Los intentos de conexión de SSH desde China muestran una clave diferente; ¿China está haciendo un ataque MITM en el tráfico SSH?

11

Tengo un servidor ubicado en EE. UU. y SSH desde varios lugares del mundo. Cuando conecto SSH desde una computadora que nunca he usado antes, veré algo como esto:

The authenticity of host 'my.usa.server.com (11.22.33.44)' can't be established.
RSA key fingerprint is xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:b8:1d:61.
Are you sure you want to continue connecting (yes/no)? 

Desde la mayoría de los lugares del mundo, la huella dactilar RSA es idéntica, lo cual tiene sentido, porque siempre me estoy conectando al mismo servidor:

[Desde un servidor en Suecia]

me@sweden:~$ ssh [email protected]
The authenticity of host 'my.usa.server.com (11.22.33.44)' can't be established.
RSA key fingerprint is xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:b8:1d:61.
Are you sure you want to continue connecting (yes/no)? 
me@sweden:~$

[Desde un servidor en los Países Bajos]

me@nl:~$ ssh [email protected]
The authenticity of host 'my.usa.server.com (11.22.33.44)' can't be established.
RSA key fingerprint is xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:b8:1d:61.
Are you sure you want to continue connecting (yes/no)? 
me@nl:~$

[Desde un servidor en los Estados Unidos]

me@otherusaserver:~$ ssh [email protected]
The authenticity of host 'my.usa.server.com (11.22.33.44)' can't be established.
RSA key fingerprint is xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:b8:1d:61.
Are you sure you want to continue connecting (yes/no)? 
me@otherusaserver:~$

SIN EMBARGO, cuando intento conectarme desde un servidor en China, la huella digital clave es diferente:

me@chinaserver:~$ ssh [email protected]
The authenticity of host 'my.usa.server.com (11.22.33.44)' can't be established.
ECDSA key fingerprint is xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:d8:0f:01.
Are you sure you want to continue connecting (yes/no)? 
me@chinaserver:~$

Observe que la clave y el cifrado son diferentes. Debe tenerse en cuenta que YO SOY el servidor físico de China y la sala donde se encuentra, por lo que puedo estar seguro de que el hardware del servidor es seguro.

¿Eso significa que alguien en la parte superior, como el gobierno de China o el ISP (China Telecom) está realizando algún tipo de ataque MITM?

    
pregunta a CVn 05.06.2014 - 22:05
fuente

2 respuestas

17

Vea lo que responden los servidores:

  

La huella dactilar de la clave RSA es xx: xx: xx: xx: xx: xx: xx: xx: xx: xx: xx: xx: b8: 1d: 61.

y:

  

La huella digital de la clave ECDSA es xx: xx: xx: xx: xx: xx: xx: xx: xx: xx: xx: xx: d8: 0f: 01.

No es el mismo tipo de clave, por lo tanto no es la misma clave: RSA en el primer caso, ECDSA en el segundo caso.

Los servidores SSH pueden usar varios algoritmos criptográficos y, de hecho, varias claves. El algoritmo que se utilizará dependerá de qué soporte el cliente y el servidor, y también su orden de preferencia . Lo más probable es que su servidor SSH tenga un par de claves RSA y ECDSA, y que el cliente chino esté configurado para colocar a ECDSA más alto en su lista de preferencias que los otros clientes.

Si no está seguro, intente ejecutar el cliente SSH con la opción de línea de comandos -vvv para ver lo que realmente envían el cliente y el servidor.

    
respondido por el Tom Leek 06.06.2014 - 00:52
fuente
2

La selección de cifrado fue el problema, así que me siento un poco tonta por mi paranoia china.

Forzando RSA con

ssh -o [email protected],[email protected],[email protected],[email protected],ssh-rsa,ssh-dss user@host

resultó en la misma huella dactilar RSA.

    
respondido por el user329803 06.06.2014 - 18:16
fuente

Lea otras preguntas en las etiquetas