¿Se puede reconstruir una sesión SSH anterior a través del acceso de root al servidor?

2

Diga que A está detrás de un firewall que registra todos los paquetes y se comunica con B a través de una conexión SSH autenticada por publicidad:

  A <-------- {ssh} --------> B
                v
                v
  [Encrypted packets all logged]

El firewall no puede inspeccionar el contenido de la sesión de SSH debido al diseño de SSH.

¿Qué sucede si, digamos uno o dos días (o quizás una hora) más tarde, el propietario del firewall asume el control de la raíz del servidor SSH B ? Supongo que es posible que el propietario extraiga la clave privada SSH del servidor y descifre el contenido de la sesión SSH anterior que se guardó en los registros de FW.

¿Es esto posible? Si no, ¿qué otros datos necesitaría el propietario?

    
pregunta Joseph A. 10.09.2018 - 18:45
fuente

1 respuesta

5

Dado que casi todos los métodos de intercambio de claves ofrecidos por SSH hoy utilizan secreto de envío , no es suficiente obtener la clave privada de El servidor para acceder a los secretos de la sesión y descifrar el tráfico. Si bien la autenticación RSA se usó con SSH-1 y también es un estándar propuesto para SSH-2 , generalmente no está implementado ni habilitado (vea ssh -Qkex para los algoritmos de intercambio de claves habilitados en OpenSSH).

Debido al secreto hacia adelante, un atacante deberá tener acceso al estado interno de SSH del cliente o del servidor en el momento en que aún exista la conexión SSH. No es posible obtener los datos necesarios más adelante para descifrar las conexiones previamente detectadas.

    
respondido por el Steffen Ullrich 10.09.2018 - 20:06
fuente

Lea otras preguntas en las etiquetas