![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Entry tags:
статья параноидального характера
Вообще чем больше я думаю о ssh-agent в n810, доступном по usb serial и требующем подтверждения (с тачскрина и клавиатуры ноклы) для каждой попытки использования ключа - тем больше мне нравится эта идея.
Это ведь максимальная секьюрити из возможных. Можно пользоваться ключами и ходить на сервера с любых _не_вполне_доверяемых_ компьютеров, ничего им не раскрывая.
Все другие варианты, все эти криптофлешки с стеганографическими криптоконтейнерами, разлочиваемыми на две секунды, чтобы показать ключ агенту, и тут же вынимаемыми - это всё туфта и театр. Они в итоге все упираются в доверие машине, на которой работает ссшагент. Причём не только на эти две секунды, агенту ведь тоже можно послать SIGSTOP и дампнуть память.
А я вот не уверен, что могу полностью доверять даже собственному нетбуку, на котором загружена собственная лайв-система. И все эти ssh-add -x (уходя вечером с работы), если чуть поднять планку, тоже оказываются security theater.
Знаете почему? Потому что весь софт кривой и глючный. Воткнув usb устройство специального вида (которое стоит $5 FYI), можно выполнить произвольный код в X сервере, например. И, если я включенный ноутбук оставил без присмотра на десять минут, как бы и чем бы я его не лочил, можно смело рассчитывать на как минимум кейлогер, который прочитает пароль от агент лока. И ssh-add -D не поможет, потому что утром мне придётся опять скармливать агенту ключи, и внедрённый троян прочитает их, а кейлогер узнает пароли от них.
Поэтому, между прочим, Кенсингтона продаёт железные порт локеры.
2Bclear - я говорю не о вырывании ногтей и тыкании паяльником в яйца, что, конечно, заставит меня отдать все ключи и пароли без долгих раздумий. Меня на самом деле беспокоит потенциально ненулевая вероятность _скрытой_ компрометации. То есть, ну, я хотел бы по крайней мере знать о каждом инциденте.
Поэтому полностью "аппаратный" ssh-agent - от хоста не зависящий ничем и ни в чём ему не доверяющий, сам читающий ключи с флешек, и сам флешки для этого раскриптовывающий, позволяющий хосту только использовать ключи, и только при аппаратном же подтверждении, - рулит.
Токены кстати тоже не рулят, если у них нет Кнопки на каждое использование: я воткнул токен, и вот уже неведомый процесс им пользуется вовсю, и даже если запрашивается пароль, то кейлогер его уже прочитал.
А вот из n810 вроде получается - у неё свой экран и своя кнопка.
Это ведь максимальная секьюрити из возможных. Можно пользоваться ключами и ходить на сервера с любых _не_вполне_доверяемых_ компьютеров, ничего им не раскрывая.
Все другие варианты, все эти криптофлешки с стеганографическими криптоконтейнерами, разлочиваемыми на две секунды, чтобы показать ключ агенту, и тут же вынимаемыми - это всё туфта и театр. Они в итоге все упираются в доверие машине, на которой работает ссшагент. Причём не только на эти две секунды, агенту ведь тоже можно послать SIGSTOP и дампнуть память.
А я вот не уверен, что могу полностью доверять даже собственному нетбуку, на котором загружена собственная лайв-система. И все эти ssh-add -x (уходя вечером с работы), если чуть поднять планку, тоже оказываются security theater.
Знаете почему? Потому что весь софт кривой и глючный. Воткнув usb устройство специального вида (которое стоит $5 FYI), можно выполнить произвольный код в X сервере, например. И, если я включенный ноутбук оставил без присмотра на десять минут, как бы и чем бы я его не лочил, можно смело рассчитывать на как минимум кейлогер, который прочитает пароль от агент лока. И ssh-add -D не поможет, потому что утром мне придётся опять скармливать агенту ключи, и внедрённый троян прочитает их, а кейлогер узнает пароли от них.
Поэтому, между прочим, Кенсингтона продаёт железные порт локеры.
2Bclear - я говорю не о вырывании ногтей и тыкании паяльником в яйца, что, конечно, заставит меня отдать все ключи и пароли без долгих раздумий. Меня на самом деле беспокоит потенциально ненулевая вероятность _скрытой_ компрометации. То есть, ну, я хотел бы по крайней мере знать о каждом инциденте.
Поэтому полностью "аппаратный" ssh-agent - от хоста не зависящий ничем и ни в чём ему не доверяющий, сам читающий ключи с флешек, и сам флешки для этого раскриптовывающий, позволяющий хосту только использовать ключи, и только при аппаратном же подтверждении, - рулит.
Токены кстати тоже не рулят, если у них нет Кнопки на каждое использование: я воткнул токен, и вот уже неведомый процесс им пользуется вовсю, и даже если запрашивается пароль, то кейлогер его уже прочитал.
А вот из n810 вроде получается - у неё свой экран и своя кнопка.