On 05/03/15 13:15, Cagri Emer wrote: > Merhaba, Selam,
Bu tarz seylerin tartisilmasini gormek guzel. Boyle bir konuyu gundeme getirdigin icin tesekkur etmekle baslamak istiyorum. > Pratikte yeni olusturulmus sunucularin parmak izini cevremde tanidigim > cogu kimse kontrol etmiyor. Sunucuya ilk baglandiklari zaman > ~/.ssh/known_hosts altina sunucu bir kere kaydedildikten sonra sistem > gayet duzgun calisiyor evet, fakat ilk kullanimda gercekten istedigimiz > sunucuya baglandigimiza parmak izi kontrolu yapmadan neden guveniyoruz? > Bunu bir atak vektoru olarak goruyor musunuz? Bu bir atak vektoru ancak kisinin ne kadar guvenlik istedigine bagli olarak bunun onemi artacak veya azalacaktir diye dusunuyorum. Eger onlem aldigimiz sey "mass surveillance" ise, ilk baglanti esnasinda guvenmenin pratik oldugunu dusunuyorum. Zaten aranan biri iseniz ve targeted survellience yapiliyorsa, bu noktada her hareketiniz izleniyor ve baglantiniz ISP tarafindan bir proxyden geciriliyor olabilir. MITM ile ssh baglantiniz takip edilip, dedigin gibi ilk esnadaki baglanti da guvensiz olabilir. Bunun icin olusturulan sunucuya baska bir yontem ile (KVM gibi) baglanip, ssh fingerprinte bakilabilir ama halihazirda birilerinin gozetim altinda isen sunucunun olusturulmasi asamasinda ssh anahtarinin duzgun olusturulup olusturulmadigindan nasil emin olacaksin? Bu noktada ozetle nereden, nasil bir saldiri beklendigi tartisilmali bana gore. Zira ortada her durum icin, sorunu cozecek bir yontem yok. > Yine ayni sekilde, son zamanlarda cikan keybase.io gibi hizmetleri > saymazsak, birine sifreli bir posta yollamak istediginizde karsi tarafin > acik anahtarini ne sekilde ediniyorsunuz? Anahtar sunuculardan > buldugunuz anahtarin gercekten o kisinin anahtari olup olmadigini > bilmediginiz durumlarda postanizi yollamaktan cekiniyor musunuz yoksa ne > olursa olsun yolluyor musunuz? Peki ya size imzalanmis olarak gelen bir > postaya, anahtarin gercekten o kisiye ait olup olmadigini > bilmediginiz/dogrulayamadiginiz durumlarda "ilk kullanimda guvenip" > sifrelenmis bir cevap yazar misiniz? Karsi tarafin gonderdigi anahtarlara ontanimli olarak guvenmiyorum (yani kendi anahtarimla bunu imzalayip sunucuya gondermiyorum). Bunun icin key signing partileri var. Eger o kisi fiziksel olarak orda ise, kimligi/pasaportu ile bulunuyorsa ve gpg anahtarini vermis ise kontrol edip emin oluyorum, anahtarini imzaliyorum. Anahtarin gercekten o kisiye ait olup olmadigini da farkli yerlerden kontrol ediyorum. Ornek olarak twitter, kisinin web sayfasi gibi. Kisiye yapilan herhangi bir saldiri durumunda (anahtarin benzerini uretmek vs) o kisinin sosyal medya hesaplari, web sayfasi gibi yerlerde de bilgilerin degistirilmesi gerektigi icin, bu gibi bir durumun tespit edilecegini dusunuyorum. Sonraki mailde yazdigin gibi, 32bitlik parmak izini kontrol etmek guvensiz, bu yuzden 64bitlik parmak izini sosyal medya hesaplarina yazip, web sayfasinda eklemek daha iyi olur gibi geliyor. PGP'yi genel olarak is amacli, parola ve ozel bilgileri e-posta ya da baska yontemler ile gondermek icin kullaniyorum. Yuzyuze bulundugumuz ortam oldugu icin anahtarlari duzgun bicimde kontrol edip, imzalayabiliyoruz. Acik anahtari usb disk ile bilgisayarlarimiza kopyaliyoruz. Is disinda baska amaclar icin sifteli haberlesmeye ihtiyacim olmadi, muhtemelen olmayacak da :) > Web of Trust, DNS+DNSSEC, kendi anahtar sunuculariniz, kendi PKI'nizi > kurup S/MIME ile calismak, keybase.io gibi hizmetler arasinda secim > yapacak olursaniz anahtar/parmak izi dagitimini guvenli hale getirmek > icin, hangisini, neden secerdiniz? - Web of Trust guzel ancak pratik degil. Cryptonerdler becerebilir ama internet kullanicilarinin cok az bir kismi bunu anlayabiliyor. - PKI kurmak pratik degil, root sertifikayi dagitmak problem, gizli anahtarlari guvenli bir sekilde tutmak problem. Bu yuzden gerekmedikce yapmamak gerek. Hatta etraftaki cozumlere gore guvensiz bile denebilir bence. - Anahtar/parmak izi dagitiminin en guvenli yolu keysigning partileri. Fiziksel olarak orada bulun, kimligini goster, collision attacklara karsi key sunucusundan degil, web sayfandan almalarini sagla, uzun parmak izini ver ve karsi taraftan bunlari kontrol etmesini bekle. - Eren -- . 73! DE TA1AET http://erenturkay.com/ _______________________________________________ Linux-sohbet mailing list Linux-sohbet@liste.linux.org.tr https://liste.linux.org.tr/mailman/listinfo/linux-sohbet Liste kurallari: http://liste.linux.org.tr/kurallar.php