¿Está bien compartir ampliamente la huella digital de la clave RSA para un host?

Navega tus respuestas
18

Cuando ssh en un buzón remoto por primera vez o si la huella dactilar de la clave del host remoto ha cambiado (de lo que está almacenado en su archivo conocido), aparece una advertencia y se le muestra la huella dactilar de la clave del host.

¿Se compromete su seguridad si comparte la huella digital públicamente (es decir, con posibles atacantes)? ¿O es este un caso en el que está bien que todos conozcan la huella digital de un servidor, porque ssh está haciendo algo detrás de la escena (desde mi perspectiva como usuario simple) de tal manera que la huella digital no puede ser falsificada, incluso si se sabe?

Ya que puede ver la huella dactilar con solo intentar ssh en el servidor usando una cuenta sin sentido, asumo que significa que la huella dactilar debe estar bien para ser compartida públicamente (pero sabe qué sucede cuando usted asume ...).

    
pregunta drewbenn 25.10.2012 - 08:50
fuente

2 respuestas

19

La clave del servidor huella digital es un hash de la clave pública del servidor, que es, por definición, pública. Cualquiera puede obtener la clave pública del servidor simplemente conectándose a ella, ya que el servidor envía su clave pública en los pasos iniciales del protocolo. De hecho, eso es lo que hace con su cliente SSH: se conecta al servidor, el servidor envía su clave pública, el software del cliente SSH calcula el hash de la clave (la huella digital) y lo muestra. En ese momento, todavía no se ha autenticado, así que todo lo que hizo, cualquiera podría haberlo hecho.

Por lo tanto, no hay problema al publicar la huella dactilar clave porque cualquier posible atacante ya la tiene.

Por supuesto, publicar la huella dactilar clave y usarla como base para la autenticación del servidor requiere una publicación sólida: un atacante laborioso intenta hacer Man-in-the-Middle attack intentaría alterar la huella digital publicada tal como la ves, para inducirte a aceptar como auténtica una clave de servidor falsa. Por lo tanto, si publica la clave pública del servidor en un sitio web, conviértalo en un sitio web HTTPS . (En otras palabras, para esta huella digital, no necesita confidencialidad sino que necesita integridad .)

    
respondido por el Thomas Pornin 25.10.2012 - 14:23
fuente
7

Sí, la huella dactilar es simplemente un hash de la clave pública, utilizada para autenticarla. Un adversario requeriría la clave privada para descifrar sus mensajes. Obtener la clave privada de la información disponible requeriría:

  1. Una función hash que no es resistente a la preimagen (algunos podrían no considerarla como una función hash real).
  2. RSA está roto

Wikipedia muestra las huellas digitales de las claves públicas aquí .

Sin embargo, es una pregunta justa, SSH no dice que sea la huella digital de la clave pública.

    
respondido por el Henning Klevjer 25.10.2012 - 09:01
fuente

Lea otras preguntas en las etiquetas

¿Qué determina exactamente qué versión de SSL / TLS se usa al acceder a un sitio? ¿Cómo hace una prueba de pluma en una API REST?