todos los RFC SSH) y en la sección 9 se trata en gran medida sobre las consideraciones de seguridad que enumeran 3 casos de ataques MITM. En varios lugares de las RFC, los autores mencionan que no cuentan con la infraestructura adecuada para distribuir las claves del servidor desde una autoridad central.

RFC 6187, si lo comprendo correctamente, ¿esto no lo cambia? ¿O estoy confundiendo cómo las piezas interactúan entre sí?

¿La probabilidad de que ocurra un ataque MITM parece remota para tener éxito de todas formas según mi lectura ... o el uso de X.509 cierra algunas puertas pero abre otras?

    
pregunta Nolan Robidoux 27.04.2017 - 19:09
fuente

1 respuesta

3

X.509 es solo un formato para certificados de clave pública, el tipo que normalmente utilizan los navegadores web. La idea fundamental era tener la clave pública en el certificado firmada por otra persona en la que también confíe. En los navegadores web, estos son los certificados raíz que vienen incluidos con el navegador. Normalmente, compañías como Comodo, DigiCert, GlobalSign, etc., le permiten confiar en enlace cuando el certificado de acme.com está firmado por un certificado raíz de confianza. Se podría hacer lo mismo para cada host ssh como lo es para los hosts web, pero tiende a ser demasiado trabajo y costo. Por lo tanto, normalmente se ve una "huella digital" de ssh cuando se envía a un nuevo host y una advertencia si el host cambia su clave pública.

Observe que las claves públicas utilizadas para firmar certificados aún deben distribuirse al usuario final. Los sistemas operativos de computadoras como Windows y Linux también vienen con certificados raíz. Por lo tanto, la vulnerabilidad en el esquema X.509 está en alguien que reemplaza certificados de confianza en el software antes de que se instale en su sistema.

    
respondido por el this.josh 28.04.2017 - 07:56
fuente

Lea otras preguntas en las etiquetas

Metasploit. ¿Siempre se están reemplazando los nombres de dominio con ips resueltos en RHOST / RHOSTS? ¿Qué hacen los datos POST de HackBar (complemento de Firefox)?